Risk assessment, cos’è e come funziona il tool di AgID per la sicurezza della blockchain europea - Cyber Security 360

LA GUIDA PRATICA

Risk assessment, cos’è e come funziona il tool di AgID per la sicurezza della blockchain europea

Per la gestione della sicurezza della European Blockchain Services Infrastructure, è stato scelto lo strumento di risk assessment (valutazione del rischio) messo a punto dall’Agenzia per l’Italia Digitale e che sarà utilizzato per svolgere l’analisi del rischio dell’infrastruttura stessa. Ecco di cosa si tratta e come funziona

26 Ott 2020
G
Antonio Marco Giuliana

Analista Hermes Bay

Il tool di risk assessment (valutazione del rischio) dell’Agenzia per l’Italia Digitale (AgID) è stato scelto per l’analisi della sicurezza della European Blockchain Services Infrastructure (EBSI).

In particolare, lo strumento di risk assessment messo a punto dall’AgID per le pubbliche amministrazioni dovrà eseguire l’analisi del rischio informatico dell’infrastruttura pan-europea dedicata ai servizi di Blockchain e sui servizi che operano su di essa. Per la Commissione Europea, infatti, la tecnologia blockchain ha da una parte l’enorme potenziale di migliorare il modo in cui i cittadini, i governi e le imprese interagiscono gli uni con gli altri, dall’altra il pregio di aumentare notevolmente la fiducia fra le varie parti con l’incremento dell’efficienza delle operazioni.

La tecnologia Blockchain, l’EBS e l’EBSI

La nascita dell’European Blockchain Service Infrastructure è stata annunciata dall’Unione Europea alla fine di agosto del 2019. Più specificamente EBSI è un progetto, condiviso della Commissione Europea e della European Blockchain Partnership (EBS), che ha come fine quello di realizzare una vasta gamma di servizi pubblici utilizzando le caratteristiche innovative della tecnologia blockchain.

La blockchain, lo ricordiamo, è la tecnologia che permette di usufruire di un database distribuito (situato contemporaneamente su più computer/server che sono perfettamente sincronizzati sugli stessi documenti) per la gestione di transazioni condivisibili tra più “blocchi” di una catena.

In altre parole, si tratta di un database organizzato in blocchi (block) appartenenti ad una catena (chain) che li collega tra loro in modo tale che ogni transazione avviata al suo interno possa essere riconosciuta e verificata dalla rete stessa. Ogni blocco di questa catena deve monitorare e validare i movimenti che lo riguardano al fine di creare una rete che assicuri la tracciabilità di tutte le transazioni. A sua volta, poi, il blocco è anche un archivio di tutte le transazioni che lo hanno coinvolto e presenta, dunque, uno storico che per sua natura è immodificabile e, di conseguenza, immutabile.

In ultimo, ma non per importanza, la blockchain utilizza strumenti crittografici, così da garantire la massima sicurezza di ogni transazione.

In questo contesto, l’EBS rappresenta un’iniziativa nata nel 2018 alla quale oggi partecipano attivamente 29 Paesi (tra cui anche l’Italia), compresi quelli non membri dell’Unione ma appartenenti allo spazio economico europeo.

L’obiettivo del gruppo è quello di identificare servizi transfrontalieri digitali sempre più idonei, che dovranno diventare sempre più fruibili e performanti attraverso l’infrastruttura europea dei servizi blockchain che è fondata su un modello di governance condiviso.

Per il raggiungimento di questo scopo, il partenariato si impegna costantemente affinché i Paesi possano collaborare nella maniera migliore possibile per lo scambio e la condivisione di esperienze positive ed expertise tecniche e giuridiche, al fine di creare e mantenere – per il settore pubblico e privato – degli standard tecnologici unici per tutta l’Europa, che siano in linea con i piani del “Digital Single Market”, e posti come base per l’infrastruttura europea dei servizi blockchain appunto l’EBSI.

In quest’ottica, l’ambizione nonché lo scopo ultimo dell’infrastruttura EBSI è di realizzare, promuovere e diffondere un ampio spettro di servizi pubblici creati a partire dalla tecnologia Blockchain per consentire la condivisione e la sicurezza di informazioni come, ad esempio, dati doganali e fiscali dell’Ue, documenti di audit di progetti finanziati, certificazioni transfrontaliere, diplomi, qualifiche professionali e identità digitali (eIDAS).

Non è un caso che Mariya Gabriel, Commissioner for Digital Economy and Society, in occasione dell’annuncio della presentazione della EBSI, abbia osservato come “tutti i servizi pubblici in futuro potranno utilizzare la tecnologia Blockchain, intesa come una grande opportunità per l’Europa e per gli Stati membri”.

Per il Commissario, con questa innovazione “è arrivato il momento di ripensare ai sistemi informativi, per disporre di soluzioni che permettano di aumentare la fiducia dei cittadini e di garantire in misura migliore la protezione dei dati personali”. A conclusione dell’intervento, il rappresentante UE si è soffermato sulle ricadute positive che potrebbero derivare dall’uso di questa tecnologia. La blockchain infatti “può contribuire a creare nuove opportunità di business e stabilire nuove modalità di relazione a vantaggio dei cittadini, dei servizi pubblici e delle imprese”.

La struttura dell’EBSI

L’EBSI coinvolge oltre 300 persone ed ha visto assegnarsi dall’Unione Europea un budget di 4 milioni di euro per il biennio 2019-2020 per individuare sotto il profilo tecnico-giuridico quattro casi di utilizzo per la tecnologia Blockchain, ovvero:

  1. certificazioni notarili: la tecnologia blockchain dovrà essere utilizzata per creare registri di controllo digitali e affidabili, per rendere automatico il controllo della conformità normativa per operazioni urgenti, per dimostrare l’integrità dei dati;
  2. diplomi di istruzione e formazione professionale: con la tecnologia blockchain si dovrà restituire il pieno controllo ai cittadini per quanto riguarda la gestione delle proprie credenziali di formazione, per ridurre significativamente i costi di verifica, per migliorare la fiducia nell’autenticità dei dati;
  3. identità dell’individuo: la tecnologia blockchain dovrà essere utilizzata per rendere più efficace una funzione d’identità autonoma che permetta agli utenti di creare e controllare la propria identità oltre i confini nazionali, senza dover fare affidamento su autorità centralizzate;
  4. condivisione affidabile di dati: si dovrà sfruttare la tecnologia blockchain per condividere in maniera sicura dati (es. numeri di identificazione IVA IOSS e importi One-Stop-Shop) fra le autorità doganali e fiscali dell’Unione Europea.

EBSI prevede che gli Stati Membri creino, per ognuno dei quattro casi sopraelencati, uno user group a livello nazionale che si occupi di sviluppare sia APIs (application programming interface) sia le infrastrutture necessarie.

Inoltre, entro la fine del 2020, diventerà un Building Block del CEF, ovvero del Connecting Europe Facility, materializzandosi, quindi, come una rete di nodi distribuiti in tutta Europa (la blockchain), sfruttando un numero crescente di applicazioni.

Infine, avrà il compito di distribuire software e servizi gratuiti che facilitino l’adozione e utilizzo – da parte delle istituzioni dell’UE e delle pubbliche amministrazioni (PA) europee – di registri distribuiti per casi specifici già identificati (cioè certificazioni notarili, diplomi di istruzione, identità del singolo e condivisione affidabile di dati), e poi per i casi che verranno identificati in seguito.

Risk assessment: le caratteristiche del tool di AGID

Nell’ambito della definizione delle attività pianificate per la gestione della sicurezza della European Blockchain Services Infrastructure, è stato scelto lo strumento messo a punto dall’Agenzia per l’Italia Digitale. Il tool di AgID sarà utilizzato per svolgere l’analisi del rischio dell’infrastruttura stessa, analisi basata sul framework definito a livello nazionale seguendo la direttiva NIS.

Si tratta di uno strumento di valutazione e trattamento del rischio cyber che è stato ampiamente collaudato dalle strutture della pubblica amministrazione (PA) del nostro Paese, distinguendosi come valido mezzo di supporto all’attività di progettazione e pianificazione di azioni atte ad assicurare la resilienza dell’infrastruttura informatica nazionale.

Il tool, infatti, è in grado di fornire in output un report delle azioni di trattamento necessarie a fronte dei rischi individuati, calcola e valuta il rischio derivante dall’utilizzo di servizi trasversali nazionali e locali, gestisce gli accessi degli utenti alle varie funzionalità in base agli attributi assegnati ed effettua analisi e statistiche sulla sicurezza dei dati a livello puntuale e generale (ad es. il trend annuale dei rischi delle PA).

La finalità è quella di assicurare la continuità dei servizi pubblici, gestendo le attività di pianificazione, coordinamento e monitoraggio della sicurezza informatica, presentandosi come un valido strumento per tutelare la sicurezza delle amministrazioni che erogano servizi ai cittadini ed alle imprese.

Con il tool le PA sono inoltre più autonome, essendo messe in condizione di effettuare operazioni di self assessment predisponendo gli opportuni piani di trattamento ed eseguendo il monitoraggio delle iniziative volte a ridurre il livello di rischio informatico.

Come funziona il tool di risk assessment dell’AgID

Il tool è accessibile in modalità web con le credenziali del Sistema Pubblico di Identità Digitale SPID ed è pensato per guidare l’utente nelle varie fasi di esecuzione del risk assessment ovvero:

  • definizione delle caratteristiche (primarie e secondarie) del servizio ed assegnazione del profilo di criticità allo stesso;
  • valutazione dei possibili impatti derivanti dalla perdita di RID (riservatezza; integrità; disponibilità), in relazione ad aspetti di carattere economico, reputazionale, legale e operativo;
  • identificazione delle minacce, dei controlli di sicurezza e calcolo dei livelli di rischio;
  • predisposizione del piano di trattamento;
  • monitoraggio del rischio nel tempo.

Durante il self assessment l’utilizzatore può scegliere due modalità di analisi:

  • per servizio: ogni fase del processo, dall’assegnazione del profilo di criticità alla definizione delle azioni di mitigazione dei rischi calcolati, viene effettuata per ogni servizio. La PA dovrà rispondere ai controlli di sicurezza previsti dal tool e declinati su ciascun servizio;
  • per PA (procedura semplificata): l’amministrazione dovrà rispondere ai controlli di sicurezza previsti senza fornire le indicazioni specifiche per servizio.

Le due modalità che devono essere considerate come possibili successivi livelli di avvicinamento al processo di risk management, offrono gradi di attendibilità differenti:

  • l’esecuzione dell’assessment per servizio porta a risultati di alto profilo di affidabilità;
  • la modalità di assessment per PA, più agevole e veloce, offre risultati con un grado di attendibilità minore, in quanto opera sui dati aggregati e ad un livello di approssimazione maggiore.

L’utilizzazione del tool per la piattaforma Blockchain Europea rappresenta quindi un importante occasione di accelerazione in sicurezza della diffusione di tecnologie Blockchain e Distributed Ledger, favorendo la nascita di ulteriori use case da poter realizzare e migliorare.

Finora la Commissione europea ha investito oltre 80 milioni di euro in progetti legati alla tecnologia blockchain e circa 300 milioni di euro sono ancora previsti entro il 2020 per gli ulteriori sviluppi.

A febbraio scorso, inoltre, Bruxelles ha lanciato il Blockchain Observatory and Forum con l’obiettivo di sostenere l’Europa e i singoli Paesi nel cogliere le nuove occasioni offerte dalla tecnologia a blocchi.

Mettere in sicurezza l’infrastruttura, la stesura della strategia per la Blockchain e i registri distribuiti è un passo importante affinché questa tecnologia diventi centrale per lo sviluppo economico e sociale dell’Europa.

Infine, l’utilizzo del tool di AgID costituisce un importante contributo dell’Italia che risalta come l’azione sinergica tra i paesi membri della UE sia il requisito imprescindibile ed essenziale per la trasformazione digitale, la metamorfosi dell’economia, del management e della ricerca in tutta l’Unione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4