Alla fine dello scorso anno è stata selezionata e verrà messa a gara la proposta per la realizzazione del cloud per la PA. Il cloud è un sistema IT di utilizzo e gestione dei servizi e delle risorse computazionali erogate, su richiesta, tramite web. Proprio come tutti gli altri sistemi IT anche il cloud non è immune dai problemi legati alla sicurezza cibernetica, a partire da un caso che ha fatto scuola, nel luglio 2019 negli Stati Uniti, quello della banca Capital One.
Affrontiamo questo argomento, insieme a quello della crittografia, con il professore Fabrizio d’Amore. Questa intervista costituisce la sesta di una serie dedicata al tema della sicurezza informatica e alla tutela dell’interesse nazionale nel cyberspazio. Qui la prima intervista, qui la seconda, qui la terza, qui la quarta e qui la quinta.
Professor d’Amore, il controllo e la sicurezza informatica sui dati memorizzati nel cloud, e accessibili da internet, è generalmente più difficile che sulle reti tradizionali localizzate nel perimetro aziendale. Una volta che i dati lasciano un luogo fisico, infatti, le policy aziendali non sono sempre in grado di proteggere i dati da accessi non autorizzati. Con quali tecniche si può ovviare a tale situazione?
Il principale metodo consiste nell’adizione della sicurezza a livello crittografico (e non applicativo), basata dunque sulla difficoltà risolutiva posta da alcuni algoritmi della crittografia moderna, usata dagli informatici ma creata dai matematici. In particolare, la cifratura simmetrica, misura che non è così semplicemente definita ma che richiede alcune decisioni, come ad esempio se impiegarla a livello di file system, di base dati o di applicazione, si presenta oggi come lo strumento più interessante per la protezione dei dati.
In questo contesto, qual è l’aspetto più importante?
Sicuramente chi possiede la chiave simmetrica di cifratura/decifratura. C’è grande differenza nel darla al provider del servizio cloud o gestirla in proprio, con vantaggi e svantaggi. Se prendiamo in considerazione la protezione dei dati non ha ovviamente senso consegnare la chiave al gestore del cloud, che dovrà per lo meno ubbidire a quanto disposto dalla magistratura del proprio Paese.
A suo parere, gli attuali strumenti di sicurezza incorporati in piattaforme di cloud computing permettono un sufficiente livello di sicurezza dei dati, in transito e a riposo?
Nell’analisi del rischio occorre prendere in considerazione un caso molto più frequente di quanto si possa immaginare, che è quello del “dipendente infedele”. Va da sé che, in caso di chiave posseduta dal gestore del cloud, diviene teoricamente possibile favorire l’esfiltrazione dei dati mantenuti nel cloud. Se invece il caso non è applicabile, il caso del “dipendente infedele” è sempre emblematico perché potrebbe comunque agire nella direzione della distruzione dei dati. Non è quindi una questione di sola gestione della chiave (su cui esistono diverse soluzioni), ma di trust verso il gestore e il suo Paese. Chiaramente il territorio in cui sono fisicamente presenti i server che implementano il cloud sarà sempre soggetto a una legislazione locale, per cui diviene naturale pensare di gestire in Italia gli asset strategici o critici per il Paese.
Nell’ambito del cloud computing una delle tecniche crittografiche di maggior prospettiva è la Fully Homomorphic Encryption (crittografia omomorfica). Ci può spiegare perché è così importante?
Quando i dati sono detenuti sul cloud, di norma in maniera cifrata, un servizio a cui l’utente è interessato è poter fare ricerche all’interno dei file. In presenza di una cifratura tradizionale, per fornire il servizio, sarà necessario decifrare temporaneamente l’informazione per effettivamente operare la ricerca, con tutte le conseguenze nefaste che si possono immaginare. La cifratura omomorfica consente di effettuare la ricerca direttamente sul testo cifrato, senza necessità di decifrarlo, di solito trasformando opportunamente la stringa cercata. Purtroppo, c’è ancora da progredire su tale direzione.
Nella strategia nazionale cloud PA i dati e servizi vengono classificati in strategici, critici e ordinari ai quali vengono fatti corrispondere diversi livelli di qualificazione del cloud e della crittografia con controllo delle chiavi in Italia. Si parla molto di una crittografia Made in Italy. Quali i pro e contro di tale scelta?
Mi trovo d’accordo con la scelta di classificare i dati, in modo da guidare quasi automaticamente le successive scelte; meno favorevole a una crittografia nazionale. Il più usato (e sicuro) algoritmo di cifratura è l’AES e questi è pubblico da oltre venti anni, testato da milioni e milioni di persone e tuttora (apparentemente) inviolato, anche se alcuni studiosi hanno individuato delle scorciatoie che abbrevierebbero i vari millenni necessari a decifrare tramite “la forza bruta” di cinque o dieci anni. Ciò è del tutto irrilevante.
Qual è la forza di AES?
Consiste nel fatto che è uno standard planetario, super verificato, noto da molti anni. E deve la sua sicurezza alla sola sicurezza di una chiave simmetrica. Per poter competere con AES dovremmo pensare di sviluppare un nuovo algoritmo e aspettare altri venti anni di verifica per giungere alla stessa fiducia. Questo sembra essere impossibile poiché abbiamo molta fretta e poca voglia di affrontare i costi necessari a una tale progettualità. D’altra parte, credo fortemente nella sicurezza aperta e trasparente, che io chiamo open-security, rispetto a quella offerta dalla security-by-obscurity, estremamente più costosa e problematica. I fatti ci hanno insegnato che qualunque tecnica viene re-ingegnerizzata, è solo questione di tempo.
Quanto è realistico poter arrivare, in tempi brevi, a una piattaforma cloud europea in tale settore, finora dominato dai player extra-Ue?
Credo che esistano pochi player in Italia capaci di competere con quelli extra-Ue, ma di fatto esistono, e sono spesso proprietari di data center che soddisfano i più severi standard in materia. In tal caso penso che avrebbe senso che vengano coinvolti in un progetto italiano o europeo, altrimenti gli investimenti necessari sarebbero in pratica insostenibili.
I dati ospitati nel cloud sono spesso visti come preziosi dagli attori malevoli e oltre ai problemi di sicurezza che abbiamo già affrontato ve ne sono altrettanti che coinvolgono la privacy. In un recente articolo ha scritto di un immaginario paese, Privatlandia, in cui le persone e la loro privatezza hanno la massima delle priorità, mediante l’utilizzo di una sicurezza “information theoretic”. Può approfondire con noi l’argomento?
Confronto la sicurezza applicativa con quella crittografica, che spesso diviene information-theoretic: un ipotetico attaccante, se anche avesse a disposizione un potere computazionale infinito, non se ne farebbe niente, perché semplicemente non possiede abbastanza informazione per inferire la verità (in questo caso: i dati). Esistono vari algoritmi crittografici che forniscono sicurezza information-theoretic come, ad esempio, la gestione dei segreti alla Shamir. Anche la semplice sicurezza crittografica è superiore a quella applicativa perché basata sulla difficoltà di alcuni problemi matematici considerati intrattabili, mentre quella applicativa è fornita da semplici applicazioni che possono essere mandate in errore attraverso stimoli inattesi, in seguito al quale lo stato dell’applicazione può essere non definito.
Quali saranno le sfide/minacce cibernetiche più rilevanti dell’anno?
A mio avviso è fondamentale giungere a una totale igiene della sicurezza a livello di utente finale, ottenuta tramite idonea formazione. Non una lista di regole, ma una conoscenza di come alcuni concetti si legano l’un l’altro. Ciò permetterebbe, provocatoriamente, di installare un antivirus sul proprio dispositivo perché si saprebbe come evitare comportamenti a rischio. È questa la sfida per giungere a una vera digitalizzazione che non deve vedere tempo sprecato a risolvere problemi nati dalla digitalizzazione. Ad esempio, l’assurda richiesta che viene fatta “per ragioni di sicurezza” sul formato delle password (una maiuscola, una minuscola, una cifra, un simbolo speciale, una lunghezza minima) produce a mio avviso più danno per il tempo sprecato da tanti in recuperare password dimenticate e per i numerosi comportamenti pericolosi, rispetto al beneficio ottenuto per l’incremento di sicurezza. Un personaggio celebre e influente come Bruce Schneier lo sostiene da tempo (“Stop Trying to Fix the User”).
(Achille Pierre Paliotta)
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
