Intervista a Silvio Ranise
[Intervista a Ing. Silvio Ranise Head of the Security & Trust Research Unit in FBK (Bruno Kessler Foundation) in Trento http://st.fbk.eu/SilvioRanise]
In questa era sempre più digitale, vissuta in prima persona dal cittadino, che non solo è spettatore ma anche attore, non si possono trascurare questioni come la Sicurezza informatica.
Teams di esperti, come quello guidato dall’ing. Ranise, lavorano ogni giorno come “Angeli custodi” affinché sia salvaguardata la sicurezza e la vita privata di ognuno di noi, che non deve essere più ignaro dei rischi che si corrono.
Prendendo consapevolezza dei pericoli informatici di ogni tipo a cui siamo sottoposti giornalmente, è doveroso rimboccarsi le maniche e creare un mondo Cyber Sicuro per noi stessi e le nuove generazioni.
Che ruolo ha Trento nello scenario, sempre più digitalizzato, nel quale viviamo?
Trento: Smart City di eccellenza
L’Information and communications technology (ICT) influenza le nostre routines, entrando nelle nostre case e nei nostri uffici con non precedente profondità e scala.
Nella stretta morsa del progresso le città cambiano volto mutando in vere e proprie Smart Cities.
Esse diventano un ecosistema in cui la tecnologia si unisce alle nostre esigenze ed in questa fusione si accentuano problemi legati alla Sicurezza e Privacy, due entità che dipendono l’una dall’altra.
La città di Trento è stata selezionata dall’Institute of Electrical and Electronic Engineers (IEEE) nell’ambito di IEEE Smart Cities Initiative: un’iniziativa globale con l’obiettivo di individuare 10 città come modello di eccellenza in ambito di Smart Cities.
Il progetto permette di legare città con dimensioni diverse ed esigenze diverse, nel contesto digitale: a partire dai servizi online della pubblica amministrazione, fino a questioni come Internet of Things (IoT) che includono sensori intelligenti per la gestione del traffico, Closed-Circuit Televisions (CCTVs), applicazioni per mobile, ecc.
Security & Trust collabora a 360 gradi all’iniziativa: Smart Community, per creare una comunità con maggiori servizi fatti a misura di cittadino, sperimentando innovativi modi di comunicazione tra cittadini e governo, nuovi modi di service delivery agli abitanti e nuove forme di collaborazione.
Lo studio di nuovi metodi di comunicazione tra Comune e cittadino ha portato all’utilizzo di elementi mutuati dai giochi e dalle tecniche di game design in contesti esterni ai giochi, la così detta Gamification. Trento e Rovereto Play & GO è una iniziativa che lega l’utilizzo dei mezzi di trasporto pubblici ad un applicazione mobile. L’app è stata pensata per stimolare tramite il gioco l’utilizzo dei trasporti pubblici. Per incentivare il cittadino, vengono resi disponibili premi, ottenibili con l’uso frequente dell’applicazione.
Spesso la sicurezza deve lasciar spazio all’usabilità, ma si potrebbe colmare lo spazio tra le due entità?
La sicurezza informatica che negli ultimi anni abbraccia “Smart Cities – IoT” è ancora più delicata della sicurezza dei sistemi IT per la convergenza tra mondo virtuale e fisico che mette in gioco sia la nostra “vita” virtuale che quella reale.
Ed è in questa convergenza che si accentua il gap tra Usabilità[1] e Sicurezza.
Il trade-off tra usability e security è inevitabile, ciò nonostante è una partita sulla quale è importante investire.
Purtroppo risulta parecchio difficile colmare il gap che c’è tra Usabilità e Sicurezza.
Sarebbe ottimale per chi lavora nella cyber defense impegnarsi affinché il livello di sicurezza raggiunga il 100{ed59674240d1bceea1f547942414ae9aeaa7b975a86bd0e85f2787781cfd52e1}, trascurando l’utente, ma ciò porterebbe i sistemi ad essere talmente poco user-friendly da risultare inutilizzabili. Per chi lavora nel settore sarebbe utile, attraverso sistemi di log, controllare gli accessi ai file e notificare a chi di dovere eventuali accessi illeciti (Accountability). Ciò nonostante tale approccio si dimostra parecchio complesso in ambienti come la medicina, dove si maneggia spesso materiale “delicato”.
[1] Il grado per il quale un software può essere usato da specifici clienti per ottenere quantificati obiettivi con efficacia, efficienza, e soddisfazione in un quantificato contesto di uso.
Analizzate Smart Cities ed IoT, quali sono i rischi per uno Smart Citizen?
Volendo trovare un esempio assai comune di rischio: basta pensare ai sistemi di geolocalizzazione dei dispositivi mobili.
Il singolo cittadino non è l’unico punto critico; Infrastrutture Critiche richiedono particolare attenzione. Con il termine infrastruttura critica si intende un sistema, una risorsa, un processo, un insieme, la cui distruzione, interruzione o anche parziale o momentanea indisponibilità ha l’effetto di indebolire in maniera significativa l’efficienza e il funzionamento normale di un Paese, ma anche la sicurezza e il sistema economico-finanziario e sociale, compresi gli apparati della pubblica amministrazione centrale e locale.
Per ovvie ragioni di sicurezza queste “infrastrutture critiche” sono quasi sempre non connesse alla rete, ma cosa succede se si effettua un update tramite flash drive infetto?
Il malware Stuxnet ne è un prova: creato e diffuso dal Governo statunitense (nell’ambito dell’operazione “Giochi Olimpici”, promossa da Bush nel 2006, che consisteva in un “ondata” di “attacchi digitali” contro l’Iran) in collaborazione col governo israeliano. Lo scopo del software era il sabotaggio della centrale nucleare iraniana di Natanz. Gli americani riuscirono nell’intento e si narra che l’inizio del contagio da parte di Stuxnet sia avvenuto dall’interno del sistema industriale stesso tramite una chiavetta USB infetta in mano ad un ignaro ingegnere iraniano.
Si evince che Smart Realities hanno bisogno di contromisure ad attacchi non per forza legati alla rete, e che contromisure specifiche vanno studiate ed applicate.
Quali contromisure possono essere messe in atto per evitare la proliferazione illecita di dati sensibili o azioni malevoli compiute da Hackers non etici con scopo di lucro o danneggiamento di servizi?
Soluzioni per combinare in maniera sicura il sempre più emergente ecosistema di servizi online sono disponibili, ma sono notoriamente difficili da attuare. Molte falle sono state trovate in protocolli security-critical e servizi sviluppati anni prima. Queste falle sono solitamente dovute a complicate ed inaspettate interazioni di protocolli e servizi ed inoltre a possibili nocive interferenze di agenti malevoli. Poiché’ queste debolezze sono molto difficili da individuare attraverso tecniche di verifica tradizionali (es. manual inspection and testing), sistemi security-critical sono un target naturale per tecniche di verifica automatiche.
Il gruppo Security & Privacy oltre alla precedente iniziativa, e non solo, si impegna con Trentino Network ed Informatica Trentina per digitalizzare la città e la provincia nel modo più sicuro e privato possibile, consapevoli dei nuovi rischi dell’era digitale.
Quanto e come le aziende ed il governo sono pronti ad affrontare questo boom tecnologico?
Bisogna essere proattivi e non reattivi.
La contromisura più efficace è la proattività: bisogna anticipare eventuali incidenti.
Spesso realtà private e pubbliche per mancanza di budget e competenze non sono pronte a reagire ad attacchi informatici.
FBK e l’Università di Trento con i loro sforzi mirano ogni giorno a creare un ambiente sempre più sicuro, adottando strategie che permettano di non essere solo reattivi, ma anche proattivi. Infatti cooperano con i “Computer Emergency Response Teams” (CERTs) nazionali, al fine di progredire insieme, attraverso un mutuo scambio di conoscenze.
