Luca Manara, ceo di Unguess

Qual è il modo migliore per proteggersi? Farsi attaccare. Almeno quando si tratta di cybersecurity: il miglior alleato è proprio il nemico. O meglio: il nemico potenziale. Se poi si tratta di un vero e proprio esercito, ancora meglio.

Chiedetelo a quelli di Unguess, startup innovativa che dal 2015 aiuta le aziende a potenziare prodotti e servizi digitali coinvolgendo la sua community, il Crowd, in tutte le fasi del processo. Sono loro ad aver creato il primo servizio innovativo di bug security bounty “made in the crowd”. Si chiama WhiteJar e si appoggia su una comunità estesa di professionisti: gli hacker etici.

«WhiteJar (https://whitejar.io) è un servizio unico nel suo genere in Italia nella lotta agli attacchi informatici e nella creazione di strumenti di difesa – spiega Luca Manara, Ceo di Unguess, che insieme ad Aldo Del Bo’ – ex Kaspersky – ha ideato WhiteJar – L’accelerazione della digitalizzazione, sostenuta anche dai fondi previsti dal Pnrr, farà gola a molti cybercriminali, esponendo le aziende italiane a pericoli che è bene che imparino a fronteggiare. WhiteJar impiega l’ethical hacking in modalità crowdsourcing. Offriamo una community di tecnici “pronta all’uso” delle aziende con le competenze che esse cercano per proteggere i loro sistemi informatici».

Il nome ‘WhiteJar’ rimanda ai ‘white hat’ e a Jar, ovvero ‘giara’, che vuole invece simbolicamente rappresentare un contenitore capace di raccogliere le esperienze dei tanti singoli professionisti.

«Si tratta dell’unica community di ethical hacker certificati, in Italia, cioè persone in carne e ossa di cui si conosce l’identità e la storia e che mettono al servizio di aziende ed enti pubblici il loro sapere per sventare gli attacchi dei pirati informatici», sottolinea Aldo Del Bo’, Head of Cybersecurity, che da Londra, crocevia mondiale della cybersecurity, sovrintende al progetto, in vista della prossima espansione in Europa.

Il modello di lavoro WhiteJar si basa sulla condivisione dell’intelligenza collettiva e diffusa: «Abbiamo una community di centinaia di hacker etici, supervisionati da una figura senior che applica un sistema interno di validazione, testano la vulnerabilità di un tema e offrono la strategia per porvi rimedio. Tutto questo in tempo reale, 24 ore su 24, 7 giorni su 7», spiega il manager.

«I nostri clienti sono soprattutto grandi imprese che hanno nell’esposizione sul web i propri asset principali», spiega Del Bo’: «piattaforme di e-commerce, siti internet, nuovi business Nft, sistemi basati su criptovalute.

Le aziende, sottoscrivendo un abbonamento annuale, lanciano sulla nostra piattaforma delle campagne per sottoporre al check di sicurezza i propri sistemi, comprese eventuali app. Offriamo un approccio human driven: le incursioni di offesa avvengono non da bot, come accade di solito, ma un mix macchina-uomo e ogni sistema viene sottoposto in contemporanea a una moltitudine di differenti approcci tecnici».

WhiteJar propone sia un modello ciclico, con un servizio in abbonamento di 12 mesi che comprende un numero illimitato di test che possono essere integrati nei processi di sicurezza aziendale, sia servizi a progetto, che si esauriscono in una singola campagna mirata.

In entrambi i casi, il cliente paga solo per le vulnerabilità eventualmente trovate, secondo il modello del rewarding: «per ogni campagna viene remunerato solo il professionista che identifica la vulnerabilità, ne dà evidenza sulla piattaforma e suggerisce la relativa soluzione».

Il “quanto” dipende dall’investimento in sicurezza informatica che una azienda e’ disposta a fare in un anno.

Il costo? «In caffè, sarebbero 20 mila», scherza Del Bo’, «che sul mercato corrisponde ad un costo medio di 2 o 3 vulnerability assessment …ma che sulla nostra piattaforma consentono la pubblicazione di un numero illimitato di bounty».

E chi non se li può permettere, tutti questi caffè? «Per le Pmi abbiamo sviluppato un servizio ad-hoc che si avvale della collaborazione di Partner Mssp».