Innovazione e tecnologia
«Nel settore informatico, non si è mai in una botte di ferro»
Cento hacker di tutto il mondo uniti con un solo scopo: attaccare i servizi online della Posta. Uno scenario da incubo per Marcel Zumbühl, Chief Information Security Officer (CISO) della Posta? Assolutamente no! Il massimo nemico degli hacker ci spiega perché la Posta ha fatto da bersaglio e perché ha addirittura pagato i hacker che hanno trovato delle vulnerabilità.
Sezione Rich Content
Signor Zumbühl, lo scorso fine settimana nel quadro dell’evento leHACK , la Posta ha messo a disposizione i propri servizi online perché venissero attaccati da pirati informatici da tutto il mondo. Non è una decisione azzardata?
Per niente! (ride) La sicurezza informatica è un processo in divenire e gli hacker criminali attaccano giorno e notte, senza preavviso. Per questo, è di importanza fondamentale individuare i nostri punti deboli. E il modo migliore per scoprirlo è collaborando con hacker etici che agiscono in modo lecito. Esattamente come è successo lo scorso fine settimana con leHACK. Per la prima volta, abbiamo dato il nulla osta ad attacchi a tutti e 300 i nostri servizi online, facendo un significativo passo avanti nel nostro programma Bug Bounty.
Per i non addetti ai lavori: cos’è un programma Bug Bounty?
Concedere a hacker criminali il vantaggio di scoprire per primi un bug potrebbe esporre l’azienda a rischi con impatti devastanti. Per questo la Posta, come tante altre aziende, ha lanciato un programma Bug Bounty che prevede una ricompensa pecuniaria per la segnalazione da parte di hacker etici di eventuali vulnerabilità nei software e nei sistemi informativi. Nel quadro di questo programma, viene messa una “taglia sulla testa” della vulnerabilità e, a seconda della criticità, l’hacker viene remunerato e collabora insieme ai nostri specialisti al fine di rimuovere i bug.
Il Programma Bug Bounty della Posta esiste da quattro anni. Ha già dato frutti?
Abbiamo riscontrato 459 vulnerabilità, di cui 22 durante leHack. E complessivamente abbiamo versato oltre 380'000 euro in bounties. Si tratta di un investimento economico, che però a noi conviene: se una vulnerabilità venisse scoperta dai criminali informatici prima di essere risolta (e quindi sfruttata), il danno derivante potrebbe portare a perdite economiche ben superiori.
Gli hacker diventano ricchi grazie alla Posta?
Non credo. La somma più alta che abbiamo mai versato è di 40’000 euro. E poi quella dell’hacker etico è una figura professionale sul nascere. Ne conosco qualcuno che lo fa a livello professionale, ma per la maggioranza si tratta di un’attività accessoria.
Il suo team respinge mensilmente un centinaio di attacchi mirati, 14’000 attacchi alla rete postale e 280 ondate di phishing. La Posta è un target particolarmente bersagliata?
No, direi che non veniamo attaccati né più né meno rispetto ad altre aziende. Certo, con la pandemia è aumentato il numero di spam inviato a nome della Posta. Ma si tratta di un trend che affligge tutte le aziende postali a livello mondiale.
È soddisfatto di com’è andata a Parigi?
Onestamente pensavo che gli hacker avrebbero trovato un numero maggiore di vulnerabilità. Ma nel settore informatico non si è mai in una botte di ferro, quindi siamo grati per ogni punto debole scovato. In futuro ripeteremo sicuramente esperienze simili.