Mettere a punto una tecnologia capace di garantire la sicurezza informatica dei servizi distribuiti sulla Rete oggi molto diffusi nell’ambito della finanza, dell'eHealth, dei mezzi di trasporto di massa e del commercio elettronico. Servizi protagonisti del rapido cambiamento delle infrastrutture e dei processi che la nostra società e il nostro sistema economico stanno affrontando ma soggetti a possibili attacchi informatici altamente pervasivi che ne mettono in pericolo l’affidabilità e la sicurezza sia per le imprese sia per le istituzioni.

E’ questo l’obiettivo di AVANTSSAR (Automated Validation of Trust and Security of Service-oriented Architectures), progetto europeo approvato nell’ambito del tema ICT del 7° Programma Quadro per la sezione “Infrastrutture informatiche sicure e affidabili” e coordinato da Luca Viganò, docente di Architetture software e Sicurezza delle reti e dei sistemi alla facoltà di Scienze Matematiche Fisiche e Naturali dell’Università di Verona.

AVANTSSAR, dieci i partner europei, 6 milioni di euro il budget e 50 i ricercatori coinvolti, si propone dunque di sviluppare e implementare una tecnologia per la validazione formale ed automatica della sicurezza delle “architetture orientate ai servizi”. Questa tecnologia, chiamata "AVANTSSAR Validation Platform" (la piattaforma di validazione AVANTSSAR), verrà applicata a una serie di casi di studio industriali e permetterà di verificare se e come flessibilità di accesso, affidabilità del servizio e privacy dei dati trasmessi vengano salvaguardati contemporaneamente in diversi servizi di uso quotidiano: dalla finanza, all'eHealth, dai mezzi di trasporto di massa e al commercio elettronico.

Si pensi, ad esempio, ad uno scenario di eHealth nel quale si intenda monitorare lo stato di salute di un paziente cardiopatico mediante una T-shirt dotata di sensori e collegata in rete in modo da attivare una serie di servizi in caso di emergenza (controllo dei dati storici del paziente in una base di dati ospedaliera, somministrazione di un farmaco, chiamata di un’autoambulanza, preparazione della sala operatoria, etc.). Per fare interagire tutti questi “servizi distribuiti” e prodotti da diverse aziende, si rende necessario esporre i servizi nelle infrastrutture di rete, ma questa esposizione crea necessariamente una nuova gamma di problemi per la sicurezza delle informazioni.

Il progetto AVANTSSAR si propone di risolvere questi problemi non creando nuovi servizi (i servizi sono quelli già esistenti e forniti dalle aziende e dalle industrie), ma analizzando i servizi esistenti e la loro composizione allo scopo di prevenire o perlomeno individuare attacchi al sistema e ai dati. Ciò è molto difficile, visto che non basta assicurarsi che i singoli servizi siano sicuri, ma è anche necessario considerare la sinergia di servizi necessaria all’applicazione desiderata. Tale composizione dei servizi fa tuttavia emergere una varietà di nuovi attacchi e falle a causa dell'interferenza tra i diversi servizi e le diverse politiche di sicurezza adottate, lo strato di comunicazione condiviso e le funzionalità stesse delle applicazioni. E’ quindi necessario provvedere alla validazione sia dei servizi sia della loro composizione in architetture studiate appositamente come supporto informatico sicuro e funzionale a questi servizi.