ENISA: analisi delle priorità della Ricerca e Sviluppo del settore Cyber

(di Alessandro Rugolo)
01/02/19

La European Union Agency for Network and Information Security (ENISA), è il centro europeo di esperti del settore cyber. La sede principale è in Grecia, ad Atene, mentre una filiale si trova a Creta, ad Eraclion.
Il compito della Agenzia europea è quello di:
- fornire raccomandazioni;
- attività a supporto della produzione di policy di settore e della loro esecuzione;
- training a favore di cittadini, società e Stati Membri;
- attività varie.
Nel sito è possibile trovare informazioni su studi europei ma anche sui CERT/CSIRT esistenti o sugli studi di ricerca e sviluppo in corso. Tra i documenti di questa ultima categoria resi disponibili sul sito ho avuto l'occasione di leggere la "Analysis of the European R&D priorities in cybersecurity", sottotitolato "Strategic priorities in cybersecurity for a safer Europe" emesso lo scorso dicembre 2018. Cercherò in poche righe di darvi una idea di che si tratta e di quale sia la sua importanza e farò alcune considerazioni generali in merito.

Incomincio col dire che si tratta di un documento di analisi strategica. Lo scopo del documento è infatti quello di identificare i rischi cyber cui sarà soggetta la società europea e di identificare le priorità della ricerca che potranno aiutare a ridurli o ad eliminarli. Lo scopo è dunque quello di "giocare d'anticipo".
Per fare ciò l'autore ha proceduto ad effettuare una serie di interviste con esperti del settore, analizzare i dati raccolti assieme agli esperti dell'ENISA e a cercare di immaginare la società europea del 2025 dal punto di vista sociale, tecnologico e di business.
Iniziamo dunque dalla analisi dello scenario "Europa 2025".

Europa 2025 prevede che i dispositivi connessi ad internet siano oramai la norma, ogni settore della società è dunque altamente connesso. Gli operatori di settore (energia, trasporti, banche, infrastrutture digitali, ospedali) come pure tutte le amministrazioni pubbliche e l'industria forniscono servizi online.

Nel mondo potrebbero esserci circa 80 miliardi di dispositivi connessi (a fronte di una popolazione di circa 8 miliardi di persone). IoT (Internet of Thing) si sta trasformando in IoE (Internet of Everything) che a sua volta influenza la società. È diventato di uso comune utilizzare dispositivi indossabili connessi e controllabili con l'uso della voce. La tecnologia 5G consente miglioramenti dei servizi di connessione. Educazione ed addestramento sono più efficaci grazie all'impiego delle nuove tecnologie come la realtà aumentata e le tecniche di gamification.

L'attenzione della società verso le problematiche cyber è aumentata. Sono nate molte iniziative che promuovono la realizzazione di sistemi e servizi secondo il concetto di "security by design".
Esistono purtroppo tensioni sociali tra una "cyber aware elite" e una sub cultura di lavoratori "less aware".

I governi chiedono ai cittadini di utilizzare i servizi online per tutti i servizi amministrativi, ciò implica l'uso di una identità digitale. Sono ora disponibili capacità computazionali e di memorizzazione in cloud molto elevate. Si impiega l'Intelligenza Artificiale (AI) per l'analisi comportamentale dei dati raccolti e per sviluppare servizi e prodotti più attagliati alle necessità, purtroppo anche le organizzazioni criminali cominciano a farne uso. Ancora non esiste una chiara regolamentazione sull'uso della AI.
I giganti di internet sono diventati ancora più grandi e potenti e non solo analizzano e rispondono alle domande dei clienti ma ne guidano le scelte e i desideri.
La tecnologia quantistica inizia a svilupparsi...
Mi fermo qui nella descrizione dello scenario, chi vuole può trovarlo per intero sul sito di ENISA.

Il documento dell'ENISA prosegue analizzando lo scenario descritto e poi individuando una serie di raccomandazioni atte a ridurre i rischi identificati. Le raccomandazioni si concentrano su alcuni aspetti della dimensione cyber, in particolare:
- promozione della consapevolezza nei confronti dell'impiego delle tecnologie, delle limitazioni e dei rischi. Lo sviluppo di sistemi disegnati per garantire la sicurezza dei dati e la privacy. Si suggerisce inoltre di incoraggiare le innovazioni nella diffusione della conoscenza relativa ai rischi legati al mondo cyber;
- incoraggiare il trasferimento di conoscenze tra esperti specializzati in sicurezza e il più ampio mondo accademico; facilitare l'insegnamento dei principi di sicurezza nelle facoltà di "computer science"; 
- promuovere una intelligenza artificiale comprensibile all'uomo e che ne garantisca l'affidabilità;
- facilitare le ricerche in merito alle tecnologie di crittografia quantistica e di distribuzione quantistica delle chiavi di cifratura per comunicazioni ad elevata sicurezza;
- in merito alla complessità del rischio occorre promuovere lo sviluppo di nuovi approcci di analisi del rischio e d'impatto per sistemi complessi e interdipendenti. Inoltre si suggerisce di definire interfacce di interoperabilità tra infrastrutture critiche che siano studiate per prevenire effetti di caduta a cascata.
- Nel settore del cybercrime si suggerisce di facilitare le ricerche nel campo della prioritizzazione della sicurezza e nello sviluppo di strumenti di situational awareness innovativi;
- infine, nel settore della rischi alla privacy, si suggerisce di promuovere e diffondere lo sviluppo e l'impiego di tecnologie che garantiscano alti standard di privacy e lo sviluppo di appositi tools di assessment.

Naturalmente il documento è molto più completo di quanto io ho scritto e analizza nel dettaglio alcuni settori di interesse per cui è sicuramente una lettura interessante ed istruttiva.
Io però voglio soffermarmi su alcuni aspetti relativi allo scenario. Quando si costruiscono gli scenari il rischio è quello di lasciare fuori qualche area che invece dovrebbe essere considerata e ciò potrebbe rendere parzialmente scorretta l'analisi del rischio che viene effettuata.
Nel nostro caso vi sono infatti diverse aree a mio parere non considerate e che richiederebbero un po di attenzione, in particolare:
- l'impiego delle cryptocurrency. Oggigiorno vi sono segnali che indicano che le criptocurrency dovrebbero essere sempre più impiegate, anche nel settore governativo e bancario/assicurativo;
- la tecnologia blockchain continuerà a svilupparsi e sostituirà alcune tecnologie anche nel settore relativo alla identità digitale;
- le tecniche di codifica di dati nel DNA già oggi sono sperimentate ed hanno raggiunto buoni risultati (vedi articolo). È ragionevole pensare che verranno sviluppate per consentire la codifica, la conservazione e la trasmissione di dati nel tempo e nello spazio, soprattutto nel campo del segreto industriale e militare;
- lo sviluppo delle attività spaziali avrà raggiunto un buon livello nel mondo industriale e avrà portato allo sviluppo di nuovi sistemi di comunicazione. Ciò dovrebbe inoltre dare impulso allo sviluppo di nuovi tipi di armamenti;
- lo sviluppo di cyber armi sempre più complesse e il loro impiego da parte di Stati dovrebbe condurre ad un aumento dell'impiego dell'arma della dissuasione, ovvero sempre più Stati dichiareranno di impiegare le proprie capacità cyber militari offensive in risposta ad attacchi o per salvaguardare gli interessi nazionali. Ciò dovrebbe condurre alla stipula di "trattati di non proliferazione", a similitudine di quanto accaduto nel campo delle armi di distruzione di massa.

Sia chiaro che quanto sopra è la mia visione di quello che manca allo scenario "Europa 2025". 
Ora, l'introduzione di questi nuovi fattori nello scenario Europa 2025, qualora considerati validi, porta come logica conseguenza alla necessità di rivedere l'analisi del rischio e trovare le modalità di prevenzione o attenuazione più adatte, cosa però al di là dello scopo di questo articolo.

Per approfondire:
https://www.enisa.europa.eu/;
https://www.enisa.europa.eu/publications/analysis-of-the-european-r-d-pr...