Slide 1

Slide 1 text

Approccio europeo alla Software Vulnerability Disclosure GIANLUCA VARISCO Team per la Trasformazione Digitale Governo Italiano

Slide 2

Slide 2 text

CHI SONO Good intentions do not work. Mechanisms work.

Slide 3

Slide 3 text

Team per la Trasformazione Digitale

Slide 4

Slide 4 text

Coordinated Vulnerability Disclosure (CVD)

Slide 5

Slide 5 text

A cosa serve? Definisce una modalità per riportare le vulnerabilità, lasciando al ricevente il tempo necessario per individuare e applicare le opportune contromisure, prima di renderle pubbliche.

Slide 6

Slide 6 text

Benefici La tempestività nel risolvere le falle risulta cruciale per ridurre la finestra temporale in cui i software sono esposti a soggetti malevoli.

Slide 7

Slide 7 text

Ruolo del Team Crediamo fermamente nella Coordinated Vulnerability Disclosure (CVD) come uno degli strumenti principali per fare un uso positivo e controllato delle fortissime conoscenze della comunità di ethical hacker italiane e internazionali.

Slide 8

Slide 8 text

È un duro lavoro di squadra

Slide 9

Slide 9 text

CEPS Task Force on «SW Vulnerability Disclosure in Europe»

Slide 10

Slide 10 text

PERCHÉ? I ricercatori di sicurezza nell’Unione Europea necessitano di: • una maggiore chiarezza giuridica • standard consistenti 28 stati membri 28 situazioni disomogenee

Slide 11

Slide 11 text

Esempio: Ungheria

Slide 12

Slide 12 text

Altri esempi

Slide 13

Slide 13 text

Partecipanti

Slide 14

Slide 14 text

Partecipanti

Slide 15

Slide 15 text

Partecipanti

Slide 16

Slide 16 text

ISO/IEC 29147 e ISO/IEC 30111

Slide 17

Slide 17 text

Summary vulnerability disclosure process

Slide 18

Slide 18 text

Vulnerability information exchange

Slide 19

Slide 19 text

Mappatura

Slide 20

Slide 20 text

Proposte

Slide 21

Slide 21 text

CVD Policy European-level framework complemented by national legislation

Slide 22

Slide 22 text

Amending national legislation Member states should amend their national legislation bearing on CVD, using the framework on CVD introduced in the Netherlands as a model.

Slide 23

Slide 23 text

EU Legislation Amending Directive 2013/40/EU on attacks against information systems (the "EU cybercrime Directive") to support CVD

Slide 24

Slide 24 text

EU Legislation Protection of security researchers

Slide 25

Slide 25 text

EU Legislation Incentives for security researchers

Slide 26

Slide 26 text

EU Legislation Cybersecurity Act: ENISA can contribute to the harmonised development of CVD in the EU by having its mandate amended.

Slide 27

Slide 27 text

Report finale previsto per Giugno 2018

Slide 28

Slide 28 text

Grazie! Domande?

Slide 29

Slide 29 text

Seguici su: teamdigitale.governo.it pianotriennale-ict.italia.it @gvarisco, @teamdigitaleIT @gvarisco, @team-per-la-trasformazione-digitale @company/teamdigitale