L’adozione del cloud computing nell’UE è ancora limitata. Tra le varie ragioni, una delle principali è la percezione dei clienti riguardo alla mancanza di sicurezza e trasparenza di questa tecnologia. I fornitori di servizi cloud (CSP) spesso si affidano a certificazioni di sicurezza come mezzo per migliorare questa trasparenza e affidabilità, ma ciò non è facile da fare in Europa al giorno d’oggi, principalmente a causa della frammentazione del mercato delle certificazioni.
Lo schema di certificazione EUCS
In questo contesto, l’EU Cybersecurity Act (EU CSA) propone di migliorare la fiducia dei clienti nel mercato ICT europeo attraverso una serie di schemi di certificazione a livello UE. Uno di questi è lo European Cybersecurity Certification Scheme for Cloud Service (EUCS) sviluppato dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA). Il progetto EUCS introduce concetti nuovi come:
- Tre diversi livelli di garanzia: Base, Sostanziale e Alto[MP1]
- Composizione delle certificazioni per la catena di fornitura cloud
- Monitoraggio di certificazione continuo
Il progetto Medina
Tutto ciò implica nuove sfide tecnologiche per i fornitori di servizi cloud, che devono essere risolte per raggiungere pienamente i benefici attesi. In questo contesto, il progetto Medina, finanziato dall’EU H2020, mira a fornire ai CSP uno strumento che consenta loro di certificare i servizi cloud in modo automatizzato e in tempo reale. Il progetto Medina unisce partner accademici (CNR e Fraunhofer), industriali (Technalia, XLAB e Hewlett Packard Italiana), CSP pubblici (Bosch e Fabasoft) e enti di valutazione (NIXU) provenienti da 6 paesi dell’UE.
L’obiettivo del progetto di ricerca
L’obiettivo principale del progetto di ricerca europeo Medina è fornire un quadro olistico che migliori il controllo e la fiducia dei clienti sui servizi cloud consumati, supportando i CSP (fornitori IaaS, PaaS e SaaS) per il raggiungimento di una certificazione continua allineata all’EUCS. Il quadro proposto è composto da strumenti, tecniche e processi che supportano la valutazione continua delle misure di sicurezza per ottenere e mantenere la certificazione dei servizi cloud.
MEDINA si basa su su componenti che conferiscono al progetto una particolare rilevanza riguardo alla nozione di monitoraggio continuo e automatizzato dell’EUCS. Essi sono:
Catalogo dei controlli e delle metriche
EUCS fornisce una serie di requisiti di sicurezza, principalmente basati su standard internazionali, che devono essere valutati per certificare i servizi cloud. Al momento della stesura, l’EUCS non definisce le linee guida concrete o le “metriche di conformità” da utilizzare per valutare i requisiti. La mancanza di metriche standard dell’EUCS può diventare un problema per i CSP e gli enti di accreditamento delle certificazioni (CAB), che potrebbero dover utilizzare le proprie metriche personalizzate per implementare/valutare i requisiti dell’EUCS in modo automatizzato.
Medina ha definito un catalogo di requisiti EUCS e metriche, associati tra di loro.
Il catalogo offre la possibilità di valutare la conformità dei servizi cloud rispetto al livello di garanzia selezionato. Questo supporta i CSP a identificare l’ insieme dei requisiti di sicurezza da soddisfare per ottenere la certificazione.
Approccio basato sul rischio per i controlli di sicurezza
Medina propone uno strumento di supporto per i CSP, che possono stimare il rischio a cui vanno incontro se non sono conformi ad uno schema di certificazione.. Il rischio è calcolato tenendo conto delle informazioni sull’implementazione dei requisiti dell’EUCS e delle risorse cloud.
Obiettivo principale dell’analisi è stimare la deviazione dalla piena conformità rispetto a EUCS, considerando esigenze specifiche del singolo CSP. del servizio cloud. Le deviazioni sono classificate come maggiori o minori, assumendo che i servizi con deviazioni minori possano giustificare la mancanza dei requisiti dell’EUCS implementati, in quanto di effetto marginale sul quadro complessivo del rischio di sicurezza informatica, e ottenere un certificato.
Linguaggio di certificazione
Gli schemi di certificazione – e l’EUCS non fa eccezione – sono definiti in linguaggio naturale. E’ necessario quindi tradurre i requisiti degli schemi in un linguaggio eseguibile da un sistema informatico.
Medina ha definito un linguaggio naturale semicontrollato per la specifica dei requisiti e delle metriche, appoggiandosi anche a tecniche di elaborazione del linguaggio naturale (NLP) per l’associazione automatica di requisiti e metriche.
Raccolta delle evidenze e audit continuo
Essenziale per ottenere una certificazione basata su monitoraggio continuo è la raccolta di evidenze tecniche.
Medina offre un framework per la gestione delle evidenze digitali relative all’EUCS che, come i rischi, sono continuamente monitorate e valutate. In pratica, si raccolgono evidenze riguardanti l’operatività delle misure di sicurezza in atto, si confrontano tali evidenze con i valori che impone lo schema di certificazione, e se il confronto va a buon fine si ottiene la certificazione. Le evidenze raccolte in Medina sono sottoposte a controlli basati su tecniche di DLT/Blockchain per esser certi che non siano manipolate.
Conclusioni
Medina fornisce un framework modulare per la raccolta e valutazione delle evidenze, nonché per la valutazione del rischio in cui i CSP possono incappare se non ottengono la certificazione EUCS. Anche se la versione finale dell’EUCS non è ancora stata rilasciata, il framework Medina la anticipa con una raccolta di moduli pronti all’uso che supportano l’ambizioso obiettivo della certificazione di sicurezza informatica continua basata su evidenze. Queste attivita’ di ricerca continuano nei progetti EU EEMERALD e nazionale SERICS – DISE (Digital Sovereignty).
