Nell’immaginario collettivo la parola hacker suscita prontamente un’idea negativa ovvero un soggetto esperto in ambito informatico che viola sistemi, reti, software etc, a discapito di aziende o siti governativi per rubare, ad esempio, informazioni sensibili, chiedendo poi un riscatto, magari in cripto valuta oppure rendendole pubbliche, mandando in fumo il diritto alla privacy del bersaglio di turno.
Se questo può essere vero e la rete, soprattutto il Dark Web che è l’ambiente per così dire sottotraccia di questi soggetti, è un veicolo ove è possibile comprare quasi tutto soprattutto illegalmente, la descrizione di questa figura narrata dai media ed una certa cinematografia, non coglie ed evidenzia tutti gli aspetti di un fenomeno umano assai eterogeneo ma complesso ed affascinante.
Il “pirata” informatico è prima di tutto una persona intelligente, mossa da una insaziabile voglia di conoscenza, di capire come funziona un apparato, un programma, una rete informatica e che vuole capire le vulnerabilità per poi individuare una o più soluzioni per risolvere le criticità che ha scoperto.
Da questa premessa possiamo capire meglio che cosa sia l’hacking etico e come questa attività possa essere utile per un’azienda, soprattutto per la sua sicurezza complessiva soprattutto al giorno d’oggi ove la digitalizzazione è un obbiettivo imprescindibile da raggiungere per una maggiore competitività ma che comporta un costante aggiornamento ed innumerevoli pericoli soprattutto per le PMI.
Che cos’è l’hacking etico
Nel corso degli ultimi anni la figura dell’hacker etico è sempre più richiesta dalle aziende.
L’ hacker etico è quel professionista che sfruttando le proprie capacità personali e competenze in sicurezza informatica, supporta le aziende nel raggiungimento di prestazioni elevate in materia di security aziendale.
Questa figura professionale, altamente specializzata, viene anche definita White Hat (ovvero capello bianco) e si contrappone ad esempio alla figura del black hat che utilizza le proprie capacità per un proprio tornaconto personale per:
- sottrarre numeri di carte di credito;
- “rubare” raccolte di dati personali e rivenderle ai numerosi ladri di identità.
Altre volte invece il black hat agisce per pura malizia è questo il caso della creazione di una botnet e l’utilizzo dello stesso per eseguire attacchi DDOS contro i siti Web non “graditi”.
Qual è il compito dell’hacker etico nelle aziende
Nelle aziende l’hacker etico entra in gioco, per esempio, nel corso della fase di penetration test durante la quale testa il livello di sicurezza della rete privata tentando di eludere i sistemi di sicurezza che la proteggono.
Simulando questo attacco tenta di capire quali e quante vulnerabilità sono presenti e quali soluzioni possono essere adottate per migliorare ed accrescere i livelli di sicurezza.
Una volta identificate le azioni da implementare stabilisce inoltre il budget di investimento congruo per sanare le problematiche emerse.
Hacker etici: un confronto diretto tra Italia e Stati Uniti
Se questa figura professionale sta diventando sempre più popolare ed utilizzata, il Bel Paese registra purtroppo anche in questo caso la maglia nera. Ciò significa che esportiamo cervelli e non abbiamo la capacità attrattiva di farli tornare in quanto gli stipendi sono inferiori rispetto ad esempio agli U.S.A.
Diamo qualche numero: nel nostro Paese un penetration tester junior percepisce in media uno stipendio netto di circa 1400 euro mensili (dai 25k ai 35k annui), con una media di 40/50k per i penetration tester professionalizzati.
Di fatto il valore di RAL è tra i più bassi d’Europa e uno tra i più bassi del mondo.
Al contrario negli USA la stessa figura Junior percepisce uno stipendio medio di 70k dollari, mentre quella Senior si aggira intorno ai 110k.
Questa nota dolente deve essere presa come una critica costruttiva affinché tale gap possa diventare una forte motivazione ad un serio cambio di direzione ed anche la politica deve fare la propria parte.
Formare giovani preparati significa creare possibilità professionali ovvero nuovi posti di lavoro ed una cultura digitale legata alla cyber security che coinvolga anche il mondo imprenditoriale italiano spesso restio all’investimento in questo settore.
