L’Unione europea spinge sulle strategie anti-cybercrime come punto chiave per realizzare l’Agenda digitale. In questo senso la Commissione ha messo in campo una serie di azioni che mirano a rafforzare gli strumenti di protezione e a sostenere i governi nazionali, l’industria e il mondo delle ricerca nello sviluppo di tecnologie innovative di sicurezza informatica. Per il periodo 2007-2013, Bruxelles ha stanziato circa 350 milioni di euro per la ricerca mentre dal 2013 al 2020 400 milioni saranno destinati allo sviluppo di prodotti industriali ad hoc; altri 450 saranno veicolati per la ricerca nel settore della cosiddetta “Secure Society”.
I ricercatori europei stanno lavorando alla realizzazione di Syssec, la “Rete di eccellenza” europea costruita sul concetto secondo il quale prevenire è meglio che curare. La rete di eccellenza si occupa di sviluppare soluzioni per prevedere le minacce e le vulnerabilità prima che accadano, permettendo alle potenziali vittime di attacchi intormatici di costruire le loro difese prima che la minaccia si materializzi. Il progetto ha istituito un “Centro di eccellenza virtuale” per consolidare la comunità di ricerca sulla sicurezza dei sistemi in Europa e permettere la ricerca collaborativa e sta lavorando su un piano d’azione di ricerca e una serie di iniziative di formazione sulla sicurezza informatica. La “Rete di eccellenza” SysSec ha adottato un metodo diverso per la sicurezza informatica: invece di cercare di scovare gli aggressori ad attacco compiuto, SysSec studia le minacce e le vulnerabilità emergenti prima che l’attacco avvenga.
Mentre Syssec ha assunto un approccio globale per prevedere le minacce, un’altra rete di eccellenza finanziata dall’Ue, Nessos, si occupa di promuovere la progettazione e lo sviluppo di software e sistemi sicuri per l'”Internet del futuro”. Lo scopo è assicurare che ingegneri e sviluppatori si occupino di sicurezza nelle primissime fasi dell’analisi e della progettazione dei sistemi; il team si sta occupando di sei campi fondamentali: requisiti di sicurezza per i servizi dell’Internet del futuro, creare architetture di servizio sicure e una progettazione di servizi sicura, supportare gli ambienti di programmazione per servizi sicuri e componibili, permettere una certezza di sicurezza, stabilire un ciclo di sviluppo del software consapevole del rischio e dei costi e fornire casi di studio per futuri scenari di applicazione di internet.
L’approccio sicurezza sin dalla progettazione (security by design) è forse esemplificato meglio da un altro progetto. I ricercatori del progetto SecureChange provenienti da nove paesi europei hanno sviluppato la metodologia, le tecniche e gli strumenti per rendere tutto il ciclo di vita del software – dall’ingegneria dei requisiti, attraverso la progettazione, lo sviluppo, il collaudo e la verifica, fino all’istallazione e l’aggiornamento – più efficiente, più flessibile, più sicuro e molto meno costoso in termini di tempo e denaro. Grazie al progetto SecureChange si sono sviluppati tecniche e strumenti per rendere tutto il ciclo vitale del software – dall’ingegneria dei requisiti passando per la progettazione, lo sviluppo, il collaudo e la verifica, fino all’istallazione e l’aggiornamento – più efficiente, flessibile, più sicuro e molto meno costoso.
Ad esempio, un’analisi condotta dal team di SecureChange, che ha coperto cinque anni e sei aggiornamenti di versione del browser open source Firefox, ha constatato che solo circa un terzo del codice del software cambiava da una versione alla successiva. Inoltre, un numero significativo di vulnerabilità erano ereditate da ogni nuova versione dalla precedente, un fenomeno comune anche ad altri browser come Chrome e IE. Il bisogno di aggiornamenti veloci significa che c’è meno tempo di fare test e verifiche. L’approccio di SecureChange rende possibile testare solo le parti nuove e mantenere la sicurezza e l’integrità dell’intero sistema.
Guardando verso l’Internet del futuro – nel quale gli utenti passeranno dai servizi statici di oggi a componenti e servizi coordinabili a seconda della disponibilità, della qualità e del prezzo – il progetto Aniketos si sta occupando di portare sicurezza e affidabilità a questo ambiente eterogeneo. In un mondo del genere, le applicazioni saranno probabilmente composte da servizi multipli per molti diversi provider e gli utenti finali non avranno molti modi di assicurarsi che un particolare servizio o il fornitore del servizio offrano realmente il livello di sicurezza che dicono. Il team di Aniketos, che comprende grandi operatori industriali e istituti di ricerca, sta quindi sviluppando una nuova tecnologia, nuovi strumenti e servizi di ricerca per supportare la creazione del tempo di progettazione e il comportamento dinamico del tempo di esecuzione di servizi compositi sicuri, nonché metodi per analizzare, risolvere e condividere informazioni su come i pericoli e le vulnerabilità possono essere mitigati.
Ma la Ue guarda anche alla sicurezza dentro Internet delle cose. Il progetto Tecom ha contribuito a portare il Trusted Computing ai sistemi embedded, adattando la tecnologia originariamente sviluppata per i PC a funzionare su tutto, dagli smart phone ai contatori elettrici intelligenti.
Con lo scopo di costruire cloud affidabili è stato lanciato il progetto Tclouds si sta occupando di raggiungere sicurezza, privacy ed elasticità in un modo che sia efficiente dal punto di vista dei costi, semplice e scalabile e che assicuri la continua espansione dell’infrastruttura cloud, delle risorse e dei servizi per molti anni a venire.
Quando si tratta di rendere sicuri i dati, che siano nel cloud o sul proprio server di rete, la crittografia è la cosa più importante – ogni volta che si usa una carta di credito, si accede al proprio conto bancario online o si manda un email sicura, dietro le quinte ci sono gli algoritmi criptografici. Man mano però che i computer diventano più potenti, la velocità della rete aumenta e la conservazione dei dati cresce, i metodi attuali per proteggere le informazioni sono messi alla prova.
Il progetto Ecrypt e il suo successore Ecrypt-II si sono occupati di queste sfide. Una rete di eccellenza ha riunito 32 importanti istituti di ricerca, università e aziende, l’iniziativa ha sviluppato algoritmi crittografici, cifre e funzioni hash, ha studiato protocolli e metodi di implementazione e ha lavorato su algoritmi più solidi per il watermarking digitale.
I progetti presentati in questo articolo sono stati sostenuti dal Settimo programma quadro (7° PQ ) per la ricerca.
