La nuova Strategia sulla Cybersecurity della Commissione Europea, presentata il 13 Settembre scorso, nomina esplicitamente, tra le iniziative per aumentare la resilienza europea agli attacchi informatici, la necessità di creare le condizioni perché in Europa si sviluppi un processo di Software Coordinated Vulnerability Disclosure tra gli stati membri.
Il Centre for European Policy Studies, una delle maggiori Think Tank europee per la policy research, lancerà mercoledì 27 Settembre a Brussels una Task Force su questo tema a cui parteciperanno aziende del settore privato, le istituzioni europee e la società civile con l’obiettivo di definire una serie di raccomandazioni di policy per rendere operativo un processo di Coordinated Vulnerability Disclosure in Europa.
Da cosa nasce questa necessità? Il Software oggi è dappertutto: nei nostri smartphone, nelle automobili, negli aerei, negli uffici, negli ospedali e nelle nostre case. E’stato stimato che in media ogni programma ha almeno 14 vulnerabilità. Ognuna di queste potrebbe permettere un attacco compromettendo l’integrità del software che viene utilizzato.
Che cosa possiamo fare per proteggerci? Chi deve individuare le vulnerabilità e chi ne deve essere informato, i venditori di software e/o i clienti finali?
Il dibattito su come gestire l’informazione sulle vulnerabilità precede quello sulla sicurezza del software e si può ricondurre al dibattito tra i fabbri e gli scassinatori in Inghilterra nel 1850. Il fabbro Alfred Hobbes nel suo libro The Rudimentary Treatise on the Construction of Locks metteva in evidenza come fosse “nell’interesse delle persone oneste conoscere i difetti delle serrature perché invece le persone disoneste sicuramente sarebbero state le prime ad utilizzare queste conoscenze in pratica”. Per decenni questo tema è stato discusso nella comunità della sicurezza informatica.
Tuttavia, alcuni fatti recenti hanno riportato con nuova urgenza l’attenzione su questo tema. L’attacco di ransomware di Wannacry ha utilizzato una vulnerabilità nel software di Microsoft scoperta dalla National Security Agency (NSA) e rivelata da un gruppo di hacker chiamato Shadow Brokers. Questo episodio riporta l’attenzione sull’ attività di accumulo di vulnerabilità da parte delle agenzie di sicurezza nazionali dei vari paesi nel mondo. Ma è soprattutto con lo sviluppo dell’Internet delle cose, la connessione ad Internet di miliardi di apparati e il conseguente aumento della superficie di attacco potenziale, che l’impatto delle vulnerabilità nel software diventerà ancora più rilevante, aumentando i rischi per le infrastrutture critiche.
Il processo di Vulnerability disclosure consiste nella condivisione di informazioni sulle vulnerabilità del software in modo che i suoi effetti negativi vengano ridotti o completamente eliminati. Particolarmente critiche sono le zero day vulnerabilities, cioè le vulnerabilità per cui non esistono ancora i rimedi volti a neutralizzarne gli effetti.
Il dibattitto sulla gestione delle vulnerabilità del software ha generato 4 tipi di vulnerability disclosure: full disclosure, responsible disclosure, coordinated disclosure e no disclosure. Con la full disclosure, vengono diffuse tutte le informazioni sulla vulnerabilità senza che sia stato individuato il rimedio; la no disclosure diventa il mezzo per il governo o i venditori di trattenere le vulnerabilità per utilizzarle in un secondo momento, spesso per scopi di sicurezza nazionale; invece sia la responsible disclosure che la coordinated disclosure hanno l’obiettivo di condividere le vulnerabilità con i venditori ma differiscono sulla natura del processo di coordinamento per la protezione degli utenti finali.
Il CEPS ha organizzato su questo tema un workshop nel giugno scorso in cui è stata ribadita l’importanza di introdurre in Europa un processo di Coordinated Vulnerability Disclosure in cui chi scopre le vulnerabilità le condivida con i venditori e tutti gli stakeholders si focalizzino sulla protezione degli utenti finali.
Gli stati membri dell’Unione Europea hanno solo da poco iniziato ad implementare questo processo. Il governo olandese sta facendo da apripista con una proposta di Coordinated Vulnerability Disclosure promossa anche attraverso il Global Forum on Cyber Expertise, creato nel 2015. L’agenzia francese ASSI sta anche lavorando in questa direzione. In Italia, il tema è stato posto all’attenzione dal Digital Transformation Team della Presidenza del Consiglio dei Ministri.
A livello europeo c’è bisogno di un’armonizzazione delle procedure e della gestione dei processi nazionali che inizialmente, potrebbe essere basata sull’applicazione degli standard ISO/IEC 30111:2013 sulla gestione delle vulnerabilità e ISO 29147:2014 sulla vulnerability disclosure . Naturalmente, queste esperienze dovranno anche considerare gli sviluppi legati alla diffusione dell’Internet delle cose.
I Joint Research Centre (JRC) della Commissione Europea sostengono che la ricerca deve svolgere un ruolo guida nell’individuazione delle vulnerabilità del software. Per questa ragione, propongono la creazione di un centro pilota che possa svolgere le funzioni di test-bed per la gestione delle vulnerabilità e svolgere il ruolo di parte terza nel processo di vulnerability disclosure. Si potrebbe attribuire questo centro alla gestione dell’ENISA che nella nuova EU Cybersecurity Strategy avrà un ruolo potenziato.
C’è però anche molto lavoro da fare sul fronte dei governi ed in particolare sul ruolo che i governi devono svolgere nel decidere se divulgare le zero-days vulnerability da loro trovate o conservarle per obiettivi di sicurezza nazionale. Questo processo chiamato Vulnerability Equity Process solo recentemente ha visto una prima formalizzazione da parte dell’amministrazione Obama prima e più recentemente con il Patch Act. E’necessario che anche l’Europa si muova in questa direzione. La new EU Cybersecurity Strategy non menziona minimamente questo argomento. Ma anche questa discussione contribuirebbe invece a rendere più resiliente l’ecosistema europeo della cybersecurity
