Approfondimenti sulle soluzioni innovative per la sicurezza delle applicazioni per smartphone nel Cyber-Defence Campus
Nell'ambito delle sue attività di innovazione il Cyber-Defence Campus (CYD) di armasuisse Scienza e tecnologia esamina il potenziale di varie tecnologie a supporto della sicurezza degli smartphone. Attraverso questi controlli il CYD Campus offre un grande sostegno quando si tratta di cibersicurezza in Svizzera. Il focus su uno di questi progetti di innovazione è incentrato, tra l'altro, sulla sicurezza nell'utilizzo degli smartphone.
Inan Kadioglu, Cyber-Defence Campus, settore di competenza armasuisse Scienza e tecnologia
Due progetti importanti del CYD Campus dell'anno 2023 sono stati, da un lato, la creazione di un ambiente della rete sicuro per gli smartphone e, dall’altro, sono stati esaminati dei metodi per individuare i punti deboli della sicurezza nelle applicazioni per gli smartphone. Le conoscenze acquisite da questi due progetti offrono importanti spunti per garantire una comunicazione mobile più sicura nel DDPS.
Nell'ambito della sua Ciberstrategia nazionale (CSN), la Svizzera si concentra a sfruttare le opportunità offerte dalla digitalizzazione, affinché le minacce informatiche e i loro effetti possano essere ridotti al minimo attraverso adeguate misure di protezione. Attraverso i suoi progetti di innovazione il CYD Campus fornisce un contributo significativo nella promozione e nel rafforzamento della cibersicurezza e della ciberdifesa in Svizzera.
Costruzione di una rete sicura per la comunicazione tramite smartphone
Uno di questi progetti di innovazione riguardava la sicurezza delle comunicazioni tramite smartphone. Il focus sul progetto è incentrato sullo sviluppo e sull’utilizzo di un'app di messaggistica per la trasmissione di dati sensibili. Il CYD Campus ha fatto affidamento sulla soluzione dell'app di messaggistica Threema e sulla rete SCION (scalabilità, controllo e isolamento in reti di prossima generazione). La rete SCION è una nuova architettura di rete che è stata sviluppata dai ricercatori del Politecnico di Zurigo. Entrambe sono tecnologie di origine svizzera.
Pertanto, i collaboratori del CYD Campus hanno installato un server Threema sicuro nell'infrastruttura del CYD Campus a Thun che era accessibile solo attraverso la rete SCION. L'obiettivo del CYD Campus era quello di utilizzare una rete SCION sicura e affidabile per la comunicazione tramite smartphone. Il CYD Campus ha creato, utilizzando la rete SCION, un ambiente di test controllato per garantire la sicurezza delle comunicazioni tramite Threema.
Identificazione di punti deboli nelle applicazioni per smartphone
La start-up statunitense Ostorlab ha conquistato la giuria della Startup Challenge del CYD Campus nell'autunno 2023 e durante la conferenza del Cyber-Defence Campus del 26 ottobre 2023 ha potuto presentare le sue soluzioni innovative per l’analisi della sicurezza delle applicazioni mobili. Ostorlab ha creato uno scanner per applicazioni mobili che permette alle organizzazioni di identificare in modo efficiente le vulnerabilità nelle applicazioni mobili, sia nei sistemi Android che iOS. Ostorlab adotta metodi di analisi statici e dinamici per identificare le vulnerabilità che possono causare danni significativi alla sicurezza e alla reputazione delle aziende. Questi vanno dalla violazione della sicurezza alla fuga di dati fino alla compromissione della comunicazione. Nell'ambito della cosiddetta prova di concetto il CYD Campus esamina ora come si possa utilizzare il software di Ostorlab per identificare le vulnerabilità informatiche nel DDPS.
Sistemi operativi mobili sicuri
Gli ecosistemi per smartphone Android e iOS oggi diffusi offrono un elevato livello di funzionalità e flessibilità. Mentre Android e iOS sono ampiamente usati per la memorizzazione e il trattamento di dati non classificati, l'utilizzo nell'ambito dei dati classificati non è attualmente possibile o è possibile solo in misura molto limitata. In Svizzera, tuttavia, è necessario disporre di un sistema operativo per l'utilizzo con dati classificati. Ecco perché è stato avviato un progetto di innovazione con l'obiettivo di identificare ed esaminare possibili soluzioni per soddisfare questa esigenza. La sfida più grande è quella di trovare l’architettura di rete più adatta per un sistema operativo mobile più sicuro per offrire un equilibrio tra sicurezza, fattibilità e facilità d’uso.
Il CYD Campus ha adottato due approcci per proteggere i dati sensibili: il primo approccio consiste in una cosiddetta compartimentalizzazione delle applicazioni software. Ciò significa che la superficie di attacco di un sistema viene annidata, in modo tale che gli effetti di un attacco informatico possano essere ridotti al minimo. A questo proposito, sono state sviluppate due architetture di rete per un sistema operativo mobile più sicuro, compresa un'analisi del rischio. La cibersicurezza include non solo il sistema operativo mobile, ma anche l’hardware, i componenti della crittografia e i processi di avvio con garanzie di sicurezza verificabili.
Il secondo approccio separa l'esecuzione di un'applicazione dal sistema operativo e dal produttore per garantire la sovranità digitale e aumentare la sicurezza.
Le conoscenze derivanti da questi progetti di innovazione apportano un contributo significativo per aumentare la sicurezza degli smartphone delle organizzazioni della sicurezza svizzere. Ulteriori progetti di innovazione saranno presentati il 15 maggio 2024 al CYD Campus in occasione della Giornata dell'innovazione a Berna.