GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/616/00.jpg

Dettaglio news
Cybersecurity e attacchi 0day: le minacce più insidiose non inserite nei contratti


giovedì 16 dicembre 2021
di Avv. Gianni Dell'Aiuto





La cybersecurity e gli attacchi 0day devono riflettersi sui contratti tra aziende clienti e sviluppatori: entrambe le parti devono cautelarsi in tal senso.

Vulnerabilità 0day: cosa sono?

È assolutamente possibile che uno sviluppatore informatico o un’azienda che produce un sistema, non si rendano conto delle possibili vulnerabilità e delle problematiche connesse alla sicurezza informatica. Dal momento in cui si viene a conoscenza di detta vulnerabilità, sono infatti passati zero giorni ed è estremamente probabile che il creatore del sistema se ne accorga solo dopo che qualche hacker lo ha violato guadagnandosi un accesso abusivo per sottrarre dati o creare altri gravi malfunzionamenti. Non è ipotesi fantasiosa che, al momento in cui viene sviluppato un software o un sistema informatico, il problema della sicurezza venga demandato ad una seconda fase o neppure considerato, fidandosi dei classici antivirus.

Un esempio concreto > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Il peso delle 0day in un mondo sempre più connesso

In un momento in cui gli attacchi informatici stanno aumentando ed il contesto sociale prevede un incremento di attività online sia nel mondo del lavoro sia nella nostra quotidianità, sempre più invasa dalla tecnologia IoT, si tratta di una problematica che deve essere presa adeguatamente in considerazione. È innegabile che, dall’inizio della pandemia, abbiamo assistito a uno sforzo sempre più proattivo da parte dei criminali non solo per approfittare delle vulnerabilità e tenere in ostaggio le organizzazioni, ma anche per diffondere i loro servizi di ransomware e sfruttare finanziariamente la loro expertise.


Si dice che la criminalità informatica è diventata addirittura “democratizzata” ed è sempre più disponibile per le masse. Pertanto, il fatto che gli hacker siano sempre più in grado di prendere di mira i punti deboli che sviluppatori o programmatori devono ancora risolvere è sicuramente motivo di preoccupazione per i professionisti della cybersecurity.

Deve inoltre tenersi presente che gli attacchi 0-day prevedono anche l’uso di worms, malware in grado di autoreplicarsi.

Vulnerabilità 0day e aspetti contrattuali

Tutto ciò si riflette anche sugli aspetti legali e contrattuali di aziende clienti e sviluppatori: entrambe le parti del contratto devono necessariamente cautelarsi in tal senso. In particolare, gli acquirenti di programmi e software dovranno premunirsi ed inserire clausole che garantiscano la sicurezza del prodotto acquistato, specialmente quando dovesse essere installato nelle loro reti e nei loro sistemi.


Gli sviluppi tecnologici, ancora una volta, si ripercuotono sulla contrattualistica, imponendo alle aziende una sempre maggiore attenzione alle criticità e problematiche che possono giungere anche dall’esterno ma delle quali è il proprio fornitore a doverlo cautelare. Ad una prima analisi sembra inoltre difficile per uno sviluppatore potersi difendere da un attacco 0-day sostenendo un’imprevedibilità. È del resto lui a dover garantire la sicurezza del proprio prodotto oltre alla funzionalità.

Per saperne di più > La catena della privacy nei contratti software

Si dice, parlando della lotta al doping, che i creatori di sostanza sono sempre un passo avanti rispetto a chi si occupa di antidoping. In informatica ben possiamo dire che gli hacker sono sempre in vantaggio sugli sviluppatori. I contratti devono prevedere ogni eventualità. E quella degli attacchi 0-day possono rivelarsi addirittura certezze.




CONDIVIDI QUESTA PAGINA!