In una rete elettrica a due direzioni, che recepisce e veicola
informazioni sui consumi e le abitudini degli utenti, la sicurezza
è centrale. Sia che si tratti di reti infrastrutturali, e quindi
di interesse nazionale, sia che si tratti di tutelare la privacy
rispetto ai singoli cittadini.
“Mi sembra scontato che la parte delle grandi infrastrutture
sarà di competenza diretta dei gestori, con personale
specializzato e soluzioni all’altezza: quando ci si misura su
queste scale di grandezza è sempre necessaria la massima
attenzione, ma è più semplice tenere tutto sotto controllo. Le
reti elettriche sono di fatto già interconnesse a livello
transnazionale, e l’unica strada percorribile è quella di agire
in ottica comunitaria, perché siano garantiti a tutti gli stessi
standard di sicurezza”.
A parlare è Alessandro Armando, professore
associato all’Università di Genova,
Dipartimento di Informatica Sistemistica e Telematica, oltre che
responsabile, al centro per le tecnologie dell’informazione della
fondazione Bruno Kessler di Trento, dell’unità di ricerca
“Security and Trust”.
La situazione si complica se dall’alta tensione si passa alle
periferie, ai rami della rete dove c’è interazione con
l’utenza finale. “In questi casi – continua il professor
Armando – potrà succedere che, in applicazioni nuove, si
svilupperanno sistemi di sicurezza con eventuali punti deboli. La
progettazione di protocolli di comunicazione che utilizzano
algoritmi crittografici per garantire ad esempio la
confidenzialità dei dati scambiati o l’autenticazione dei
soggetti coinvolti è un terreno subdolo. La letteratura parla di
soluzioni pubblicate e analizzate dalla comunità scientifica,
sviluppate e implementate, che dopo 17 anni hanno messo in evidenza
vulnerabilità gravi. È un rischio connesso alla complessità dei
sistemi”.
Un esempio per tutti, un “caso scuola” di cui proprio il
professor Armando è stato protagonista due anni fa, è quello che
si è verificato nell’ambito del progetto di ricerca europeo
Avantssar, nato per sviluppare tecnologie di analisi della
sicurezza delle piattaforme software orientate ai servizi.
In quell’occasione, analizzando i sistemi adottati dalle grandi
compagnie sul web, si scoprì una “falla” nel protocollo di
Google verso i clienti aziendali, che avrebbe messo a rischio il
“single sign-on”, soluzione che consente agli utenti di
accedere alle applicazioni di Google (Gmail, Docs, Calendar)
utilizzando le credenziale dell’azienda per cui lavorano, e che
quindi consente di editare documenti on line sui loro server,
creare siti ecc. Se i dettagli della vulnerabilità fossero caduti
in mano a malintenzionati le conseguenze avrebbero potuto essere
pesanti, a partire dalla violazione della privacy degli utenti per
arrivare alla sottrazione di segreti industriali.
Ma il problema è stato segnalato in tempo a Google e al
“Computer Emergency Response Team” statunitense, e l’azienda
di Mountain View, insieme ai suoi clienti, ha potuto correre ai
ripari modificando le applicazioni e il protocollo di
autenticazione.
“Un problema del genere potrebbe verificarsi anche per le reti
intelligenti applicate all’elettricità – afferma Armando – dal
momento che sviluppare protocolli di sicurezza non è semplice,
nonostante si stia investendo, anche molto, nello sviluppo di
strumenti automatici in grado di identificare le criticità”.
I modi per rendere sempre più sicure le reti sono due, uno a monte
e uno a valle: la prevenzione e il monitoraggio. Attraverso la
prevenzione si possono identificare i problemi già in fase di
progettazione, mentre attraverso il monitoraggio sarà possibile
analizzare le attività che vengono effettuate nel sistema,
studiando i comportamenti anomali e ponendovi rimedio – se fosse il
caso – con rapidità. “Si tratta di approcci complementari –
afferma ancora il professor Armando – che vengono utilizzati in
momenti differenti del ciclo di vita dei protocolli di
sicurezza”.
“Nell’ultimo decennio in questo ambiente si sono fatti grandi
passi in avanti – conclude -. Gli strumenti in via di sviluppo
consentono di identificare vulnerabilità che un tempo non
sarebbero state notate, ma è chiaro che man mano che le
applicazioni diventano più sofisticate aumenta anche la
complessità dei protocolli. È una rincorsa continua. D’altra
parte la sicurezza è una tecnologia abilitante: il mercato non
accetta nuovi servizi online che su questo non offrano garanzie
credibili. È un campo in cui o ci sono soluzioni sicure, o non ci
sono soluzioni”.