Una nuova piattaforma di formazione sulla sicurezza informatica rafforza le reti di telecomunicazione europee
Le tecnologie 5G, grazie alla loro capacità di abilitare e supportare uno spettro di funzioni e applicazioni, svolgono un ruolo importante nella trasformazione socioeconomica digitale dell’UE, interessando una vasta gamma di settori. Tuttavia, lo sviluppo di un’architettura di rete 5G sicura comporta molte nuove difficoltà e vulnerabilità per la sicurezza. Ogni anno nell’UE vengono investiti miliardi di euro in misure di sicurezza informatica. Nonostante ciò, il settore delle telecomunicazioni rimane vulnerabile. «La complessità delle minacce e delle attività dannose nel ciberspazio sta crescendo in modo significativo e i criminali informatici stanno diventando sempre più sofisticati e organizzati, migliorando continuamente le loro tattiche», spiega Pier Luigi Polvanesi, project manager di Ericsson e coordinatore del progetto SPIDER. Il progetto SPIDER, finanziato dall’UE, ha sviluppato una nuova piattaforma di ciberformazione per migliorare le capacità di difesa informatica 5G nel settore delle telecomunicazioni. SPIDER è un ambiente virtuale utilizzato per formare i professionisti della sicurezza del settore, per testare nuove tecnologie di sicurezza e per supportare le aziende nei loro investimenti in sicurezza informatica. «In sostanza, SPIDER ha fornito un’innovativa piattaforma Cyber Range as a Service (CRaaS) mirata alla distribuzione del 5G, per aiutare i professionisti di vari livelli in materia di sicurezza informatica a migliorare le proprie competenze grazie a una formazione in condizioni realistiche», aggiunge Polvanesi.
Un campo di addestramento per gli attacchi informatici
Al fine di testare le nuove difese, SPIDER ha progettato, sviluppato e convalidato scenari di formazione specifici nell’ambito del 5G. SPIDER fornisce formazione teorica sui temi della sicurezza informatica, formazione pratica per testare e migliorare interattivamente le competenze dei partecipanti, formazione di simulazione per aiutare a eseguire la valutazione del rischio e l’analisi econometrica dei revisori nonché formazione sulla sicurezza per utenti non esperti. Un esempio di scenario di formazione prevede che un tirocinante svolga il ruolo di un hacker etico con l’obiettivo di disturbare l’attività dell’organizzazione SPIDER Telecom. Dopo molti mesi, il gruppo è riuscito a infiltrarsi nel sistema di telecomunicazioni attraverso un amministratore IT, utilizzando un metodo di hacking noto come reverse shell. La missione del tirocinante consiste nell’esaminare la visibilità della rete dell’amministratore IT compromesso, identificare le risorse vulnerabili e cercare di penetrare in queste risorse nel modo più furtivo possibile, intercettando le comunicazioni.
Ludicizzazione e «serious game» della sicurezza informatica
SPIDER introduce anche elementi di ludicizzazione nella formazione sulla sicurezza, per aumentare la consapevolezza in materia di sicurezza informatica tra i dipendenti sprovvisti di competenze specifiche in questo campo. Le squadre rosse e blu sono messe l’una contro l’altra in attacco e difesa informatica. Le squadre devono raggiungere gli obiettivi della loro missione: rubare o difendere le informazioni contenute nel file server. Questi serious games contribuiscono a rendere la sicurezza informatica più coinvolgente e aiutano i dipendenti con competenze più avanzate a comprendere meglio la mentalità dell’hacker. In questo modo, inoltre, i dipendenti vengono addestrati a prestare maggiore attenzione alle informazioni sensibili e a evitare comportamenti rischiosi. «Le competenze tecniche fondamentali acquisite sono estremamente essenziali, poiché risulta che il fattore umano costituisca la vulnerabilità più grave», osserva Polvanesi.
Sviluppo futuro e potenziale per la commercializzazione di SPIDER
Attraverso il progetto SPIDER, il gruppo di ricerca ha progettato e convalidato l’architettura della piattaforma, ha sviluppato tecnologie di supporto e ha testato con successo il sistema in cinque importanti progetti pilota. «I prossimi passi riguarderanno l’identificazione di possibili miglioramenti della piattaforma per raggiungere un livello di maturità più elevato e sostenere le future attività di commercializzazione con l’obiettivo di portare SPIDER sul mercato», afferma Polvanesi.
Parole chiave
SPIDER, telecomunicazioni, ciber, attacchi, attacco informatico, sicurezza informatica, ludicizzazione, serious games, serious game, sicurezza, formazione