Approccio europeo alla
Software Vulnerability
Disclosure
GIANLUCA VARISCO
Team per la Trasformazione Digitale
Governo Italiano
Slide 2
Slide 2 text
CHI SONO
Good intentions
do not work.
Mechanisms
work.
Slide 3
Slide 3 text
Team per la
Trasformazione
Digitale
Slide 4
Slide 4 text
Coordinated
Vulnerability
Disclosure
(CVD)
Slide 5
Slide 5 text
A cosa
serve?
Definisce una modalità
per riportare le vulnerabilità,
lasciando al ricevente il tempo
necessario per individuare
e applicare le opportune contromisure,
prima di renderle pubbliche.
Slide 6
Slide 6 text
Benefici
La tempestività nel risolvere le falle
risulta cruciale per ridurre la finestra
temporale in cui i software sono
esposti a soggetti malevoli.
Slide 7
Slide 7 text
Ruolo
del Team
Crediamo fermamente nella Coordinated
Vulnerability Disclosure (CVD) come uno
degli strumenti principali per fare
un uso positivo e controllato
delle fortissime conoscenze della
comunità di ethical hacker italiane e
internazionali.
Slide 8
Slide 8 text
È un duro lavoro
di squadra
Slide 9
Slide 9 text
CEPS Task Force on
«SW Vulnerability Disclosure
in Europe»
Slide 10
Slide 10 text
PERCHÉ?
I ricercatori di sicurezza nell’Unione Europea
necessitano di:
• una maggiore chiarezza giuridica
• standard consistenti
28 stati membri
28 situazioni disomogenee
Slide 11
Slide 11 text
Esempio:
Ungheria
Slide 12
Slide 12 text
Altri esempi
Slide 13
Slide 13 text
Partecipanti
Slide 14
Slide 14 text
Partecipanti
Slide 15
Slide 15 text
Partecipanti
Slide 16
Slide 16 text
ISO/IEC 29147 e
ISO/IEC 30111
Slide 17
Slide 17 text
Summary
vulnerability
disclosure process
Slide 18
Slide 18 text
Vulnerability
information
exchange
Slide 19
Slide 19 text
Mappatura
Slide 20
Slide 20 text
Proposte
Slide 21
Slide 21 text
CVD Policy
European-level framework
complemented by national
legislation
Slide 22
Slide 22 text
Amending
national
legislation
Member states should amend
their national legislation
bearing on CVD, using the
framework on CVD
introduced in the
Netherlands as a
model.
Slide 23
Slide 23 text
EU
Legislation
Amending Directive
2013/40/EU on attacks against
information systems (the "EU
cybercrime Directive") to
support CVD
Slide 24
Slide 24 text
EU
Legislation
Protection of security
researchers
Slide 25
Slide 25 text
EU
Legislation
Incentives for security
researchers
Slide 26
Slide 26 text
EU
Legislation
Cybersecurity Act:
ENISA can contribute to the
harmonised development of
CVD in the EU by having its
mandate amended.
Slide 27
Slide 27 text
Report finale previsto per
Giugno 2018
Slide 28
Slide 28 text
Grazie!
Domande?
Slide 29
Slide 29 text
Seguici su:
teamdigitale.governo.it
pianotriennale-ict.italia.it
@gvarisco, @teamdigitaleIT
@gvarisco, @team-per-la-trasformazione-digitale
@company/teamdigitale