Home » Focus del mese

UE, pronto a partire progetto intergovernativo contro lo spionaggio informatico. E contro Echelon

20 Aprile 2004 Commenta

Secoqc e’ il nome del progetto intergovernativo contro lo spionaggio informatico volto a costruire una rete globale di comunicazioni sicura. Il Secoqc (Development of a Global Network for Secure Communication based on Quantum Cryptography) ha infatti l’obiettivo di sviluppare una rete globale per comunicazioni sicure basate sulla crittografia quantistica e di bloccare quindi lo spionaggio informatico economico e industriale, effettuato in gran parte attraverso la rete di sorveglianza mondiale Echelon.
L’iniziativa, promossa e finanziata dall’Unione Europea (11,4 mln di euro), si sviluppera’ nell’arco di 4 anni e coinvolge 41 partner di 12 paesi (Austria, Belgio, Svizzera, Repubblica Ceca, Germania, Danimarca, Francia, Gran Bretagna, Italia, Russia, Svezia, Canada). Tra loro anche 25 universita’, 5 centri di ricerca e 8 aziende private; per l’Italia sara’ presente l’equipe del Politecnico di Milano, guidata da Sergio Cova, che curera’ lo sviluppo di rivelatori Spad in silicio e i relativi circuiti integrati: una tecnologia completamente italiana, sviluppata in collaborazione con l’Istituto di Microelettronica e Microsistemi del CNR Sezione di Bologna. Collaboreranno con il Politecnico di Milano la Heriot-Watt University di Edinburgo e la Sheffield University (UK).

La sicurezza nelle comunicazioni e’ una necessita’ essenziale di societa’, di istituzioni pubbliche e in particolare del singolo cittadino. I sistemi di crittografia attualmente utilizzati sono vulnerabili a causa del livello di alta tecnologia raggiunta dall’informatica e dai moderni computer nonche’ della nascita di nuovi algoritmi code-breaking e delle imperfezioni delle attuali chiavi pubbliche.
I metodi considerati oggi come sicuri presentano, quindi, il serio rischio di diventare debole domani.
Quando la distribuzione della chiave crittografica diventera’ un’operazione piu’ diffusa,  la sicurezza delle comunicazioni si assestera’ su un livello essenzialmente piu’ alto. La visione di “Secoqc” e’ proprio quella di fornire ai cittadini europei, societa’ e istituzioni uno strumento che permetta di affrontare le future minacce di intercettazioni in campo tecnologico e telematico.
Con “Secoqc” verra’ creata una rete di comunicazioni a lungo raggio di elevata sicurezza che combina la nuova tecnologia per la distribuzione della chiave con componenti di scienza e crittografia classiche.
All’interno del progetto saranno perseguiti i seguenti obiettivi: 1) realizzazione di una tecnologia di comunicazione ready-to-market denominata Quantum Key Distribution (QKD); 2) sviluppo di un’architettura che consenta delle comunicazioni a lungo raggio di elevata sicurezza integrando la tecnologia QKD e un insieme di protocolli crittografici; 3) progettazione di una rete user-oriented per realizzazione pratica di comunicazioni sicure basate su QKD.

Per ottenere questo obiettivo, tutta l’esperienza e le risorse disponibili all’interno dell’europeo Research Area devono essere integrate e combinate con la competenza di sviluppatori e di societa’ nei campi di integrazione di rete, di crittografia, di elettronica, di sicurezza e sviluppo software.
Sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonche’ eventuali usi illeciti, dalla divulgazione, modifica e distruzione.
Si include, quindi, la sicurezza del cuore del sistema informativo, cioe’ il centro elettronico dell’elaboratore stesso, dei programmi, dei dati e degli archivi.

Questi problemi di sicurezza sono stati presenti sin dall’inizio della storia dell’informatica, ma hanno assunto dimensione e complessita’ crescenti in relazione alla diffusione e agli sviluppi tecnici piu’ recenti dell’elaborazione dati; in particolare per quanto riguarda i data base, la trasmissione dati e la elaborazione a distanza (informatica distribuita).
Riguardo l’aspetto “sicurezza” connesso alla rete telematica essa puo’ essere considerata una disciplina mediante la quale ogni organizzazione che possiede un insieme di beni, cerca di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati.
Un bene puo’ essere un’informazione, un servizio, una risorsa hardware o software e puo’ avere diversi modi possibili di interazione con un soggetto (persona o processo). Se, ad esempio, il bene e’ un’informazione, ha senso considerare la lettura e la scrittura (intesa anche come modifica e cancellazione); se invece il bene e’ un servizio, l’interazione consiste nella fruizione delle funzioni offerte dal servizio stesso.
Naturalmente e’ chiaro che in un sistema complesso nel quale interagiscono piu’ soggetti, la sicurezza potra’ essere garantita solo se: 1. le azioni lecite che ciascun soggetto puo’ eseguire interagendo con i beni cui puo’ accedere tramite la rete, saranno correttamente individuate e definite; 2. il sistema verra’ definito in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale che le possibili azioni illecite, eventualmente attuate sia da parte di estranei che di utenti della rete, siano contrastate con un’efficacia tanto maggiore quanto piu’ elevati sono i danni conseguenti all’azione illecita considerata.

Il soddisfacimento delle due condizioni richiede lo sviluppo di una politica di sicurezza nell’ambito della quale: venga scelto, con il criterio del minimo danno per un ente, l’insieme delle autorizzazioni che specificano i modi di interazione leciti di ogni soggetto con i beni cui si puo’ accedere tramite la rete; vengano selezionate, applicando al sistema una metodologia di analisi e gestione dei rischi, le contromisure di tipo tecnico, logico (dette anche funzioni di sicurezza), fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale.
Il primo passo per lo sviluppo di una politica di sicurezza e’ la definizione delle autorizzazioni che disciplinano l’uso dei beni.
Tale definizione puo’ avvenire attraverso le seguenti fasi: identificazione dei beni; quantificazione del valore dei beni; classificazione dei soggetti dal punto di vista dell’affidabilita’; applicazione di predefinite regole di autorizzazione.
L’organizzazione, per decidere quali autorizzazioni concedere ad un prefissato soggetto, dovra’ valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione. L’entita’ di tali danni potrebbe essere allora utilizzata per definire i valori del bene relativi al particolare tipo di interazione da parte del soggetto considerato.

L’insieme delle autorizzazioni puo’ essere anche definito come l’insieme degli obiettivi di sicurezza per il sistema funzionante in accordo con la politica di sicurezza stessa. Gli obiettivi di sicurezza vengono generalmente definiti come requisiti di riservatezza (prevenzione dell’utilizzo indebito di informazioni riservate), integrita’ (prevenzione dell’alterazione o manipolazione indebita di informazioni) e disponibilita’ (prevenzione dell’occultamento o dell’impossibilita’ di accesso a dati o risorse necessarie alla conduzione dell’attivita’) espressi con riferimento ai beni da proteggere.

Scritto da

Commenta!

Aggiungi qui sotto il tuo commento. E' possibile iscriversi al feed rss dei commenti.

Sono permessi i seguenti tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>