L’interessante passaggio sulla Coordinated Vulnerabilty Disclosure presente nel piano di cybersecurity italiano

È una questione che, spesso, è stata evidenziata tra quelle più critiche mai affrontate dalla nostra pubblica amministrazione. E che, di conseguenza, ha avuto un riflesso anche sulla percezione del nostro Paese – per questo settore – a livello europeo. Stiamo parlando della divulgazione coordinata delle vulnerabilità su portali digitali pubblici, ma anche da parte di operatori privati. Nel piano nazionale della cybersicurezza che è stato presentato nelle ultime ore, è presente un passaggio molto interessante su questo aspetto, che – non a caso – è stato immediatamente individuato dai massimi esperti italiani del settore. Con una buona dose di fiducia.

LEGGI ANCHE > I 623 milioni previsti dal governo per la strategia italiana di cybersicurezza

Coordinated Vulnerabilty Disclosure, la previsione del piano per la cybersicurezza

Al di là dei titoli sensazionalistici sulle cifre stanziate per il piano – si parla di 623 milioni di euro -, è importante considerare (e cercheremo di farlo anche nei prossimi giorni) i singoli aspetti su cui questo stesso piano va a incidere. Uno di questi è stato individuato prontamente su Twitter da Gianluca Varisco, esperto di trasformazione digitale, che ha manifestato buoni auspici rispetto a quello che è stato inserito all’interno del documento presentato dal presidente del Consiglio Mario Draghi, dal sottosegretario Franco Gabrielli e dal direttore dell’ACN Roberto Baldoni.

Ieri l’Agenzia per la Cybersicurezza Nazionale (@csirt_it) ha pubblicato la Strategia Nazionale di Cybersicurezza 2022-2026. Tra gli obiettivi, un accenno interessante al tema Coordinated Vulnerability Disclosure (CVD) di cui vi ho parlato molto in questi anni 🧵

— Gianluca Varisco (@gvarisco) May 26, 2022

Il piano mira a definire, tra gli altri obiettivi, una «politica nazionale sulla divulgazione coordinata di vulnerabilità, così da porre il Paese al passo con altre nazioni e con quanto richiesto dalla comunità internazionale». Questa strategia si poggia sia sulla reazione della pubblica amministrazione, sia su quella degli operatori privati. Questi ultimi, in particolare, dovrebbero essere incoraggiati a creare dei Product Security Incident Response Team, ovvero delle sezioni apposite dove poter ricevere, da parte degli utenti, delle segnalazioni su possibili vulnerabilità e sfruttare così la partecipazione per migliorare i servizi erogati e i loro livelli di sicurezza. Una strada che aprirebbe, di fatto, a una nuova cultura della cybersicurezza a livello pubblico e a livello privato, un passo in avanti rispetto a uno scarto – attualmente – fatto da sospetti nei confronti delle segnalazioni di vulnerabilità e di reticenze (dovuti a presunti motivi reputazionali) nel comunicarle al pubblico.