Solo pochi anni fa, molte aziende avrebbero trovato assurda l'idea di assumere un hacker per rafforzare le proprie difese digitali. Ma questa mentalità sta cambiando, con un numero crescente di aziende che incoraggiano attivamente gli ethical hacker a mettere alla prova la propria resistenza informatica.
Nell'ultimo decennio, a causa della trasformazione digitale, il panorama della sicurezza informatica si è rapidamente evoluto con nuove e più sofisticate minacce informatiche che emergono continuamente.
Gli hacker sono diventati sempre più ingegnosi e innovativi nel loro approccio alla truffa di individui e aziende. L'arsenale degli strumenti, ora prontamente ed economicamente disponibili per gli aspiranti hacker, ha reso più facile che mai lanciare attacchi informatici devastanti con un clic di un pulsante, anche per persone non estremamente esperte.
Una serie di violazioni a realtà importanti ha spostato la questione della cyber security dall’essere un problema solo del reparto informatico, a un’emergenza di cui si parla in sala riunioni. L'introduzione di leggi più severe riflette la crescente importanza e il debito di assistenza delle aziende nei confronti dei loro clienti.
In risposta a questa minaccia crescente, è nato un nuovo tipo di hacker -l’hacker white hat, anche noto come Ethical Hacker. Sebbene si tratti di una figura relativamente nuova nell'ecosistema informatico, l’Ethical Hacker sta rapidamente diventando una parte importante nella linea di difesa digitale contro gli attacchi informatici: a differenza degli hacker black hat, utilizzano la loro esperienza digitale per aiutare le aziende a fortificare meglio le loro difese contro gli attacchi. Lo fanno testando l'infrastruttura digitale di una società a caccia di vulnerabilità e per vedere se eventuali cybercriminali riescano a bypassare le loro difese per ottenere l'accesso ai sistemi.
Questa forma di hacking legale aiuta a identificare e correggere i difetti prima che gli hacker black hat li riconoscano e li sfruttino a loro vantaggio.
Tuttavia, ci sono ancora molte persone che associano il termine “hacker” a criminali informatici o, in generale, a persone che creano danni, secondo Gerry Grant, capo della sicurezza a Converged Communication Solutions. "Stiamo iniziando a vedere molto di più l'accettazione della necessità di testare le nostre reti e applicazioni, e ciò può essere fatto solo con i “buoni” che analizzano le vulnerabilità presenti in esse” dice Grant.
"Le aziende sembrano preferire molto di più il termine 'penetration tester' invece di white hat o ethical hacker, proprio a causa delle connotazioni negative che queste ultime parole richiamano, ma le attività che essi svolgono sono molto simili”
Il numero di ethical hacker è aumentato in modo esponenziale negli ultimi anni, sono conseguentemente nate startup come Hackerone, Bugcrowd e Synack, che aiutano gli ethical hacker e le aziende che offrono programmi di bug bounty. Alcune università scozzesi stanno tutt’ora offrendo lauree in sicurezza informatica, e l’Abertay University è stata la prima università al mondo ad offrire una laurea in Ethical Hacking.
Aziende come Google, Microsoft, Apple, Uber e Paypal hanno già riconosciuto il valore degli ethical hacker e offrono alcuni dei programmi di bug bounty più competitivi al mondo, con premi fino a $1,5 milioni per la risoluzione di problemi critici.
"Esistono Ethical Hacker che stanno facendo parecchi soldi partecipando a questi programmi e le aziende beneficiano dell'esperienza di molte persone che testano i loro sistemi", spiega Grant. Da quando Uber ha iniziato il suo programma di bug bounty ha pagato ben oltre $ 2 milioni a più di 600 ricercatori in tutto il mondo.
Nel corso degli ultimi anni, moltissimi ethical hacker etici sono finiti in prima pagina per essere diventati milionari attraverso i programmi di bug bounties. Nel settembre del 2019, HackeOne ha annunciato che cinque esperti di sicurezza sono diventati milionari attraverso l’ethical hacking, tra cui Mark Litchfield - il primo britannico a raggiungere pubblicamente questo traguardo.
Poiché le aziende detengono ed elaborano quantità sempre maggiori di dati sia interni che dei clienti, aumenterà anche la necessità di ethical hacker. "Sono fermamente convinto che le aziende hanno la responsabilità morale ed etica di garantire che questi dati siano il più sicuri possibile", dice Grant. "Il modo migliore di testare questa sicurezza, è utilizzare un ethical hacker."
L'anno scorso, il Regno Unito e l'UE hanno lanciato una nuova iniziativa, “Hack Right”, per aiutare i giovani cybercriminali a diventare ethical hacker e quindi soddisfare la domanda di talento digitale e per aiutarli a intraprendere carriere redditizie.
Il progetto pilota si è incentrato su centinaia di giovani hacker tra i 12 e i 23 anni per istruirli sulle conseguenze dell'attività informatica illegale, ma anche sui possibili percorsi di carriera che potrebbero intraprendere se scegliessero di diventare ethical hacker.
I beneficiari di questo progetto devono essere criminali per la prima volta e disposti a modificare il loro comportamento. Quando la polizia identifica un adolescente sospettato di condurre attività illegali, piuttosto che minacciarlo con azioni criminali, aspetta una confessione.
Se ammette le proprie colpe, l'adolescente sarà costretto a sottoporsi fino a 20 ore di formazione di informatica etica. Al termine del programma, gli adolescenti saranno ricompensati con i contatti dei professionisti di sicurezza informatici, che discuteranno con loro potenziali percorsi di carriera.
I dati di ricerca indicano chiaramente che una grande insufficienza di competenze in ambito di cyber sicurezza sta portando ad una situazione sempre più critica. è quindi necessario formare personale specializzato, che possa avere skills e competenze così da colmare il divario tra domanda e offerta.
Prima di intraprendere un percorso formativo in questo ambito è però fondamentale partire dalla scelta dell’organizzazione alla quale affidarsi per la propria formazione.
Il panorama italiano ha visto una proliferazione di scuole di formazione che mettono a catalogo questo corso ma che in effetti non hanno la cultura Cyber per poter creare dei veri professionisti.
Ne è dimostrazione il fatto che il corso di Ethical Hacker è spesso l’unico corso a catalogo in questo ambito.
In Fata Informatica lavoriamo nel campo della IT security dal 1994, conosciamo bene cosa richiede il mercato e come bisogna lavorare in questo settore. Nel 2015 abbiamo creato una Business Unit specializzata in servizi di Cybersecurity per enti privati ed istituzionali e per formare i tecnici che utilizziamo nei nostri progetti abbiamo creato il corso Ethical Hacker & Penetration Tester.
Nel 2018 abbiamo deciso di mettere sul mercato questo corso che ha caratteristiche di unicità in quanto non solo è tenuto da Docenti Universitari e professionisti che gestiscono i Red Team e Blue Team di Fata Informatica ma è anche focalizzata sulla parte pratica e di presentazione del lavoro svolto al cliente finale.
D’altronde un Ethical hacker dovrà pur dimostrare al cliente il suo lavoro per farsi pagare 😉