Cor.Com
Il quotidiano online dell’economia digitale e dell’innovazione
MAPPA DEL SITO | CHI SIAMO | CONTATTACI | COOKIE POLICY | PRIVACY
ICT & STRATEGY s.r.l. - via Copernico 38 - 20125 Milano - P.IVA 05710080960
Armando (Fondazione Kessler): "Nessun mercato senza reti sicure"
SMART GRIDS/2
L'unica strada percorribile - sostiene il docente dell'Università di Genova - è agire in ottica comunitaria. "Bisogna agire su prevenzione e monitoraggio"
di Antonello Salerno
In una rete elettrica a due direzioni, che recepisce e veicola
informazioni sui consumi e le abitudini degli utenti, la sicurezza
è centrale. Sia che si tratti di reti infrastrutturali, e quindi
di interesse nazionale, sia che si tratti di tutelare la privacy
rispetto ai singoli cittadini.
“Mi sembra scontato che la parte delle grandi infrastrutture sarà di competenza diretta dei gestori, con personale specializzato e soluzioni all’altezza: quando ci si misura su queste scale di grandezza è sempre necessaria la massima attenzione, ma è più semplice tenere tutto sotto controllo. Le reti elettriche sono di fatto già interconnesse a livello transnazionale, e l’unica strada percorribile è quella di agire in ottica comunitaria, perché siano garantiti a tutti gli stessi standard di sicurezza”.
A parlare è Alessandro Armando, professore associato all’Università di Genova, Dipartimento di Informatica Sistemistica e Telematica, oltre che responsabile, al centro per le tecnologie dell’informazione della fondazione Bruno Kessler di Trento, dell’unità di ricerca “Security and Trust”.
La situazione si complica se dall’alta tensione si passa alle periferie, ai rami della rete dove c’è interazione con l’utenza finale. “In questi casi - continua il professor Armando - potrà succedere che, in applicazioni nuove, si svilupperanno sistemi di sicurezza con eventuali punti deboli. La progettazione di protocolli di comunicazione che utilizzano algoritmi crittografici per garantire ad esempio la confidenzialità dei dati scambiati o l’autenticazione dei soggetti coinvolti è un terreno subdolo. La letteratura parla di soluzioni pubblicate e analizzate dalla comunità scientifica, sviluppate e implementate, che dopo 17 anni hanno messo in evidenza vulnerabilità gravi. È un rischio connesso alla complessità dei sistemi”.
Un esempio per tutti, un “caso scuola” di cui proprio il professor Armando è stato protagonista due anni fa, è quello che si è verificato nell’ambito del progetto di ricerca europeo Avantssar, nato per sviluppare tecnologie di analisi della sicurezza delle piattaforme software orientate ai servizi.
In quell’occasione, analizzando i sistemi adottati dalle grandi compagnie sul web, si scoprì una “falla” nel protocollo di Google verso i clienti aziendali, che avrebbe messo a rischio il “single sign-on”, soluzione che consente agli utenti di accedere alle applicazioni di Google (Gmail, Docs, Calendar) utilizzando le credenziale dell’azienda per cui lavorano, e che quindi consente di editare documenti on line sui loro server, creare siti ecc. Se i dettagli della vulnerabilità fossero caduti in mano a malintenzionati le conseguenze avrebbero potuto essere pesanti, a partire dalla violazione della privacy degli utenti per arrivare alla sottrazione di segreti industriali.
Ma il problema è stato segnalato in tempo a Google e al “Computer Emergency Response Team” statunitense, e l’azienda di Mountain View, insieme ai suoi clienti, ha potuto correre ai ripari modificando le applicazioni e il protocollo di autenticazione.
“Un problema del genere potrebbe verificarsi anche per le reti intelligenti applicate all’elettricità - afferma Armando - dal momento che sviluppare protocolli di sicurezza non è semplice, nonostante si stia investendo, anche molto, nello sviluppo di strumenti automatici in grado di identificare le criticità”.
I modi per rendere sempre più sicure le reti sono due, uno a monte e uno a valle: la prevenzione e il monitoraggio. Attraverso la prevenzione si possono identificare i problemi già in fase di progettazione, mentre attraverso il monitoraggio sarà possibile analizzare le attività che vengono effettuate nel sistema, studiando i comportamenti anomali e ponendovi rimedio - se fosse il caso - con rapidità. “Si tratta di approcci complementari - afferma ancora il professor Armando - che vengono utilizzati in momenti differenti del ciclo di vita dei protocolli di sicurezza”.
“Nell’ultimo decennio in questo ambiente si sono fatti grandi passi in avanti - conclude -. Gli strumenti in via di sviluppo consentono di identificare vulnerabilità che un tempo non sarebbero state notate, ma è chiaro che man mano che le applicazioni diventano più sofisticate aumenta anche la complessità dei protocolli. È una rincorsa continua. D’altra parte la sicurezza è una tecnologia abilitante: il mercato non accetta nuovi servizi online che su questo non offrano garanzie credibili. È un campo in cui o ci sono soluzioni sicure, o non ci sono soluzioni”.
“Mi sembra scontato che la parte delle grandi infrastrutture sarà di competenza diretta dei gestori, con personale specializzato e soluzioni all’altezza: quando ci si misura su queste scale di grandezza è sempre necessaria la massima attenzione, ma è più semplice tenere tutto sotto controllo. Le reti elettriche sono di fatto già interconnesse a livello transnazionale, e l’unica strada percorribile è quella di agire in ottica comunitaria, perché siano garantiti a tutti gli stessi standard di sicurezza”.
A parlare è Alessandro Armando, professore associato all’Università di Genova, Dipartimento di Informatica Sistemistica e Telematica, oltre che responsabile, al centro per le tecnologie dell’informazione della fondazione Bruno Kessler di Trento, dell’unità di ricerca “Security and Trust”.
La situazione si complica se dall’alta tensione si passa alle periferie, ai rami della rete dove c’è interazione con l’utenza finale. “In questi casi - continua il professor Armando - potrà succedere che, in applicazioni nuove, si svilupperanno sistemi di sicurezza con eventuali punti deboli. La progettazione di protocolli di comunicazione che utilizzano algoritmi crittografici per garantire ad esempio la confidenzialità dei dati scambiati o l’autenticazione dei soggetti coinvolti è un terreno subdolo. La letteratura parla di soluzioni pubblicate e analizzate dalla comunità scientifica, sviluppate e implementate, che dopo 17 anni hanno messo in evidenza vulnerabilità gravi. È un rischio connesso alla complessità dei sistemi”.
Un esempio per tutti, un “caso scuola” di cui proprio il professor Armando è stato protagonista due anni fa, è quello che si è verificato nell’ambito del progetto di ricerca europeo Avantssar, nato per sviluppare tecnologie di analisi della sicurezza delle piattaforme software orientate ai servizi.
In quell’occasione, analizzando i sistemi adottati dalle grandi compagnie sul web, si scoprì una “falla” nel protocollo di Google verso i clienti aziendali, che avrebbe messo a rischio il “single sign-on”, soluzione che consente agli utenti di accedere alle applicazioni di Google (Gmail, Docs, Calendar) utilizzando le credenziale dell’azienda per cui lavorano, e che quindi consente di editare documenti on line sui loro server, creare siti ecc. Se i dettagli della vulnerabilità fossero caduti in mano a malintenzionati le conseguenze avrebbero potuto essere pesanti, a partire dalla violazione della privacy degli utenti per arrivare alla sottrazione di segreti industriali.
Ma il problema è stato segnalato in tempo a Google e al “Computer Emergency Response Team” statunitense, e l’azienda di Mountain View, insieme ai suoi clienti, ha potuto correre ai ripari modificando le applicazioni e il protocollo di autenticazione.
“Un problema del genere potrebbe verificarsi anche per le reti intelligenti applicate all’elettricità - afferma Armando - dal momento che sviluppare protocolli di sicurezza non è semplice, nonostante si stia investendo, anche molto, nello sviluppo di strumenti automatici in grado di identificare le criticità”.
I modi per rendere sempre più sicure le reti sono due, uno a monte e uno a valle: la prevenzione e il monitoraggio. Attraverso la prevenzione si possono identificare i problemi già in fase di progettazione, mentre attraverso il monitoraggio sarà possibile analizzare le attività che vengono effettuate nel sistema, studiando i comportamenti anomali e ponendovi rimedio - se fosse il caso - con rapidità. “Si tratta di approcci complementari - afferma ancora il professor Armando - che vengono utilizzati in momenti differenti del ciclo di vita dei protocolli di sicurezza”.
“Nell’ultimo decennio in questo ambiente si sono fatti grandi passi in avanti - conclude -. Gli strumenti in via di sviluppo consentono di identificare vulnerabilità che un tempo non sarebbero state notate, ma è chiaro che man mano che le applicazioni diventano più sofisticate aumenta anche la complessità dei protocolli. È una rincorsa continua. D’altra parte la sicurezza è una tecnologia abilitante: il mercato non accetta nuovi servizi online che su questo non offrano garanzie credibili. È un campo in cui o ci sono soluzioni sicure, o non ci sono soluzioni”.
07 Giugno 2010
