davide maniscalco

Crittografia post quantistica tra sicurezza nazionale e geo-politica globale

Crittografia post quantistica tra sicurezza nazionale e geo-politica globale. Il National Institute of Standards and Technology (NIST) del Dipartimento del Commercio degli Stati Uniti ha scelto il primo gruppo di strumenti di crittografia progettati per resistere all’assalto di un futuro computer quantistico. Il calcolo quantistico ha infatti una potenza di elaborazione tale da costituire una potenziale minaccia per la violazione delle misure di sicurezza utilizzate a protezione della privacy nei sistemi interconnessi dell’ecosistema digitale e, più in generale, per la sicurezza delle nostre informazioni digitali. Ed invero, i sistemi di crittografia a chiave pubblica attualmente “in campo” utilizzano la matematica per proteggere le informazioni elettroniche sensibili, assicurando che le informazioni digitali siano inaccessibili a terze parti indesiderate. Tuttavia, un computer quantistico sufficientemente capace, basato su una tecnologia diversa rispetto agli odierni computer convenzionali, può risolvere rapidamente i problemi di matematica posti alla base dei sistemi di crittografia attuali, violandone pertanto la confidenzialità. Per contro, gli algoritmi resistenti ai quanti si basano su problemi matematici (principalmente reticoli strutturati ma anche funzioni di hash) che sia i computer convenzionali che quantistici dovrebbero avere difficoltà a risolvere. Gli algoritmi sono progettati per due compiti principali per i quali viene generalmente utilizzata la crittografia: -crittografia generale, utilizzata per proteggere le informazioni scambiate su una rete pubblica -firme digitali, utilizzate per l’autenticazione dell’identità. L’annuncio del prossimo rilascio di standard crittografici segue uno sforzo di sei anni gestito dal NIST, che nel 2016 ha invitato i crittografi di tutto il mondo a ideare e quindi controllare metodi di crittografia in grado di resistere a un attacco da un futuro computer quantistico. I quattro algoritmi di crittografia selezionati diventeranno così parte dello standard crittografico post-quantistico del NIST, che dovrebbe essere finalizzato in circa due anni. Per la crittografia generale, il NIST ha selezionato l’algoritmo CRYSTALS-Kyber caratterizzato da chiavi di crittografia relativamente piccole che due parti possono scambiare facilmente con maggiore velocità di funzionamento. Per le firme digitali, spesso utilizzate per verificare l’identità durante una transazione digitale o per firmare un documento a distanza, il NIST ha selezionato i tre algoritmi CRYSTALS-Dilithium, FALCON e SPHINCS+. Ma perché l’annuncio del NIST sugli algoritmi crittografici post-quantistici è così importante sul piano tecnologico nel contesto geo-politico? E’ notorio che il governo cinese ha stanziato ben 10 miliardi di dollari per promuovere l’informatica quantistica, aumentando gli investimenti governativi di oltre il 7%. Di contro, il Dipartimento del Commercio USA ha bandito otto entità tecnologiche affiliate alla Cina nel perseguimento di una strategia mirata ad impedire che le tecnologie emergenti statunitensi vengano utilizzate o, peggio, sfruttate per progressi nel calcolo quantistico della Cina funzionali ad applicazioni militari con conseguenziale sviluppo della capacità di violare la crittografia o sviluppare crittografia infrangibile. A questo riguardo, proprio in questi giorni, i capi dell’MI5 e dell’FBI ha diramato un avviso congiunto sulla crescente minaccia dalla Cina. In particolare, il direttore dell’FBI Christopher Wray ha affermato che il governo cinese “rappresenta la più grande minaccia a lungo termine per la sicurezza economica e nazionale, per il Regno Unito, gli Stati Uniti e gli alleati in Europa e altrove”. Wray ha poi chiaramente avvertito che il governo cinese “rappresenta una minaccia ancora più seria per le imprese occidentali ed è pronto a rubare le loro tecnologie”. Ne consegue che l’annuncio del NIST va accolto con la consapevolezza che la corsa alla crittografia post-quantistica è allo stesso tempo una questione di sicurezza nazionale, sul piano geo-politico globale, e di privacy (confindentiality del dato) nell’ecosistema digitale dell’internet of everything. Ed infatti, va detto che, sebbene gli attuali algoritmi di crittografia siano abbastanza sicuri contro gli attacchi convenzionali, non sono tuttavia resistenti e non lo saranno certamente a tendere, agli attacchi quantistici, motivo per cui (in parte) i governi di tutto il mondo stanno allocando miliardi di investimenti per la nuova corsa all’oro. In tale scenario, mentre lo sviluppo della tecnologia quantistica prosegue alacremente, non si può trascurare uno scenario in cui attori ostili e criminal hackers esfiltrino set di dati crittografati, riservandosi di applicare, solo in un secondo momento lo sfruttamento quantistico. Per queste ragioni, il NIST e la Cybersecurity and Infrastructure Security Agency (CISA), al fine di meglio prepararsi al potenziale rilascio nel 2024 di nuovi standard crittografici, raccomandano di fare l’inventario dei sistemi organizzativi per le applicazioni che utilizzano la crittografia a chiave pubblica e di testare gli standard (quando ufficialmente rilasciati) in un ambiente di laboratorio. Sarà comunque fondamentale prepararsi al meglio per educare e preparare le infrastrutture pubbliche, private e critiche per questa nuova transizione. Mentre lo standard è in fase di sviluppo, il NIST incoraggia comunque gli esperti di sicurezza a esplorare i nuovi algoritmi e considerare come le loro applicazioni li utilizzeranno, ma non a inserirli ancora nei loro sistemi, poiché gli algoritmi potrebbero cambiare leggermente prima che lo standard sia finalizzato. di Davide Maniscalco, Coordinatore regionale Aidr, Legal e Privacy officer Swascan, Tinexta Group

Crittografia post quantistica tra sicurezza nazionale e geo-politica globale Leggi tutto »

L’Europa rafforza cooperazione e progettualità nel settore difesa

L’Europa rafforza cooperazione e progettualità nel settore difesa di Davide Maniscalco, Coordinatore regionale Aidr per la Sicilia, Privacy Officer e Capo delle relazioni istituzionali Swascan – Tinexta Group L’Europa spinge verso il rafforzamento della PESCO, vale a dire la cooperazione strutturata permanente, nell’ambito della politica di sicurezza e difesa dell’UE, preordinata a favorire lo sviluppo congiunto delle capacità di difesa e di investimento in progetti comuni degli Stati membri, funzionali ad un accrescimento della prontezza operativa delle rispettive forze armate in coerenza con il panorama delle capacità europee. Ed infatti, Il Consiglio Europeo ha recentemente adottato una ulteriore decisione che aggiorna l’elenco dei progetti comuni da avviarsi che, uniti a quelli complessivamente sviluppati sin dal dicembre 2017, sommano ormai sessanta progetti collaborativi nei diversi settori delle strutture di formazione, sistemi di formazione terrestre, sistemi marittimi e aerei, cyber difesa e servizi multipli congiunti di sostegno o spazio. In tale scenario, la cooperazione strutturata, unitamente alla Revisione annuale coordinata sulla difesa (CARD) ed al Fondo europeo per la difesa (FED) continua a creare fondamentali sinergie per lo sviluppo congiunto di capacità efficaci ed efficienti degli Stati membri, anche grazie all’importante supporto strategico della European Defence Agency (EDA). A tal riguardo, la decisone del Consiglio è altresì corredata da due raccomandazioni in cui vengono specificamente declinati gli obiettivi per la seconda fase iniziale della PESCO 2021-2025 ed esortate le valutazioni sugli stati di avanzamento dei progetti e dei progressi compiuti dagli Stati membri. I nuovi progetti, ben quattordici, si propongono di rappresentare una ulteriore evoluzione della collaborazione permanente nello sviluppo di comuni investimenti in materia di difesa con particolare riguardo ai settori aereo e spaziale. I progetti spaziano dallo sviluppo di nuove capacità militari e dall’identificazione di esigenze future in aree quali l’aviazione e la scorta di superficie marittima, al miglioramento dello scambio di immagini governative classificate e all’addestramento congiunto per i principali carri armati. Tra questi, ad esempio, il progetto Trasporto aereo strategico per carichi fuori misura (SATOC) che, sviluppando una soluzione europea per il trasporto di merci pesanti e di grandi dimensioni secondo un approccio graduale, va a colmare una carenza critica. Tra gli altri progetti inclusi vale la pena di evidenziare: – Il progetto Veicolo semiautonomo di superficie di medie dimensioni (M-SASV) svilupperà un veicolo con molteplici moduli di missione, in grado di garantire una maggiore flessibilità operativa e una maggiore protezione dell’equipaggio, che potrà essere utilizzato per operazioni litoranee come pure nell’ambito di gruppi di missioni navali. – Il progetto Piccoli RPAS di prossima generazione (NGSR) che svilupperà la prossima generazione di droni tattici da utilizzare nelle unità militari dei settori marittimo e aereo, nonché per il dual use (civile-difesa), per il contrasto delle emergenze/catastrofi. – Il progetto Difesa delle risorse spaziali (DoSA) che aumenterà l’efficienza operativa dell’UE nel settore spaziale sfruttando al meglio le risorse spaziali attuali e future attraverso funzioni spaziali trasversali di accesso, difesa passiva ed efficienza operativa mediante la formazione. L’elenco dei progetti aggiornati dalla decisione del Consiglio comprende, tra gli altri, anche il Centro di simulazione e prove per carri armati (MBT-SIMTEC) e il Partenariato militare dell’UE (EU MilPart) per il settore dei sistemi terrestri ed il Polo comune per le immagini satellitari dei governi (CoHGI) per il settore spaziale.

L’Europa rafforza cooperazione e progettualità nel settore difesa Leggi tutto »

Resilienza informatica: chi ben comincia…

Resilienza informatica: chi ben comincia… di Davide Maniscalco, Coordinatore regionale Aidr per la Sicilia, Privacy Officer e Capo delle relazioni istituzionali Swascan – Tinexta Group Come previsto nel Work Programme 2022 della Commissione europea, la tecnologia e la sostenibilità rappresentano le priorità dell’agenda europea che, invero, ribadisce la convinta visione di un’Europa verde e digitale. E’ noto che il decennio per realizzare il percorso di trasformazione digitale dell’UE avrà un orizzonte al 2030 e si caratterizzerà, tra l’altro, per lo sviluppo di: un’economia innovativa basata su una tecnologia umano-centrica, affidabile e sicura; una connettività ad internet sicura e resiliente; un sistema di comunicazione sicuro globale basato sullo spazio; un’identità digitale europea; sistemi di Intelligenza Artificiale affidabili, con sempre maggiori standard di calcolo computazionale. Tuttavia, già adesso e, purtroppo con una preoccupante frequenza, frodi, attacchi di phishing e ransomware rappresentano una minaccia sistemica concreta per intere economie e governi. A fronte di questo fenomeno, che nel tempo ha assunto anche connotazioni geo-politiche, talora con finalità di destabilizzazione e sabotaggio o, più spesso, di spionaggio industriale e scientifico-tecnologico, le risorse aziendali, laddove consistenti in budget concreti, restano ancora prevalentemente allocate sulla sicurezza informatica difensiva, principalmente focalizzata sulla protezione della riservatezza e dell’integrità dei dati e meno spesso sulla continuità operativa dei processi primari di business e dei sistemi informatici ed informativi. E’ evidente che questa impostazione si sta rivelando insufficiente di fronte ad attacchi che diventano ogni giorno più pervasivi e richiedono non soltanto una risposta più strutturata di tipo preventivo ed anche predittivo, ma anche di un capitale umano più diversificato ed inclusivo. In tale scenario, la collaborazione multilayers rimane un imperativo sempre più imprescindibile. Ed infatti, la sicurezza informatica ha bisogno tanto dell’esperto sviluppatore quanto del sistemista e dell’End user, perché sono tutti imprescindibilmente players di una mission comune: la resilienza informatica. Non ci sono altre strategie, tutti devono essere coinvolti all’interno della cybersecurity per rafforzarne l’intera filiera. In tale direzione, il preannunciato European Cyber Resilience Act, il cui lancio è stimato per il terzo trimestre del 2022, proporrà in parte nuove regole per i dispositivi connessi al fine di affrontare potenziali vulnerabilità del software e stabilire standard comuni di sicurezza informatica per i dispositivi connessi. Inoltre, linea con le priorità della Commissione europea, anche la proposta di Regolamento sulla resilienza operativa digitale (“DORA”) per i servizi finanziari dello scorso settembre 2020, che fornirà un quadro europeo di norme armonizzate diretto ad affrontare le esigenze di resilienza operativa digitale di tutti i soggetti finanziari regolamentati, stabilendo anche un quadro di supervisione per i fornitori ICT terzi critici. Ma è chiaro che l’approccio normativo, pur necessario, non possa bastare. Si tratta infatti di approcciare la sicurezza informatica con la consapevolezza di dover creare, con risorse e focus esecutivi adeguati, resilienza in ogni parte del business, dalla mappatura dei processi aziendali alla disponibilità dei servizi di ingegneria alla dipendenza spesso critica dai fornitori. Tutto ciò richiede ed include inevitabilmente la correzione costante delle vulnerabilità, il rilevamento e la mitigazione delle minacce e la formazione continua del capitale umano. Inoltre, gli sviluppatori dovrebbero comprendere quanto la sicurezza dei codici che scrivono e la loro distribuzione, per tutto il ciclo di vita delle applicazioni, siano funzionali ad un incremento del valore dei software, che devono tuttavia rimanere sensibili alla velocità del business. Per questo il Regolatore europeo sta puntando sulla leadership tecnologica e digitale, perché solo attraverso regole europee certe ed armonizzate si creerà una virtuosa interazione tra chi progetta, chi sviluppa e chi  gestisce i sistemi, determinando così le fondamenta per un nuovo paradigma della cybersecurity. L’obiettivo della sovranità digitale europea sarà una logica conseguenza e passerà per la creazione di un sistema basato su regole che consentano una maggiore proprietà di risorse tecnologiche vitali, a livello locale, nazionale e regionale e, in ultimo, di avere un concreto controllo sul proprio destino digitale, ossia i dati, l’hardware e il software che si creano e su cui si fa affidamento.

Resilienza informatica: chi ben comincia… Leggi tutto »

Il Consiglio europeo adotta il regolamento sui supercomputer di prossima generazione

Il Consiglio europeo adotta il regolamento sui supercomputer di prossima generazione di Davide Maniscalco, Coordinatore regionale Aidr per la Sicilia, Privacy Officer e Capo delle relazioni istituzionali Swascan – Tinexta Group Il Consiglio ha adottato oggi un regolamento che istituisce la European High Performance Computing Joint Undertaking (EuroHPC). Il regolamento apre così la strada allo sviluppo in Europa della prossima generazione di supercomputer. L’impresa comune mira a sviluppare, implementare, estendere e mantenere nell'UE un ecosistema federato, sicuro e iperconnesso di supercalcolo, calcolo quantistico, nonché di servizi e infrastrutture di dati a livello mondiale. Il regolamento consentirà la prosecuzione delle attività dell’impresa comune EuroHPC, invero già istituita nell’ottobre 2018, e riunirà le risorse dell’UE, dei 27 Stati membri, di altri 6 paesi e di 2 membri privati, ossia la European Technology Platform for HPC and la Big Data Value Associations. Il provvedimento adottato, che tiene già conto dei recenti sviluppi tecnologici, come l’informatica quantistica, contribuirà al rafforzamento dell’autonomia strategica dell’UE ed alla realizzazione dello Spazio europeo della ricerca preordinato a rendere l’Europa leader a livello mondiale nel supercalcolo. Ed infatti, il regolamento rafforza proprio le capacità di ricerca e innovazione, lo sviluppo di un ecosistema di infrastrutture di supercalcolo e l’acquisizione di supercomputer di livello mondiale tramite l’impresa comune. Ciò consente di estendere l’utilizzo dell’infrastruttura di supercalcolo ad un ampio numero di utenti pubblici e privati. In più ,il provvedimento normativo, seppur tenda allo sviluppo di competenze chiave per la scienza e l’industria europee, mantiene tuttavia una generale coerenza con i prioritari obiettivi di transizione verde e digitale dell’UE. L’High Performance Computing si riferisce a sistemi di calcolo (“supercomputer”) con una potenza di calcolo estremamente elevata, in grado di risolvere problemi particolarmente complessi, consentirà di sfruttare ulteriormente tecnologie chiave come l’intelligenza artificiale, data analytics e cybersecurity di sfruttare l’enorme potenziale della cosìddetta economia data driven. La proposta della Commissione europea è stata presentata nel settembre 2020 e il Consiglio ha concordato un orientamento generale nel maggio 2021. Il nuovo regolamento è stato allineato al quadro finanziario pluriennale dell’UE per gli anni 2021-2027 , consentendo così all’EuoroHPC di utilizzare i finanziamenti dei programmi dell’UE , Horizon Europe, Digital Europe e Connecting Europe Facility.

Il Consiglio europeo adotta il regolamento sui supercomputer di prossima generazione Leggi tutto »