Nel 2022 l’ENISA, l’Agenzia per la Cybersicurezza Europea, ha pubblicato il primo rapporto di “Previsione delle Minacce alla Cybersecurity 2030” e lo scorso marzo ha rilasciato l’aggiornamento 2024. Al primo posto resta stabile la “compromissione della catena di fornitura delle dipendenze software”. Questo consiste nel compromettere un elemento vulnerabile nella catena del software o un componente di terze parti che, una volta danneggiato, può essere utilizzato per superare le difese di tutte le organizzazioni o individui che dipendono da esso.
Il primo fattore di rischio nel campo della sicurezza informatica è il colloquio, l’interazione tra moduli software.
La digitalizzazione pervasiva caratterizza ogni attività umana, viviamo grazie a software e dati che ci consentono di eseguire azioni quotidiane come accendere l’auto, prenotare una visita medica, trasferire denaro, irrigare un campo. I software sono un elemento invisibile che permea lo strato digitale della nostra vita; per questo un attacco o una compromissione hanno conseguenze potenzialmente dirompenti.
L’avvento del software nativo cloud ha innescato un cambiamento epocale: da grandi software isolati siamo passati a moduli interconnessi tramite Internet e oggi assistiamo alla decomposizione del codice in innumerevoli contenitori applicativi che operano indipendenti in nuvole eterogenee e distinte, auto organizzandosi, auto gestendo le risorse, scambiandosi messaggi e dati, sulla base di identità digitali.
Il software di nuova generazione opererà in sciami che sfrutteranno infrastrutture dinamiche nel tempo e nello spazio: una molteplicità eterogenea distribuita che interagisce scambiando dati e identità.
E se in passato ci siamo adoperati per proteggere le reti, il perimetro, le “nuvole”, oggi scopriamo che il concetto di “superficie di esposizione” o “superficie di attacco” è superata dalle caratteristiche intrinseche del software che stiamo producendo.
La superficie di esposizione è improvvisamente diventata quella che i matematici definiscono una “superficie non orientabile”, dove la definizione di interno ed esterno perde di significato. Non abbiamo più un perimetro da difendere. Non esiste più la città medievale protetta dalle mura di cinta.
In questo “continuum” decentralizzato e distribuito, in cui nessun software è un’isola, si impone un cambio di paradigma nell’approccio alla cybersicurezza che superi i tradizionali ambiti e confini.
Proprio di questo vogliamo occuparci insieme, Fondazione Bruno Kessler (FBK) e Deda, nel nuovo Co-Innovation Lab Cleanse – Cloud Native Application Security. Affrontare le sfide di cybersicurezza del software di nuova generazione, partendo dalla consapevolezza di chi il codice lo sviluppa ed estendendo il contesto e gli strumenti verso un modello a responsabilità condivisa per l’intero ecosistema tecnologico e degli utilizzatori.
Dobbiamo prepararci per affrontare problemi inaspettati e modi inaspettati di scoprire le vulnerabilità. Fornire metodi e strumenti che possono diventare parte integrante delle attività quotidiane di chi sviluppa software. Strumenti che aiutino e automatizzino le verifiche tecnologiche, di compliance, e che suggeriscano rimedi.
Questo approccio sociale alla protezione digitale può essere ottenuto solo attraverso un'attenta opera di consapevolezza e lo sviluppo di competenze per tutti gli stakeholder coinvolti, che includono le organizzazioni del settore privato, di quello pubblico e le forze dell'ordine. Anche nel campo della sicurezza informatica, quindi, quel modello aperto, di scambio e confronto, che caratterizza il nostro modo di fare innovazione in Deda, è fondamentale: solo attraverso la cooperazione multilaterale sarà possibile combattere le minacce di oggi e affrontare quelle che emergeranno in futuro.
