Un approccio alla cibersicurezza olistico e all’avanguardia
Grandi multinazionali, enti ospedalieri e aziende di servizi pubblici come i fornitori di energia si basano su sistemi di rete sempre più complessi per operare in modo sempre più efficiente e integrato. Questa situazione, tuttavia, li rende vulnerabili agli attacchi informatici, che possono comportare per le aziende costi considerevoli dovuti a tempi di fermo e danni alla reputazione e, nel caso di compromissione dei servizi pubblici, anche rischi per la vita umana. “Il fatto che nove guasti della sicurezza software su dieci siano dovuti a difetti dei programmi rappresenta una vulnerabilità chiave che gli hacker possono sfruttare”, spiega Juergen Grossmann dell’organizzazione di ricerca Fraunhofer, in Germania, che si è occupato degli aspetti di standardizzazione per il progetto RASEN. “Proteggere i grandi sistemi connessi in rete, come quelli gestiti dalle compagnie più importanti, significa comprendere tutti i potenziali rischi di sicurezza sottostanti. Uno dei problemi principali, tuttavia, è che la complessità dei sistemi rende estremamente complicate le attività di valutazione e di test”. Approcci olistici alla cibersicurezza Il progetto RASEN ha cercato di affrontare questi problemi affrontando in modo più olistico la valutazione dei rischi e i test di sicurezza. Fino a oggi, questi due aspetti sono stati considerati come distinti. “Dall’industria arriva la richiesta di approcci sempre più integrati per la gestione degli aspetti legati alla sicurezza, tuttavia non esistono ancora standard che sottolineino a sufficienza l’esigenza di integrare sistematicamente la valutazione dei rischi e i test in materia di sicurezza”, afferma Grossmann. “Per questa ragione, abbiamo cercato di trovare dei modi migliori per supportare le aziende e le organizzazioni che desiderano svolgere un’analisi completa dei rischi dei sistemi in rete sul larga scala”. Il progetto RASEN è iniziato con una composizione sistematica dei risultati delle valutazioni di sicurezza. In tal modo, è stato possibile analizzare separatamente le singole parti di un sistema TIC, utilizzando poi i risultati individuali per giungere a una valutazione globale. In secondo luogo, il team ha combinato le valutazioni dei rischi di sicurezza di alto livello con il test di sicurezza di basso livello. “Con questo approccio, le valutazioni dei rischi permettono di derivare i casi dei test di sicurezza, i cui risultati serviranno a loro volta per verificare o aggiornare le valutazioni”, spiega Grossmann. “Questi metodi, inoltre, affrontano le valutazioni dei rischi di sicurezza da punti di vista differenti. Le valutazioni dei rischi legali, ad esempio, considerano le minacce alla sicurezza in un contesto legale, mentre le valutazioni dei rischi di sicurezza analizzano la probabilità delle minacce e ne stimano le conseguenze”. Risultati per il mondo reale I risultati del progetto RASEN sono stati tradotti in una serie di strumenti che aiuteranno le aziende e le organizzazioni a combinare le valutazioni dei rischi di sicurezza e le attività di test. L’idea è rendere la metodologia del progetto il più possibile operativa e pratica. Il metodo RASEN, insieme ad alcuni degli strumenti, è scaricabile dal sito web del progetto, mentre lo strumento RACOMAT permette agli utenti di combinare la valutazione dei rischi di sicurezza basata sui componenti con le relative attività di test. Il test può essere integrato perfettamente con le simulazioni degli incidenti impiegate dallo strumento per la sua analisi composizionale dei rischi. “I nostri metodi sono ripetibili e ciò significa che la valutazione continua basata sulla rivalutazione rapida assicurerà nel tempo la validità dei risultati anche con l’evoluzione o le modifiche dell’ambiente o del sistema obiettivo”, spiega Grossmann. “Lo strumento RACOMAT, ad esempio, accede alle librerie contenenti gli artefatti dell’analisi dei rischi come i modelli di attacco e i modelli dei test di sicurezza, assicurando un livello di riutilizzabilità molto alto. Molti di questi processi possono essere eseguiti automaticamente”. Il progetto RASEN ha posto inoltre le basi per alcuni nuovi progetti di ricerca (Fraunhofer partecipa ad esempio al progetto PREVENT) e ha contribuito alla formulazione di nuovi standard di settore. “Alcuni documenti di standardizzazione (ad es. ETSI EG 203251 ed ETSI TR 101 583) sono stati adottati dall’Istituto europeo delle norme di telecomunicazione e inviati agli enti di standardizzazione internazionale”, sottolinea Grossmann. “Questi documenti riflettono i risultati del progetto nel campo della valutazione dei rischi di sicurezza”.
Parole chiave
RASEN, cibersicurezza, toolbox, servizi pubblici, pirateria informatica, vulnerabilità, sistemi in rete, standardizzazione, minaccia, RACOMAT
