Minacciare i ricercatori di sicurezza è una pratica che persiste, anche quando sbugiardano le dichiarazioni ufficiali. L'ultimo caso riguarda Connor Goodwolf, citato in giudizio dalla città di Columbus, Ohio, per aver dimostrato che i dati rubati durante un attacco ransomware non erano stati criptati, contrariamente a quanto affermato dal sindaco. La città, invece di ammettere la vulnerabilità, ha scelto di attaccare chi ha portato alla luce la verità, chiedendo un'ingiunzione e danni per 25 mila dollari.
Questo evento sottolinea un problema più ampio: la criminalizzazione dei ricercatori di sicurezza. Invece di essere riconosciuti per il loro contributo cruciale alla sicurezza informatica, vengono spesso trattati come criminali. Tale approccio non solo scoraggia la ricerca e l'innovazione, ma lascia anche le falle di sicurezza aperte ai criminali. La discrepanza tra le dichiarazioni ufficiali e la realtà dei dati rubati evidenzia un gap significativo nella gestione e comunicazione degli incidenti di sicurezza.
Il vero danno ricade sui cittadini, i cui dati personali sono esposti senza che ne siano informati adeguatamente, impedendo loro di proteggersi. Questo caso esemplifica la necessità di una normativa che protegga chi segnala problemi di sicurezza, anziché punirli. Le aziende devono comprendere che attaccare chi svela le loro vulnerabilità non diminuisce i problemi, ma li amplifica, trasformando situazioni gestibili in crisi di immagine e sicurezza di vasta portata.
In questa Puntata
La criminalizzazione dei ricercatori di sicurezza crea più danni che soluzioni. Scopri perché Columbus ha scelto la strada sbagliata.