Gli obiettivi degli attacchi informatici sono molteplici e coinvolgono la nostra vita quotidiana in vari modi: dagli attacchi ai nostri telefoni cellulari ed alla nostra privacy, a quelli sui nostri conti bancari oppure più recentemente alle nostre auto o case (dotate ormai di numerosi strumenti per la domotica).
La necessità di proteggere i sistemi informatici è palese, inoltre spesso gli attacchi al mondo digitale hanno anche conseguenze in quello fisico determinando una significativa convergenza tra gli aspetti sicurezza informatica e quelli di sicurezza in generale.
Esiste inoltre una asimmetria tra difensore ed attaccante per cui un singolo attaccante può avere molteplici obiettivi, che spesso si difendono in maniera autonoma, diversificata e non strutturata, offrendo quindi inerentemente una protezione debole.
È necessario rompere questa asimmetria e permettere la collaborazione tra i tutti i soggetti interessati di modo che la difesa sia comune.
Il progetto europeo C3ISP
In questo senso, è utile avere una infrastruttura che permetta di identificare gli attacchi informatici usando varie sorgenti di informazione. Questo è lo scopo del progetto Europeo C3ISP (www.c3isp.eu) che mira a fornire un sistema informatico flessibile e scalabile che consenta la condivisione e l’analisi di informazioni in maniera confidenziale e collaborativa al fine di proteggere tutti i sistemi informatici.
Una maggiore quantità di informazioni consente una migliore previsione e gestione degli attacchi informatici. Maggiori informazioni, migliore analisi e quindi maggiore sicurezza.
Tuttavia, quando si condividono le informazioni circa gli attacchi e le vulnerabilità dei sistemi informatici, si desidera anche mantenere un certo livello di controllo su di esse. Il progetto C3ISP risponde a questa esigenza fornendo una serie di meccanismi flessibili e potenti, regolati da accordi di condivisione dei dati (data sharing agreements), che permettono di proteggere informazioni condivise nel modo più appropriato in base agli scenari di utilizzo ed agli interessi dei fornitori di informazione.
La missione C3ISP è quella di definire un sistema di condivisione, analisi e protezione delle informazioni collaborativo e confidenziale come servizio per la gestione della sicurezza informatica. L’innovazione è la condivisione flessibile e controllabile e quindi l’analisi migliorata delle informazioni per attuare una migliore capacità di rilevamento e risposta cyber, preservando la riservatezza delle informazioni fornite. Il ciclo è quello di raccogliere, analizzare, informare e reagire, come da diagramma sotto.
È chiaro che esistono molti aspetti che devono essere considerati per raggiungere gli obiettivi sopra esposti.
I passi da fare per una migliore condivisione di dati di sicurezza
Da un lato è necessario facilitare la definizione, l’analisi, la gestione, l’applicazione e lo scioglimento degli accordi per la condivisione dei dati; passando dal descrizioni ad alto livello (vicino al linguaggio naturale) alle politiche di utilizzo dei dati direttamente applicabili da sistemi per il controllo di uso dei dati (data usage control).
Inoltre, per favorire la condivisione è importante considerare le tecniche di protezione dei dati più appropriate da utilizzare nella nell’infrastruttura che compie le operazioni di analisi. Tra le tecniche più importanti possiamo citare la crittografia omomorfica in grado di rendere possibile compiere operazioni di calcolo ed analisi direttamente su dati crittografati, oppure più semplicemente delle tecniche intermedie come quelle per l’anonimizzazione dei dati.
La crittografia omomorfica permette a chi condivide i dati di fornire solo dati cifrati al sistema di analisi, che non ne comprende quindi il significato, ed anche il risultato è cifrato di modo che solo il destinatario è in grado di decifrare. È una soluzione molto potente, ma anche dispendiosa dal punto di vista computazionale che può essere usata solo in casi particolari.
Il fatto di poter esprimere in linguaggio (semi-naturale) le politiche di condivisioni dei dati permette anche di inglobare in maniera efficace alcuni vincoli normativi circa la protezione dei dati (e.g. GDPR) di fatto permettendo l’adozione di un approccio “compliance by design” nella soluzione fornita. Si riesce quindi con questo meccanismo a integrare i requisiti normativi negli accordi di condivisione dei dati (data sharing agreements).
A che punto è il progetto
Per ottenere un sistema che possa essere utilizzato in molti settori, sono stati definiti una serie di studi pilota che coprono diverse aree rilevanti e con specifici requisiti di condivisione ed analisi dei dati come sicurezza informatica di larghe imprese (gestito da SAP), la gestione di un CERT nazionale (gestito dal ISCOM-MISE), le problematiche degli Internet Service Providers (gestito dal “Registro .it” che fa parte del progetto tramite il CNR) e in particolare per le PMI interessate ad avere una serie di servizi per la gestione della sicurezza offerti in outsourcing da altre compagnie (gestito da BT). In particolare, questo pilota sta riscuotendo molto successo in quanto è un settore in notevole sviluppo.
Il progetto è attualmente entrato nel secondo dei tre anni di attività ed alcune delle funzionalità sono già; sono stati definiti come i modulo di controllo di uso dei dati e alcuni tecniche di anonimizzazione dei dati basati su differential privacy. Per il futuro l’approccio che il CNR sviluppa insieme al partner francese CEA per rendere possibili funzioni di analitica avanzate direttamente su dati cifrati per evitare che il servizio di analitica possa ottenere dei vantaggi dall’analisi degli input / output del processo di analisi.
Le tecnologie sviluppate allo stato sono specifiche per la gestione di informazioni relative alla minacce cibernetiche, le stesse potranno essere usate anche in altri ambiti e per altri scopi e domini applicativi. In particolare sono molti gli ISAC (Information Sharing and Analysis Centres) che stanno nascendo in vari settori quali quello energetico e finanziario.
