Ho approfittato della giornata grigia per rileggere gli appunti che avevo preso al seminario sulla sicurezza informatica e per preparante un riassunto comprensibile, spero, per i soci CLUSIT.
Ci sono riflessioni importanti su quelli che sono gli scenari della sicurezza delle informazioni nel prossimo decennio ed è rilevante il fatto che l'attenzione si sposta dalla sicurezza alla fiducia, dalla tecnologia alla relazione.
La sicurezza sarà più che mai il frutto della collaborazione.
Report dal "High Level Seminar" promosso dalla DG Information Society and Media della Commissione Europea in materia di sicurezza.
Il 7 dicembre scorso si è tenuto a Bruxelles un seminario organizzato dalla Direzione Generale Information Society and Media della Commissione Europea dal titolo " Raising security awareness and strengthening the trust of end-users in information society: policy challenges for the next decade" a cui erano invitati, oltre ai rappresentanti dei governi dei paesi membri, esponenti del mondo accademico ed esperti di sicurezza a vari livelli.
Il CLUSIT era presente sia come organizzazione focalizzata alla sicurezza che come rappresentante del Dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri.
L'obiettivo dichiarato del seminario era quello di fornire indicazioni alla Commissione su quali passi compiere, all'interno dell'iniziativa i2010, per costruire una società dell'informazione che sia anche sicura.
Il seminario era diviso in tre sessioni di brainstorming
- Tecnologia : quali impatti ci si devono aspettare dalle nuove tecnologie rispetto alla privacy e alla fiducia degli utenti sia business che privati.
- Dipendenza : come le reti, intese come insieme di oggetti e servizi, siano sempre più determinanti per la vita sociale e come garantirne la continuità
- Percezione : quali fattori psicologici influiscono sulla fiducia, come trasformare la consapevolezza in fiducia, come misurare la fiducia e come bilanciare responsabilità e legalità.
Già nel titolo si colgono due aspetti importanti: l'attenzione si sposta sempre più dal tema "sicurezza" (che sottintende tecnologia) a quello della "fiducia" (che implica fattori emotivi e psicologici) e l'orizzonte temporale deve essere quello di medio-lungo periodo, dieci anni, perchè le politiche di breve termine non possono sperare di fronteggiare le sfide che abbiamo di fronte a noi.
Lo scenario
Le presentazioni di apertura del dr. Andrea Servida, responsabile dell'unità A3 della DG Information Society, e del prof. Michel Riguidel dell'Ecole Nationale Superieure des Télecommunications di Parigi, hanno dipinto uno scenario contraddittorio.
Un livello ancora insufficiente di consapevolezza dei rischi e la conseguente limitata protezione dei sistemi (secondo un'indagine Eurostat solo il 30% degli utenti protegge i propri sistemi) a fronte di una crescente complessità e fragilità dell'infrastruttura: "Dobbiamo vedere i sistemi come 'inestricabili' e non più come sistemi 'complessi'" (Riguidel).
A fronte di una esigenza a breve di recuperare il ritardo accumulato è importante guardare al futuro con un'ottica completamente diversa rispetto al passato che faccia superare la dicotomia macchina-rete verso una visione molto più dinamica e olistica dei sistemi e delle relazioni che si instaurano tra i partecipanti.
La sicurezza del futuro sarà non un sistema monolitico ma la negoziazione di una serie di informazioni tra due entità (il singolo e l'ente o azienda) che vogliono dialogare, in cui la fiducia non sarà affidata integralmente a sistemi tecnologici ma anche a reti di referenza e trust reciproco di micro-comunità.
In più non dovremo pensare solamente alla sicurezza ma alla "sovranità" e alla "dignità" digitale come temi centrali per la costruzione di una società dell'informazione in cui i cittadini possano riconoscersi.
Tra le sfide più serie vi è quella della comprensione dei tempi diversi dei diversi fattori in gioco (la vita media di un sistema di sicurezza era stimato in 10 anni mentre le generazioni di attacchi mutano ogni 3) e il fatto che la distinzione tra mondo reale e virtuale si assottiglia sempre più e dovremo aspettarci nei prossimi 5 anni virus e malware che causeranno la morte di persone (si pensi a un pacemaker connesso alla rete sanitaria per monitoraggio che viene messo fuori uso da un virus).
Di certo la tecnologia pone quesiti importanti e non solo perchè parliamo di RFID ma perchè dovremo pensare a come securizzare il nanomondo e gli oggetti infinitamente piccoli o come securizzare i futuri computer quantici che non sono "digitali".
Dovremo infine accettare il fatto che non tutto sarà controllabile e sicuro e che "infosfere", di cui noi non avremo e non potremo avere il controllo, appartengono al nostro futuro.
Il dibattito
Dalla discussione sono emersi spunti molti interessanti.
Janne Uusilehto, responsabile product security di NOKIA, ha fatto notare come nel 2015 si prevede siano 5 miliardi le persone "always connected" e un livello di traffico moltiplicato per 100 volte rispetto a quello attuale e ha ricordato che "La tecnologia non protegge le persone ma offre strumenti alle persone che vogliono proteggersi.".
Ha sottolineato inoltre che se è vero che il grande tema è quello della alfabetizzazione di massa dei cittadini e degli utenti, non bisogna dimenticare che occorre preparare e formare in modo preciso anche tutta una nuova generazione di tecnici, che oggi non sono in grado di sviluppare software sicuri fin dall'inizio.
Gerald Spindler dell' Università di Gottingen ha ricordato che servono norme che introducano "minimum security standards" (oggi presenti solo per i prodotti medicali) e che la direttiva europea sulla responsabilità di prodotto non include il software come "prodotto". Gli ha fatto eco Kornelia Kutterer della European Consumer Association condividendo l'idea delle regole minime di sicurezza ma ha sottolineato che bisogna anche definire chi garantisce l'imposizione e il rispetto di queste norme e per di più la Commissione Europea dovrebbe essere molto più precisa quando usa termini come pirateria, sicurezza, cibercrimine che oggi assimilano gli utenti ai terroristi.
Il tema della fiducia
Angela Sasse Professor of Human-Centered Technologies all' University College di Londra ha sviluppato il tema della "fiducia" che era il punto chiave del seminario.
Ne ha dato innanzitutto una definizione: Fiducia come volontà di essere vulnerabile basandosi su positive aspettative sulle azioni degli altri.
La fiducia è cognitiva (razionale) o immediata (pre-cognitiva) ad esempio con i familiari e si sviluppa nella lettura di segnali che spesso mancano nel mondo virtuale e rappresenta una scorciatoia per un approccio analitico alla valutazione costi-rischi-benefici.
Dopo le prime interazioni in un ambiente di fiducia, l'utente trasforma la fiducia in affidabilità e abbassa la percezione della vulnerabilità (vedi il phishing), non si tratta quindi di manipolare la richiesta di fiducia (mettere un viso sorridente sulla pagina web) ma di aiutare gli utenti a comportamenti positivi in cui "La tecnologia consente agli utenti di prendere la giusta decisione in termini di fiducia".
L'interazione deve dare incentivi che premiano comportamenti corretti e fornire segnali che gli utenti possono leggere: servono SINTOMI (es. prodotti di relazione fiduciaria) e non semplicemente SIMBOLI.
Compito delle istituzioni è quindi anche quello di ridurre le situazioni di "incertezza" e un possibile percorso da seguire è quello di sostenere comunità di utenti che costruiscono legami di fiducia e che poi si autoregolano.
Su questo tema è intervenuta Albena Spasova, responsabile dell' ufficio legale di eBay, per la quale il 100% del business di eBay dipende dalla fiducia: se un utente ha una esperienza negativa non torna più. La risposta è una iniziativa decisa e costante che si basa certo sulla tecnologia, ma soprattutto sulla completa trasparenza con gli utenti, informazioni continue e accurate, un servizio h24 per rispondere alle potenziali frodi, un software gratuito che garantisce l'autenticità del sito eBay. In sostanza non UNA risposta ma un insieme di azioni coordinate e focalizzate.
Due commenti degni di nota:
"Un mondo con l'identificazione univoca di singoli oggetti e persone è estremamente pericoloso, dobbiamo pensare a forme di "proxy" che mettano delle generalizzazioni tra noi e la rete garantendo la protezione dell'identità e nel contempo la partecipazione responsabile." (Riguidel)
"Dobbiamo sviluppare forme di ragionamento non lineare: le cinture di sicurezza riducono gli incidenti? No, riducono i morti, è vero, li dimezzano. Ma il numero totale dei morti in Inghilterra non è diminuito perchè sono aumentati gli incidenti, anche perchè, siccome la gente si sente più sicura, viaggia più veloce e corre maggiori rischi." (Sasse)
Come misurare la fiducia
Già dal prossimo anno la Commissione Europea collaborerà con Eurostat per sviluppare sistemi che misurino il livello di fiducia degli utenti nei sistemi informativi, per poter valutare in termini concreti l'efficacia delle iniziative che vengono messe in campo.
E' un terreno difficile, come ha sottolineato Tobias Husing, ricercatore di Empirica, una società Tedesca che ha già collaborato con la DG su questo tema, perchè nelle indagini sulla sicurezza per gli utenti finali, la gran parte degli intervistati non è nemmeno in grado di capire la domanda.
Innovativo non è solo il terreno d'indagine ma devono essere innovati anche gli strumenti di misura e devono venire correlati indicatori anche marginali ma che possano aiutare a capire se il cambiamento di fiducia induce cambiamenti nei comportamenti. Qualunque analisi statistica classica non funziona per misurare la fiducia: serve un "benchmarking analitico" che analizzi in dettaglio anche micro-indicatori.
Due punti di vista significativi
Sono stati presentati nel dibattito finale due punti di vista significativi da parte di istituzioni governative.
Ferenc Suba, Presidente del PTA, una emanazione del CERT ungherese, che ha scelto la via della costruzione di una fondazione di tipo privatistico che garantisce rapidità ed efficienza nell'azione quotidiana mantenendo il ruolo governativo di guida e orientamento ma evitando la farraginosità tipica delle pubbliche amministrazioni.
Il rappresentante del Governo Greco (Ministero delle Finanze) ha sostenuto che non si tratta di costituire nuove authorities ma di far interagire i player attuali (providers, operatori di telecomunicazioni, associazioni) e di unificarne i linguaggi e gli sforzi coordinandone le iniziative, favorendo l'interscambio di esperienze e la condivisione delle best practices.
Un richiamo alla collaborazione tra attori, istituzioni e paesi come chiave per la soluzione alle sfide della sicurezza del prossimo decennio.
Sono rimasto molto colpito dalla ragionamento che sposta l'importanza dell'interazione con un sistema dalla fiducia (trust) all'affidabilità.
Mi viene da dire che oggi siamo in grado di gestire la fiducia in maniera monilitica, senza interazione tra sistemi ma, il problema fondamentale di questo modo di agire secondo me sta proprio in questa mancanza di interazione che determina una mancanza di trust (fiducia), quindi l'assurdo è che oggi, con gli attuali sistemi di sicurezza, non riusciamo a gestire la fiducia.
So di non essere stato chiaro arrivo al punto.
Mi sono occupato spesso negli ultimi tempi di sistemi AAA con un occhio di riguardo al concetto di federazione.
La nostra identità digitale è unica e distribuita e ogni sistema si occupa di manipolare le informazioni per il sotto dominio di competenza creando porzioni di identità, facendo un esempio governativo ipotetico posso dire che il minitesto dell'interno può asserrire che io sia un cittadino italiano, il ministero della salute può gestire il mio profilo medico, il ministero dell'economia quello finanziario ecc, ma non c'è interazione (integrità) tra i sistemi citati quindi io sono, nell'esempio, trino nell'identità statale.
La domanda che mi pongo ora è, se non ho frainteso: Manca fiducia nel sistema di esempio che ho considerato oppure, considerando gli attori come utenti del sistema, manca affidabilità in modo tale da "abbassare la percezione della proprietà dell'informazione" che gli attori hanno? Non sono forse io proprietario dell'informazione?
La Fiducia non è forse "volontà di essere vulnerabile basandosi su positive aspettative"?
Grazie d'avermi permesso di buttare giù questi pensieri spaiati :)
Spero di poter presto tornare sull'argomento
Scritto da: Andrea L. | 01/04/2008 a 02:04