print preview

Una visione migliore della situazione nel ciberspazio

Lo spazio cibernetico non dorme mai. Dati e informazioni sono continuamente trasmessi avanti e indietro per tutto il globo terrestre – compresi i file dannosi come virus o ransomware. Questo può danneggiare i terminali degli utenti e generare una fuga di dati non autorizzata. Per avere una panoramica più rapida di questi eventi, armasuisse sta sviluppando insieme ai partner un Proof of Concept per gestire il quadro della situazione nel ciberspazio.

Colin Barschel, Cybersicurezza e Data Science, armasuisse Scienza e Tecnologia; intervista condotta da Anela Ziko, Innovazione e processi, armasuisse Scienza e Tecnologia

Tre viste sovrapposte della piattaforma informatica con molte indicazioni diverse sul quadro della situazione nel ciberspazio.
Con l’ausilio di una nuova piattaforma, gli incidenti informatici possono essere meglio monitorati e visualizzati in un apposito quadro della situazione.

Signor Barschel, innanzitutto: cosa intendiamo oggi per ciberspazio?

In parole semplici, un ciberspazio è un mondo virtuale oppure online in cui tutti i computer e i dispositivi sono collegati tra loro tramite Internet, inclusi i dati trasmessi digitalmente e tutte le reti web. Si tratta dunque del mondo della rete con l’interazione tra essere umano e macchina e con i dati generati nel processo. Un settore a che ha assunto un’importanza sempre maggiore negli ultimi tempi è la cibersicurezza.

Per quale motivo ritiene che la cibersicurezza sia un tema così importante?

Siccome oggigiorno molte sfere della vita privata e commerciale sono collegate tra loro grazie a Internet, sorgono domande del tipo: cosa succede alle persone? Cosa succede ai dati? Il ciberspazio non è sicuro e non tutti i settori sono regolamentati altrettanto rigidamente. Nel ciberspazio le persone possono nascondersi dietro false identità, rendendo la vita più facile ai malintenzionati. Ad esempio, un computer può infettarsi completamente in poco tempo se si clicca senza pensare sul link sbagliato, scaricando software dannosi senza accorgersene. Il tema della sicurezza informatica non riguarda solo la protezione dei propri dati, ad esempio da una fuga indesiderata, ma anche la sensibilizzazione delle persone su come dovrebbero comportarsi in Internet.

Ad esempio, un computer può infettarsi completamente in poco tempo se si clicca senza pensare sul link sbagliato, scaricando software dannosi senza accorgersene. 

 

Supponiamo che un’azienda operante nel settore delle infrastrutture critiche sia vittima di un attacco informatico: cosa dovrebbe fare?

Una volta rilevato un incidente informatico e avviata la gestione interna dell’evento, l’azienda dovrebbe segnalare il prima possibile l’incidente informatico all’NCSC. L’NCSC è il centro nazionale di competenze per la cibersicurezza, che tra i suoi vari compiti, ha il mandato di proteggere le infrastrutture critiche. Così facendo garantisce che gli effetti negativi di tali incidenti durino il meno possibile e che i danni siano ridotti al minimo, oltre ad assicurare il monitoraggio continuo delle minacce per emettere anche segnalazioni di avvertimento attive.

 

Come funziona esattamente un tale processo di segnalazione degli incidenti informatici?

Sul sito web dell’NCSC, i privati o le aziende possono segnalare un incidente o una vulnerabilità informatica tramite un pulsante di notifica. Il personale dell’NCSC raccoglie tutti gli incidenti segnalati, li confronta con altre fonti interne ed esterne o con notifiche precedenti e cerca di capire se si sono verificati eventi simili in passato. Essendo un organo federale, ha inoltre accesso a ulteriori informazioni di società e amministrazioni private e parastatali. Tutti questi dati consentono infine di elaborare un cosiddetto quadro della situazione del ciberspazio. La difficoltà consiste nel fatto che gli incidenti segnalati devono essere trasferiti manualmente in un tool prima di poter essere elaborati e integrati con ulteriori dati. Nell'ambito di un progetto di innovazione, stiamo sviluppando una nuova piattaforma per aiutare gli analisti e le analiste dell’NCSC a lavorare in modo più efficiente e ad avere accesso a un panorama più completo delle minacce.

Cosa consentirà la piattaforma? E qual è il suo aspetto innovativo?

La piattaforma dovrebbe eseguire in modo automatico il maggior numero possibile di processi. Al momento gli analisti e le analiste inseriscono a mano in una schermata di lavoro le informazioni sugli incidenti segnalati. Con questa nuova piattaforma, le segnalazioni saranno digitalizzate e inserite in automatico. La piattaforma distinguerà tra informazioni rilevanti e irrilevanti ed elaborerà automaticamente solo quelle rilevanti. La piattaforma combina tool disponibili sul mercato con sviluppi proprietari e permette così un’elaborazione centralizzata di tutte le informazioni. In questo modo si ha un quadro chiaro del panorama delle minacce.

L’aspetto nuovo e innovativo della piattaforma consiste nel fatto che sul mercato ancora non esiste una soluzione simile con tutte le funzionalità necessarie.

Che effetti ha questo sulla piattaforma?

In collaborazione con il committente, lo Stato maggiore dell’esercito e il nostro partner industriale, noi di armasuisse S+T abbiamo creato da zero un prodotto di analisi nuovo e complesso.

Tale prodotto comincia con la definizione delle funzionalità e prosegue con il collegamento a varie piattaforme di informazioni critiche o private e infine con la gestione e lo sviluppo continuo. Noi di armasuisse S+T siamo stati coinvolti in questo progetto già nella fase iniziale, il cosiddetto studio preliminare.

Anche la procedura scelta è nuova. Non stiamo acquistando un prodotto finito, ma un servizio che ci aiuta nello sviluppo di questo nuovo sistema. Il primo passo è un Proof of Concept per definire la soluzione ideale e ridurre i rischi legati allo sviluppo. Ciò significa che acquisiamo il know-how e possiamo pianificare e utilizzare questo tempo in modo mirato ed efficiente per lo sviluppo della piattaforma.

Perché non si è optato per un prodotto già esistente?

L’acquisto di un prodotto finito non è stato preso in considerazione a causa dell’incertezza sulle esatte funzioni di cui la piattaforma deve disporre. Naturalmente, alcuni elementi sono noti. Ma per acquistare un prodotto, è sempre necessario un approvvigionamento con specifiche ben definite. Un presupposto che non potevamo soddisfare. Piuttosto, il valore aggiunto di questo sviluppo in-house è che lavoriamo alla soluzione più adatta in modo incrementale, ovvero passo dopo passo insieme, sia con gli utenti finali che con gli sviluppatori. Poiché questi sviluppi in-house all’inizio esistono ancora come modelli dimostrativi o versioni di prova, i costi sono inferiori rispetto all’acquisto di un prodotto esistente. Questo perché tali prodotti sono spesso associati a vari requisiti e coprono sì alcune aree importanti, ma non tutto ciò di cui l’utente finale ha bisogno personalmente. Anche la connessione a varie altre piattaforme è più facile da gestire con questo sviluppo in-house.

Piuttosto, il valore aggiunto di questo sviluppo in-house è che lavoriamo alla soluzione più adatta in modo incrementale, ovvero passo dopo passo insieme, sia con gli utenti finali che con gli sviluppatori. 

 

Quali sfide pone questo approccio innovativo?

Da un lato, c’è la questione di come integrare questa piattaforma nel sistema esistente del nostro cliente finale. Più la struttura dei dati è sicura, più l’integrazione diventa difficile. Inoltre, dobbiamo trovare il modo di collegare i dati e le fonti confidenziali a questa piattaforma in maniera compatibile e senza grandi difficoltà. Sia le informazioni accessibili pubblicamente che i dati non pubblici sono di grande importanza per avere un quadro completo della situazione del ciberspazio. Inoltre, si tratta per lo più di uno sviluppo in-house, il che comporta sempre delle sfide. È necessario integrare elementi esterni, che devono essere compatibili con la piattaforma. E, ultimo ma non in ordine di importanza, è sempre necessario garantire il coordinamento con le varie interfacce. Al momento, questo è ancora possibile, poiché ci troviamo nella cosiddetta fase di Proof of Concept e quindi non siamo ancora operativi. La situazione cambierà non appena questa piattaforma sarà effettivamente in uso come prodotto finito, ovvero tra circa 18 mesi.  La piattaforma permetterà quindi di avere un quadro completo della situazione del ciberspazio svizzero, contribuendo così alla protezione delle infrastrutture critiche e alla sicurezza della Svizzera.