La sicurezza cibernetica (cyber security) di un qualsiasi sistema non può prescindere dalla sicurezza dell’architettura hardware sottostante.
L’architettura hardware per la cyber security
Anche se il concetto astratto di architettura di un sistema di elaborazione complesso si è via via ampliato e include oggi hardware, software, algoritmi, infrastrutture di comunicazione, piattaforme, dati, processi, metodologie, contratti, fattore umano, etc., la protezione dell’hardware rimane assolutamente ineludibile.
L’hardware infatti esegue il software e costituisce, di fatto, l’ultima linea di difesa: se l’hardware è corrotto, tutti i meccanismi introdotti per rendere sicuro il software (a qualsiasi livello) possono rivelarsi inutili. Un hardware non opportunamente protetto può costituire l’anello debole della catena, diventando una porta di accesso al sistema, alle sue funzionalità e ai dati in esso trattati e/o memorizzati. Questo fatto è stato ampiamente evidenziato, all’inizio di quest’anno, anche sui mezzi di comunicazione di massa, dal dibattito relativo ai due attacchi, noti come Meltdown e Spectre, che sfruttano bachi nella progettazione di processori avanzati.
Strategia Paese per un hardware nazionale
Un sistema Paese, nella pianificazione delle difese messe in atto contro attacchi cibernetici di varia natura, deve quindi porsi in maniera seria, consapevole e risoluta anche il problema della cosiddetta “tecnologia nazionale”. È ben noto che, a causa di scelte politiche e imprenditoriali quantomeno discutibili, l’Italia ha abbandonato da tempo il settore dell’hardware.
Tuttavia, uno Stato sovrano deve necessariamente avere il controllo totale di alcune tecnologie chiave. Al riguardo, occorre definire una strategia a livello di sistema Paese che permetta di decidere, per ciascuna categoria e sottocategoria di componenti e di tecnologie, quali siano quelle da sviluppare a livello nazionale e quali quelle che possano essere acquistate sul mercato estero.
Nel mercato mondiale dei semiconduttori di punta, si registra oggi, da un lato la concentrazione in pochissime mani della capacità tecnologiche necessarie e, dall’altro la necessità di investimenti dell’ordine di alcuni miliardi di euro per la messa in opera di una nuova linea di produzione per circuiti integrati di ultima generazione.
Alla luce di questi trend non è realistico pensare di arrivare ad avere, in Italia, una produzione nazionale di processori e dispositivi general-purpose in grado di competere con quelli immessi sul mercato dai quattro o cinque produttori mondiali Over-The-Top, quali Samsung, Intel, Taiwan Semiconductor (TMSC) e Global Foundries (UAE).
È tuttavia ragionevole e soprattutto compatibile con il quadro macro-economico del Paese avviare una politica mirata allo sviluppo di produzioni “nazionali” per applicazioni e/o settori di nicchia ritenuti strategici per la sicurezza nazionale. Visto che non è possibile sviluppare componenti nazionali, dobbiamo ripiegare sulla progettazione e sulla realizzazione delle cosiddette architetture nazionali tolleranti le vulnerabilità. Come evidenziato anche nel Libro Bianco “Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici”, si tratta di architetture “nazionali” in grado di garantire livelli di sicurezza predefiniti, anche in sistemi che contengono dispositivi hardware ed eseguono applicativi software con vulnerabilità di diversa natura, note e/o non ancora rivelate. Le soluzioni proposte, da sviluppare secondo i paradigmi della Security by Design, devono essere in grado di fornire livelli di sicurezza variabili e adattabili alle diverse criticità dei sistemi.
Il controllo del Paese su queste architetture deve necessariamente essere completo: nell’allestimento di una produzione “nazionale” occorrerà pertanto rendere trusted (e quindi sviluppata in ambienti adeguatamente protetti) l’intera filiera, che va dalla progettazione al processo di produzione, al collaudo, alla certificazione, alla installazione, alla manutenzione, agli aggiornamenti e alla dismissione. In ciascuna fase sarà poi necessario garantire adeguati livelli di fiducia nelle persone coinvolte, negli strumenti di ausilio alla progettazione impiegati e nelle eventuali terze parti reperite a qualsiasi titolo sul mercato estero.
Un’accorta programmazione e gestione è in grado di garantire la realizzabilità del progetto di architetture nazionali protette a costi non eccessivi e ritenuti compatibili con le disponibilità del Paese.
Gli investimenti necessari per il Paese: il Centro Nazionale di Ricerca e Sviluppo in cybersecurity
Per fare questo occorre però fare alcuni investimenti nella ricerca in questo settore a partire da un Centro Nazionale di Ricerca e Sviluppo in Cybersecurity che avrà come compito principale la ricerca avanzata, lo sviluppo di architetture, applicazioni e azioni di varia natura di respiro nazionale. Tale Centro è peraltro già previsto dal DPCM Gentiloni del febbraio 2017 che fornisce un riferimento nazionale strategico e operativo entro cui operare in modo coordinato tra pubblico e privato, militare e civile. Il Centro di Ricerca al quale pensiamo deve essere una struttura centralizzata, multidisciplinare, con adeguata massa critica, in parte governativa e in parte legata al mondo della ricerca e non dovrebbe avere alcuno scopo commerciale ma dovrebbe assistere il Governo in attività di Analisi, Ricerca scientifica, Scouting Tecnologico e System Engineering, seguendo l’esempio dei “Federally Funded Research and Development Center” statunitensi e dovrà essere in grado di attrarre ricercatori e investitori pubblici e privati (nazionali) per sviluppare ricerche di punta su tematiche di interesse strategico nazionale nel settore cyber.
Il Centro Nazionale dovrà poi essere ovviamente affiancato da un Centro di Valutazione e Certificazione Nazionale la cui attivazione risulta essere di primaria importanza, anche per lo sviluppo delle architetture nazionali tolleranti le vulnerabilità.
Ovviamente, il Centro dovrà operare in stretta sinergia con il mondo universitario e della ricerca scientifica, cooperando con i centri di eccellenza sparsi sul territorio nazionale, al fine di valorizzare al meglio le loro competenze e di erogare servizi ad alto contenuto innovativo verso le organizzazioni governative, l’amministrazione pubblica e il sistema della ricerca, tenendo conto del panorama internazionale di riferimento e delle migliori pratiche. Inoltre il Centro dovrà essere poi connesso con i Centri Territoriali di Competenza in Cybersecurity, distribuiti sul territorio con valenza di città metropolitana, regionale o interregionale, che si dovranno occupare soprattutto di innovazione in ambito cyber e curare il trasferimento tecnologico, la formazione, la consulenza e il supporto ad aziende locali, alle pubbliche amministrazioni locali e ai cittadini. Di centri di questo tipo avremo presto un esempio in Toscana, dove ne sta nascendo uno che vede il coinvolgimento delle tre università toscane (Firenze, Pisa, Siena), del CNR, dell’IMT di Lucca e della Regione Toscana.
