Nell’ultimo anno, gli ethical hacker hanno impedito più di 27 miliardi di dollari di crimini informatici. La notizia è stata diffusa dal rapporto annuale “Inside the Mind of a Hacker”, messo a punto grazie ad un sondaggio che ha coinvolto gli utenti della piattaforma Bugcrowd e ad una ricerca sulla sicurezza, effettuata dal maggio 2020 all’agosto 2021. Inoltre, il report ha usufruito dei dati messi a disposizione dai proprietari di diverse piattaforme, che hanno evidenziato le falle di quasi 3000 programmi di sicurezza informatica. “L’hacking è stato a lungo diffamato da rappresentazioni stereotipate di criminali incappucciati, quando in realtà gli hacker etici sono esperti altamente affidabili e laboriosi che consentono alle organizzazioni di rilasciare prodotti sicuri sul mercato più velocemente”, ha affermato in un comunicato stampa il presidente e Amministratore Delegato di Bugcrowd, Ashish Gupta.
E i dati rilevati dal rapporto diffuso dalla piattaforma di cui Gupta è CEO e leader confermano le sue parole. Infatti, il report ha evidenziato che il 74% degli hacker etici, tre su quattro praticamente, concorda sul fatto che le fragilità del sistema informatico sono aumentate dall’inizio della pandemia di Covid-19. A tal proposito, John Bambenek, uno dei più esperti rilevatori di minacce informatiche e dipendente presso “Netenrich”, azienda specializzata in operazioni di sicurezza digitale e IT con sede a San José, in California, ha dichiarato: “In seguito al rapido cambiamento che quasi tutti hanno subito a causa della pandemia, sono state introdotte molte vulnerabilità e debolezze”. Pertanto, ha confermato quanto sia necessario prestare attenzione alla sicurezza, preservando l’incolumità dei servizi informatici, ma spesso la fretta può essere cattiva consigliera: “Puoi fare le cose velocemente o fare le cose in sicurezza e per necessità abbiamo fatto le cose velocemente”.
Che il problema della vulnerabilità informatica sia accresciuto con il sopraggiungere del COVID – 19 è confermato anche da Jake Williams, co-fondatore e Chief Technology Officer di BreachQuest, azienda esperta di falle nel sistema digitale e Dallas. Che ha rintracciato la causa di questo aumento nei casi di minacce informatiche nel “lavoro da remoto” perché, afferma lo stesso Williams, “l’architettura di rete è cambiata radicalmente”. E, proseguendo nell’illustrare la correlazione tra smart working e incremento delle minacce nel sistema informatico, ha proseguito: “Consideriamo la sicurezza come l’intersezione tra riservatezza, integrità e disponibilità”. Pertanto, ha sottolineato, “il passaggio al lavoro remoto è avvenuto così rapidamente che la maggior parte delle organizzazioni ha lavorato solo sulla disponibilità senza preoccuparsi degli altri aspetti della sicurezza”. E ha sottolineato come “le vulnerabilità causate dalla rapida transizione al lavoro a distanza continueranno sicuramente a essere scoperte”.
La criticità a cui i sistemi digitali sono sottoposti ha accresciuto l’esigenza di formare nuovi esperti nel settore. Proprio per questo motivo, Abhijit Ghosh, Chief Technology Officer e cofondatore di Confluera, un produttore di piattaforme di controllo digitale con sede a Palo Alto in California, ha considerato il “Certified Ethical Hacker” l’attestazione più importante che un esperto in vulnerabilità informatica possa conseguire. Infatti, affrontando l’argomento, ha evidenziato: “Oltre a mostrare la loro comprensione degli strumenti e delle tecniche di hacking, l’esperienza con <<hack-a-thon>> e concorsi <<catch-the-flag>> non è dissimile dallo scenario del mondo reale in cui i professionisti della sicurezza informatica devono rispondere in tempo reale a un attacco in corso”. Inoltre, ancora il CTO di Confluera ha aggiunto: “Associo questa certificazione anche alla passione dell’individuo per questo settore, qualcosa di cui avrai molto bisogno quando gli attacchi informatici colpiscono nel momento più inopportuno, come i fine settimana e le vacanze”.
Ma, all’interno del rapporto diffuso da Bugcrowd, è stato evidenziato che più di nove hacker etici su 10 intervistati, il 91%, ha affermato che i “test point-in-time” realizzati per proteggere un’organizzazione nel corso dell’anno sono insufficienti per una copertura adeguata dei sistemi. Tim Wade, direttore tecnico del team Vectra AI, un’azienda specializzata nel fornire servizi automatizzati e son sede a San Jose in California, ha affermato: “Questo è un riflesso di ciò che i professionisti della distribuzione del software sanno da anni e anni: cicli più brevi e più agili migliorano la qualità”. E, aggiungendo, ha evidenziato: “Impegni rapidi e di portata ridotta con l’opportunità di misurare in modo incrementale le capacità nel tempo quasi certamente sposteranno l’ago per le organizzazioni”.
Infine, lo studio portato avanti da Bugcrowd ha offerto ai lettori anche accenni sullo stile di vita, sulle competenze e sulle motivazioni degli hacker etici. Ingegnosità, autonomia nell’apprendere, formazione completa, competenze approfondite nel settore restano gli ingredienti essenziali per essere dei buoni hacker etici. Ma gli stessi specialisti del comparto lanciano l’allarme. Infatti, nonostante i benefici che queste figure possono assicurare ad un’organizzazione, il profilo dell’hacker etico non gode ancora pienamente di massima fiducia: “La maggior parte delle industrie non si sente a proprio agio con i bug bonbon e gli hacker etici perché non ne comprendono gli enormi vantaggi”, ha affermato Grimes. “Pensano che invitare gli hacker a hackerare il loro software porterà a una maggiore malizia in generale, quando il vero risultato è esattamente l’opposto”. Però, le cose sembrano essere migliorate nel tempo. E, concludendo, ha affermato: “Una decina di anni fa, la maggior parte delle organizzazioni non avrebbe mai consentito programmi di bug bounty”. Al contrario, attualmente, si possono contare molti “consorzi di bug bounty concorrenti e persone che guadagnano denaro trovando bug prima che lo facciano gli hacker malintenzionati”.