Cosa hanno in comune Coca-Cola con il Comune di Preganziol (comune di 16.921 abitanti in provincia di Treviso)? Cosa hanno in comune PagoPA (piattaforma digitale che ci permette di effettuare pagamenti verso la Pubblica Amministrazione) con Skyscanner (motore di ricerca internazionale di voli aerei)?
Probabilmente non molto, se non un approccio alla sicurezza informatica che può essere riassunto come l’equivalente digitale di “if you see something, say something” (“se vedi qualcosa, dì qualcosa”): un invito aperto a tutti coloro che – grazie alle loro conoscenze informatiche – notano delle vulnerabilità all’interno dei sistemi dell’azienda o ente di segnalarle.
Ad oggi, molti informatici, programmatori o hacker etici che si imbattono in sistemi informatici vulnerabili si trovano nell’amletico dubbio se segnalare le vulnerabilità – e quindi rischiare di essere denunciati per accesso abusivo ad un sistema informatico e telematico (art. 615-ter del Codice penale) – oppure passare oltre, lasciando la vulnerabilità aperta a chi potrebbe avere intenzioni meno nobili.
La Vulnerability Disclosure Policy (VDP) ha lo scopo di dare, a chiunque si imbatta in “qualcosa che non va” (una vulnerabilità e di conseguenza una minaccia per l’azienda oppure per l’ente), delle Linee guida per segnalare una certa vulnerabilità tutelando sia la struttura sia il soggetto segnalante. L’azienda o l’ente chiede di essere avvisata, nel modo corretto, di eventuali falle alla sicurezza risolvendole e aumentando in questo modo il proprio livello di sicurezza informatica.
L’implementazione di tale standard e policy viene caldamente suggerito da numerosi enti pubblici e privati, nonché essere espressamente prevista come best practice da parte del NIST. Il Center for European Policy Studies, per esempio, ha recentemente affermato che i VDP “possono ridurre il rischio di incorrere in multe derivanti da possibili violazioni dei dati personali”. Questo suggerisce che, nel caso di una violazione legata al GDPR 2016/679, l’assenza di un VDP potrebbe anche essere vista come degna di penalizzazione.
Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.