"Dobbiamo creare un ecosistema di sicurezza digitale ben strutturato. Il governo potrebbe anche dare agli hacker una possibilità di passare alla parte legale e diventare imprenditori". Così, su Twitter, il ministro per l’Innovazione Paola Pisano, ha aperto le porte agli hacker etici, una categoria in forte crescita nel mondo. La comunità degli hacker etici è raddoppiata nel 2019 rispetto all’anno precedente, secondo l’ultimo Hacker Report. Il rapporto stima che nel 2019 siano stati erogati 19 milioni di dollari in ricompense e che gli hacker etici possano guadagnare fino a quaranta volte il salario annuale medio di un software engineer nel loro Paese d’origine.
Anche sul piano del riconoscimento ufficiale, l’hacking etico guadagna progressivamente un suo spazio: tra le qualifiche di rilievo oggi figurano la certificazione Ethical Hacker (CEH), l’Offensive Security Certified Professional (OSCP) e la Global Information Assurance Certification (GIAC). Naturalmente, molti hacker esperti si oppongono ufficialmente a questa “rivoluzione educativa”, ma in realtà ne tengono d’occhio l’evoluzione. In definitiva, l’hacking etico è una realtà e sarà sempre più facile trovare questi super-esperti man mano che evolverà la capacità di comprendere le dinamiche della security e gli imperativi aziendali che mettono al primo posto la sicurezza.
Ma come si assolda un hacker etico? Il metodo utilizzato più comunemente è la realizzazione di un programma ‘bug bounty’ che operi in base a termini e condizioni rigorosi. In questo modo, chiunque può scoprire e inviare bug e testare la vulnerabilità di un sistema per ottenere in cambio dall’azienda una ricompensa in denaro. Questo metodo può avere buoni risultati per i servizi aperti al pubblico, come siti web o app mobili, e i premi dipendono dal livello di rischio percepito dall’organizzazione interessata. Sfruttare gli incentivi in denaro presenta numerosi ed evidenti benefici: gli hacker ricevono un riconoscimento, sia in senso stretto sia dal punto di vista reputazionale, e possono poi mostrare e comprovare le proprie capacità all’interno di forum che offrono loro grande visibilità. In cambio, l’azienda che li premia migliora e amplia la propria intelligence di sicurezza e la propria visione.
Alcune aziende scelgono di assumere direttamente degli hacker, poiché l’elemento chiave in questo ambito è l’esperienza diretta. Sebbene possa sembrare controproducente avvalersi di hacker esterni, che possono avere collezionato in passato anche un record di attività criminali, la loro esperienza pratica rappresenta un valore innegabile. La vera differenza la farà la capacità di reagire una volta scovato il bug o la vulnerabilità. Assumere un ex criminale informatico, però, è una decisione rischiosa che dovrebbe essere valutata caso per caso. Ad esempio è improbabile che qualcuno accusato di un attacco denial of service in giovane età diventi un criminale internazionale, e spesso sono proprio i giovani ex-criminali a diventare consulenti di sicurezza di tutto rispetto e visionari in questo settore.
Naturalmente si possono trovare dei maghi della sicurezza anche all’interno dell’azienda, tra i dipendenti più intraprendenti, le cui abilità nel costruire le applicazioni, nel coding e nella comprensione delle infrastrutture di rete dovrebbero essere coltivate e sviluppate. I dipendenti potrebbero già conoscere le vulnerabilità interne dei sistemi, ma non sentirsi in dovere di segnalarle alla propria azienda, perché questo non rientra nelle loro mansioni. Sta ai superiori accorgersi del loro talento.
Elena Comelli
Per ricevere le notizie selezionate dalla redazione in modo semplice e sicuro