Archivio FBK

Cybersecurity new page

 

Identità digitale e sicurezza dei servizi nativi cloud-edge sono i due temi di ricerca principali nel campo della Cyber Security in FBK. Lo sviluppo di metodologie e di strumenti automatici per la gestione dei rischi e della fiducia per il più grande numero di organizzazioni, soprattutto quelle con competenze limitate in tema di sicurezza, come ad esempio le PMI sono l’obiettivo della ricerca. Diventa quindi fondamentale progettare, sviluppare ed implementare le infrastrutture per l’identità digitale in modo tale da garantire sicurezza, privacy e fiducia.


Sfide e punti di forza

Vi sono due grandi sfide, tra le tante poste dallo sviluppo sicuro di infrastrutture per l’identità digitale, che emergono come particolarmente importanti:

  • Data la spinta alla digitalizzazione di molti processi della Pubblica Amministrazione (soprattutto sanitari) e dei privati (come quelli bancari) velocizzata in maniera drammatica dalla pandemia di COVID-19, anche i processi di identificazione sono stati digitalizzati ed eseguiti da remoto e non più in presenza (ad esempio, è possibile creare un conto corrente senza recarsi fisicamente nella filiale di una banca).  Questa trasformazione ha portato all’introduzione di nuovi attacchi alle procedure di identificazione da remoto che possono portare al furto di identità con conseguenze potenzialmente catastrofiche per l’utente che ne è vittima (ad esempio economiche nel caso di accesso a servizi finanziari).  Ad esempio, molti di tali processi usano frammenti video per confrontare il viso della persona che richiede la creazione dell’identità digitale con l’immagine associata al documento di identità presentato: le moderne tecniche di manipolazione delle immagini anche video (ad esempio quelle tecniche che vanno sotto il nome di deep fake) riescono ad incollare virtualmente il viso della vittima cui si e sottratto un documento d’identità in maniera dinamica in modo tale da rendere difficile per algoritmi di controllo dell’immagine od un operatore umano reperire tali manipolazioni.  Il Centro sta sviluppando tecniche per la rilevazioni di questo tipo di minacce e di altre che possono mettere in pericolo il processo di identificazione, fornendo una classificazione completa delle minacce e delle relative mitigazioni, sviluppando al contempo tecniche automatiche per la valutazione dei rischi in modo tale da aiutare chi sviluppa questi processo a definire la configurazione di mitigazioni che offra il livello desiderato di sicurezza.
  • Nel breve, medio e lungo termine bisognerà integrare l’infrastruttura per la gestione dell’identità digitale con il crescente e sempre più articolato e complesso ecosistema di servizi ed applicazioni offerto dalla Pubblica Amministrazione nazionale ed Europea al fine di sfruttare appieno i vantaggi offerti dalla digitalizzazione dei processi.
    Il Centro ha stabilito una partnership strategica con PagoPA per avviare una serie di collaborazioni sia a livello tecnico che di formazione per gestire in maniera sicura ed affidabile questa transizione utilizzando un approccio basato sulla gestione dei rischi, una progettazione consapevole dell’importanza di un’esperienza utente ʻʻsenza attritiʼʼ ed aumentare la consapevolezza dei vantaggi e dei limiti dello strumento da parte degli utenti.

Tecnologie

La ricerca in campo di Cybersecurity di FBK propone soluzioni per affrontare le sfide poste dai tre rischi individuati sopra: insicurezza, mancanza di privacy e sfiducia,  basate su una varietà di tecniche che includono:

  • algoritmi per l’analisi di sicurezza, la valutazione dei rischi e della conformità rispetto a standard che permettano agli stakeholder coinvolti di valutare di rischi da diverse prospettive rispetto a diverse soluzioni alternative di progetto;
  • tecniche crittografiche per l’integrità, l’autenticità e la privacy dei dati trasmessi, memorizzati e processati dall’infrastruttura che permettano all’utente di condividere in maniera granulare i dati (selective disclosure);
  • tecniche dichiarative per l’automazione dei test di sicurezza e conformità dell’implementazione di infrastrutture che permettano agli amministratori di verificare in maniera continua la sicurezza e la conformità rispetto a possibili evoluzioni dell’infrastruttura stessa e delle minacce.

Progetti in evidenza

  • European Digital Identity Wallet: a giugno 2023, con il lancio ufficiale del Consorzio POTENTIAL, prenderà il via l’implementazione di una delle soluzioni di e-wallet che coinvolgono l’Italia con l’inizio dei test sui primi casi d’uso nel corso del 2024. La sperimentazione che partirà dalla Provincia autonoma di Trento riguarderà in particolare: l’identificazione e l’autenticazione per la fruizione dei servizi pubblici digitali (eGov); la licenza di guida digitale; e la ricetta medica elettronica (ePrescription). Grazie al coinvolgimento di PagoPA, a fare da wallet sarà IO, l’app dei servizi pubblici, individuata sia come modello per la definizione dello standard di wallet internazionale sia per la realizzazione del portafoglio digitale nazionale.
  • Poste Italiane: all’interno di un laboratorio congiunto si è sviluppato un piano di testing per la protezione ed il monitoraggio dell’infrastruttura SPID da loro sviluppata.  Questa attività è terminata da tempo e ha contribuito in maniera fondamentale a sviluppare competenze che hanno portato allo sviluppo delle tecniche T3.
  • Poligrafico e Zecca dello Stato (IPZS): sviluppo di metodologie per la progettazione sicura di infrastrutture per l’autenticazione basate sulla Carta d’Identità Elettronica (CIE) 3.0 sia a livello nazionale con il bottone ʻʻEntra con CIEʼʼ per accedere ai servizi della Pubblica Amministrazione Italiana che a livello internazionale con un’applicazione per l’autenticazione conforme alla regolamentazione eIDAS per permettere ai cittadini Italiani di accedere con la propria identità  digitale CIE ai servizi della Pubblica Amministrazione di un altri Stato Membro  (tecniche T1) ed applicazione di tecniche crittografiche per la protezione dei messaggi scambiati e memorizzati all’interno dell’infrastruttura (tecniche T2) e per il testing di sicurezza e di conformità dei protocolli di scambio messaggi (tecniche T3).  Questa attività è iniziata da qualche anno ed è in pieno sviluppo e ha portato allo sviluppo delle tecniche T1 e T2 nonché al raffinamento di quelle T3 e, recentemente, alla scrittura scrittura di un documento tecnico pubblicato da AgID che contiene le linee regole tecniche OpenID Connect per SPID e CIE.
  • Varie organizzazione pubbliche e private italiane e non all’interno dei progetti Europei ʻʻLarge Scale Pilot EUDI Walletʼʼ POTENTIAL (https://www.digital-identity-wallet.eu/), NOBID (https://www.nobidconsortium.com/) e DC4EU (https://www.dc4eu.eu/) che si prefiggono di costruire la nuova infrastruttura per rendere portabile a livello Europeo l’identità digitale dei vari Stati Membri in conformità con la nuova versione della regolamentazione eIDAS 2.0 (tecniche T1, T2 e T3).
  •  Fondazione SERICS – Security and Rights in CyberSpace. La partecipazione del Centro Cybersecurity alla Fondazione SERICS (Security and Rights in CyberSpace) permetterà a FBK di prendere parte ad alcuni interventi strategici a livello nazionale ed a innovative attività di ricerca nel settore della Cybersecurity previste dal Piano Nazionale di Ripresa e Resilienza (PNRR) nel contesto dei Partenariati Estesi sul Tema “7: Cybersecurity, nuove tecnologie e tutela dei diritti”. Le attività si inseriranno nello Spoke 4 del Partenariato (Sicurezza dei Sistemi Operativi e della Virtualizzazione) e lo Spoke 5 (Crittografia e sicurezza dei sistemi distribuiti).
    Oltre a produrre innovativi risultati scientifici con impatto importante sia a livello locale che nazionale, la partecipazione a SERICS garantirà a FBK maggiore visibilità alle proprie attività in Cybersecurity nonché di allargare il proprio network per sviluppare future collaborazioni.