FORUM P.A. 2002-7 maggio 2002 Le transazioni on line: dichiarazioni fiscali, pagamento di tributi e multe, attività concessione, autorizzazione, certificazione, ecc. Stefano Nordio Amministratore Delegato di D-Link Mediterraneo Su migliaia di siti pubblici i servizi effettivamente transattivi si contano a poche decine. Che allo sviluppo ormai generale degli strumenti informatici non faccia riscontro che una modesta quando non modestissima capacità di renderli effettivamente luogo di scambi non solo meramente informativi è da addebitarsi a molteplici motivi. Senz altro esiste un problema di adeguamento normativo che comporta diverse problemi tecnici di ordine giuridico. Ma le difficoltà a tradurre le potenzialità tecniche della rete e dello strumento informatico in atti giuridicamente cogenti non riguardano solo il settore pubblico e delle Amministrazioni Pubbliche: anche i rapporti giuridici ed economici fra soggetti privati stentano ad approdare nella rete almeno nella fase conclusiva. Ed è superfluo aggiungere come tale difficoltà rappresenti il maggiore ostacolo all utilizzo di Internet per larghe fasce della popolazione: pensiamo, solo per fare un esempio, ai cambiamenti che comporterebbe l uso della rete nella contrattualistica dei contratti di somministrazione. In proposito è stato osservato da una fonte che possiamo definire autorevole, vale dire lo stesso Bill Gates, che la maggior parte di noi non riesce a servirsi del computer con la stessa fiducia con cui utilizza l elettricità o il telefono. Individui e imprese sono preoccupati dalla confidenzialità, dalla sicurezza e dalla reperibilità dei dati. Aggiunge Bill Gates che finché non verranno offerte risposte soddisfacenti a questi bisogni non si manifesterà appieno la capacità dei computer di arricchire le nostre vite. La sfida è chiarissima: dobbiamo - ha chiosato il fondatore di Microsoft - raggiungere l affidabilità totale. E interessante notare come si richieda l affidabilità totale, cioè in primo luogo un atteggiamento psicologico di fiducia nei confronti del mezzo, e non, invece, una impossibile sicurezza totale, che non esiste in nessuna tecnologia, quali l elettricità o il telefono e nemmeno, salvo offese, nel sistema postale, come non esisteva nel sistema dei piccioni viaggiatori. Il nome di questa sfida è sicurezza, ed essa è un fattore fondamentale della Internet Economy, una componente essenziale di ogni strategia di e-business. Le strategie aziendali moderne - comprendendo in questa definizione anche quelle proprie di settori della Pubblica Amministrazione - prevedono l accessibilità delle reti da parte di una comunità di utenti e applicazioni sempre più estesa. Questa tendenza si traduce in incremento dei rischi e dei problemi appunto di sicurezza.
Ora, le soluzioni da adottare per il sistema di protezione sono fondamentali per proteggere le informazioni in transito durante le sessioni di accesso remoto, nelle connessioni a reti periferiche o nelle reti interne. Si tenga presente come la sicurezza non si basa su singoli prodotti o tecnologie, ma derivi dalla integrazione di tecnologie diverse combinate con strategie di gestione che garantiscano livelli di rischio accettabili. D-Link sta attualmente promuovendo numerose iniziative allo scopo di fornire ai clienti le tecnologie e gli strumenti necessari per definire e gestire agevolmente i criteri di protezione: le soluzioni D-Link, tra cui Firewall e gli apparati di VPN, eliminano o, se vogliamo ritornare ancora sulla filosofia della sicurezza, attenuano fino ad un livello accettabile - i rischi, garantendo l implementazione di soluzioni di e-business sicure e di successo. E opportuno, prima di scendere ai dettagli tecnici, ricordare come il mercato segnali in modo inequivoco la crescita del settore della sicurezza nelle applicazioni informatiche. Frost&Sullivan prevede che in Europa il settore dei Firewall, che ammontava 202,1 milioni di dollari nel 1999, salirà a 1991 milioni di dollari entro il 2006. Nello stesso tempo, il mercato degli strumenti finalizzati alla identificazione dei tentativi di violazione degli ambienti di rete passerà da 14,5 milioni di dollari a 459,9 milioni di dollari. Per disporre di un livello di sicurezza adeguato, le reti devono incorporare componenti di sicurezza in cinque aree strategiche: 1. identificazione 2. delimitazione 3. connettività 4. monitoraggio 5. gestione delle politiche di sicurezza. La soluzioni D-Link per l identificazione degli utenti si basano su protocolli standard. Come soluzioni di delimitazione è disponibile una vasta gamma di Firewall basati sulla famiglia dei prodotti DFL-xxx. La sicurezza nella connettività può essere garantita con ambienti VPN (Virtual Private Network), classificabili in reti VPN Site to Site e VPN Remote Access. Ed è su questi specifici aspetti che intendo brevemente soffermarmi. Virtual Private Network, ovvero, Rete Privata Virtuale. Vuol dire poter creare una rete aziendale tra sedi, filiali, agenzie, fornitori, stabilimenti, venditori ecc. su tutto il
territorio di competenza per scambiare dati ed informazioni, acquisire in tempo reale disponibilità a magazzino e prezzi aggiornati, inoltrare ordini, registrare immediatamente vendite, ottenere riepiloghi aggiornati all'ultimo minuto, il tutto utilizzando una rete IP altamente affidabile. L esempio che ho appena portato riguarda soluzioni di tipo aziendale, ma risulta largamente appetibile anche a sistemi propri della Pubblica Amministrazione. Le VPN, inoltre, possono essere utilizzate per accessi in emulazione di terminale, file transfer, condivisione di risorse (file systems e stampanti remote), posta elettronica, accesso a Web site privati e a tutte le applicazioni che supportano IP come protocollo di rete. Tutte le informazioni transitano su Internet, ma con un altissimo grado di protezione e sicurezza, grazie ai meccanismi di Tunneling creati da appositi protocolli di comunicazione (PPTP, L2TP, IPSec ecc.). Qualunque informazione riservata che transiterà sulle rete sarà disponibile solo per gli utenti autorizzati ad accedervi, protetta da sistemi di sicurezza e crittografia che mettono al riparo da qualsiasi intrusione esterna. In altre parole, una Rete Privata Virtuale costituisce un collegamento a livello dell'infrastruttura di rete, piuttosto che a livello delle applicazioni. Persegue lo scopo di rendere sicuro tutto il traffico sulla rete, creando un tunnel virtuale di protezione che, a sua volta, consente a computer remoti di operare come se possedessero un collegamento diretto sulla medesima rete. Come abbiamo detto, la rete privata virtuale può essere realizzata secondo due tipologie. La prima è tipica del collegamento di una filiale periferica alla sede centrale ed è caratterizzata da una coppia di router, Firewall oppure altre apparecchiature specifiche VPN che trasformano in cifra tutto il traffico che li attraversa. E opportuno rilevare, specialmente per quanto attiene al possibile uso di questa tecnologia negli ambiti delle Amministrazioni Pubbliche, come gli utenti finali non abbiano alcuna percezione della crittografia applicata. Non saranno quindi richieste particolari abilità tecniche nell uso di questa tipologia di rete privata virtuale. Devo peraltro dire che un collo di bottiglia, quindi un ostacolo in termini di prestazioni, può essere costituito dal dispositivo che provvede alla cifratura e alla corrispondente decifratura, con un effetto negativo variabile in dipendenza della natura del dispositivo stesso. Questo inconveniente, che resta obiettivo, può essere superato graduando le applicazioni di cifratura con il variare della natura delle informazioni trasmesse secondo una logica di scala di riservatezza che corrisponda alle esigenze dell ente interessato.
Il secondo tipo di VPN è rappresentato dal collegamento tra il notebook sul campo oppure il PC a casa, verso una filiale o verso la sede centrale. In questo caso, il PC deve essere dotato di un driver specifico per apparecchiature VPN. In aggiunta, poiché VPN opera al livello di infrastruttura, l'utente finale non ha la necessità di interagire con questo driver, come avviene ad es. con il driver del modem, quando tutto lavora correttamente. Il collegamento può essere attivato mediante un qualsiasi Internet service provider ed opera come segue: il PC remoto provvede alla cifratura dei dati, mentre il Firewall dell'ufficio remoto, i router, il server NT o un'altra apparecchiatura indipendente assicurano la decrittazione, lasciando in chiaro su Internet solamente le informazioni di instradamento IP. Gli standard VPN sono in preparazione e saranno applicabili, in futuro, nell'ambito della prossima generazione dei protocolli IP versione 6 ( IPv6). Per inciso, ricordiamo che il protocollo TCP (Transmission control protocol) è responsabile del raggruppamento dei dati in pacchetti, con il successivo ripristino originario a destinazione. L'Internet Protocol assicura che i pacchetti arrivino alla corretta destinazione. Attualmente, su Internet viene usato il protocollo IP versione 4 (Ipv4). Lo scopo principale perseguito dalla nuova versione di IP è di poter incrementare l'area di indirizzabilità sulla rete. Il comitato IETF (Internet Engineering Task Force) sta lavorando per aggiungere nuove funzionalità al protocollo, compresa la sicurezza. A proposito di questa ultima area, con particolare riferimento alla crittografia, abbondano i brevetti di tipo commerciale e l'ietf è restio ad adottare qualsiasi standard basato su tecnologie non disponibili liberamente. In definitiva, anche se l'ietf continua ad operare per definire un standard VPN tramite il gruppo di lavoro sulla sicurezza di IP versione 6, restano ancora notevoli ostacoli da superare. In realtà, secondo gli esperti, la parte di IPV6 riferita alla tecnologia di creazione delle VPN è insufficiente per assicurarne l'interoperabilità. Infatti, due delle assenze principali nelle specifiche riguardano il protocollo di scambio delle chiavi e uno standard per l'algoritmo di cifratura. I produttori, in mancanza di metodi standard di crittografia delle informazioni e di invio delle chiavi di decrittazione agli utenti autorizzati, proporranno sicuramente soluzioni proprietarie, con tutti gli effetti negativi che si possono immaginare in termini di interoperabilità delle reti. A dimostrazione del fenomeno, la società Checkpoint Software Technologies ha annunciato un metodo per attivare una VPN in IP versione 4, utilizzando una sua propria tecnologia di cifratura. Per funzionare, ad entrambe le estremità del tunnel virtuale devono essere installate altrettante copie di Firewall-1. La medesima società sta anche operando per implementare lo standard VPN IPV6, per quanto possibile, affermando che i suoi prodotti risulteranno compatibili con quanti altri useranno IPV6. Alcuni fornitori sono impegnati su tecniche mirate a riservare l'uso del tunnel a determinate applicazioni, oppure a individui o server prestabiliti. Questo significa che una rete VPN non deve contenere un'intelligenza operativa, poiché può essere
configurata in modo da risultare di uso esclusivo per applicazioni o utenti specifici. Un ultimo problema in termini di sicurezza è costituito dai momenti in cui i dati viaggiano in chiaro, non cifrati e visibili a tutti. In molti casi, questo avviene all'interno delle reti private per cui, ad esempio, un'informazione che viaggi da una filiale periferica verso la sede centrale, una volta decifrata dal Firewall diviene disponibile per chiunque, all'interno della rete interna all'impresa. A questo punto, per garantire la segretezza interna, è necessario attivare tunnel da punto a punto con Firewall interni. In alternativa, le stazioni di lavoro dell'impresa possono usare driver VPN, operando come se fossero stazioni mobili. Riassumendo, i servizi di protezione consentono di ottenere il livello necessario di riservatezza, protezione dell'integrità, autenticazione, autorizzazione e protezione delle risposte. Tali servizi includono i servizi di crittografia di rete che riducono al minimo i rischi relativi alla trasmissione di informazioni riservate su reti pubbliche e private. D-Link considera un fattore importante anche i costi totali di proprietà ed è impegnata nell'implementazione di soluzioni basate su standard che ottimizzino il grado di interoperabilità e flessibilità delle comunicazioni utilizzando le principali piattaforme software disponibili. Se non alla sicurezza totale che non è del mondo informatico più di quanto sia di qualsiasi cosa su questa terra, possiamo affermare di essere incamminati con ottime prospettive, verso una affidabilità non inferiore a quella che altre tecnologie hanno saputo nel tempo acquistarsi presso il più vasto pubblico. Non bisogna dimenticare che c è ancora, nei nostri Paesi sviluppati, chi considera una favola l arrivo dell uomo sulla luna