Sesamo III
Sistemi di pagamento mobili e smart-card: aspetti di sicurezza

Programma di finanziamento 
(e relativo sottoprogramma)
Convenzione quadro FUB - ISCOM
Durata  
Partecipanti

Fondazione Ugo Bordoni

Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM)

Il progetto ha i seguenti obiettivi:

  • individuare azioni concrete per l’attuazione degli obiettivi perseguiti dall’Agenda Digitale Europea, all’interno del pilastro “Fiducia e sicurezza”;
  • fornire supporto alle attività dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) nell’ambito degli aspetti di ricerca relativi alle metodologie di valutazione e certificazione della sicurezza di sistemi e prodotti ICT.

SESAMO III, come evoluzione del progetto SESAMO II, si occupa in particolare dell’analisi della sicurezza del software impiegato nei sistemi di pagamento mobili.

Tra gli obiettivi principali del progetto figura il supporto all’OCSI non solo in ambito di metodologie di valutazione e certificazione, ma anche relativamente all’innovazione di processi di gestione e alla partecipazione ai gruppi internazionali del CCRA (Common Criteria Recognition Arrangement) con le finalità di:

  • affiancare l’organismo nella predisposizione del nuovo arrangement, la cui firma è prevista per settembre 2014;
  • segnalare e indicare attività che l’OCSI deve completare per ottenere l’approvazione della valutazione operata in ambito internazionale dagli altri organismi di certificazione (VPA – Voluntary Periodic Assessment). Tale VPA, prevista per marzo 2014, è necessaria per mantenere lo status di “certificate authorizing participant”, ovvero di Organismo in grado di emettere certificati riconosciuti in tutti i paesi che aderiscono al CCRA.

Il progetto prevede il completamento della realizzazione di un laboratorio per l’analisi del software impiegato nei dispositivi mobili per l’esecuzione di operazioni di pagamento “in mobilità” e la sperimentazione degli acquisti individuati insieme ai rispettivi responsabili OCSI. La realizzazione di requisiti specifici di sicurezza, quali le funzionalità di rilevamento delle intrusioni, di controllo e filtraggio del traffico e delle attività svolte in laboratorio, di strumenti per la corretta gestione di software e documenti, risultano essenziali per garantire l’affidabilità dei risultati della sperimentazione e la ripetibilità delle attività svolte (anche a beneficio di soggetti terzi come le autorità).

Avendo completato i requisiti essenziali richiesti per la definizione del laboratorio indicato, è stata avviata la sperimentazione del software impiegato nei dispositivi mobili acquisitati da ISCOM (acquisto completato a dicembre 2013).

Al fine di estendere l’ambito di applicazione degli strumenti predisposti in laboratorio ai temi più attuali delle comunicazioni mobili, è stata condotta un’analisi degli aspetti di privacy nei dispositivi mobili finalizzata anche all’individuazione di possibili sperimentazioni da avviare nel laboratorio predisposto durante SESAMO II.

Come anticipato, il supporto all’OCSI costituisce un’attività cardine del progetto SESAMO III. La certificazione della sicurezza di sistemi e prodotti ICT costituisce oggi lo strumento più idoneo a fornire garanzie in merito all’attuazione di misure di sicurezza ICT applicabili a tutte le tipologie di sistemi e prodotto. Lo standard di riferimento ISO/IEC 15408, meglio noto come “Common Criteria for ICT security product evaluation”, presenta tuttavia ampi gradi di libertà e margini di perfezionamento, lasciando spazio ad attività di ricerca finalizzate alla specializzazione dei requisiti dello standard sulle nuove categorie di prodotti. In questo ambito, s’inserisce SESAMO III, fornendo supporto all’OCSI, incaricato in Italia di emettere certificati di sicurezza. In questa prospettiva sono stati analizzati i possibili ambiti di coinvolgimento dell’OCSI in merito ad attività scaturite dagli aggiornamenti del CAD (Codice dell’Amministrazione Digitale) e, più in generale, della regolamentazione nazionale ed europea.

Come unico organismo italiano deputato alla gestione/emissione dei certificati di sicurezza di sistemi e prodotti ICT secondo lo standard ISO/IEC 15408, l’OCSI partecipa ad un circuito internazionale incaricato di mantenere e perfezionare lo standard stesso al fine di uniformare le attività di valutazione e poter assicurare nel circuito stesso il mutuo riconoscimento dei certificati emessi dai diversi partecipanti. Tale circuito, CCRA (Common Criteria Recognition Arrangment) prevede verifiche periodiche (VPA, Voluntary Periodic Assessment) di ogni organismo (riferito anche come “Schema di certificazione”) da parte di ispettori degli altri schemi nazionali per avere garanzie nel tempo circa la conformità dell’operato dell’organismo stesso ai dettami del CCRA. Una parte consistente delle risorse di SESAMO III è stata destinata al supporto all’Organismo OCSI per l’individuazione di criticità potenziali durante lo svolgimento della VPA, prevista per giugno 2014.

È stata quindi condotta un’analisi approfondita del rapporto prodotto dalla comunità CCRA durante l’ultima valutazione (shadow evaluation) cui si è sottoposto l’OCSI. Tale analisi ha individuato gli argomenti da curare con maggiore attenzione in previsione della VPA di giugno 2014.

È stata eseguita una revisione delle nuove linee guida prodotte da OCSI (nella forma di NIS, Note Informative dello Schema) che recepiscono le migliorie previste da ISCOM e che sostituiscono le precedenti NIS. La revisione ha prodotto dei suggerimenti/commenti inoltrati ad ISCOM ed implementati nella versione in procinto di essere emessa entro la fine dell’anno.

È stata condotta un’analisi delle possibili azioni in carico ad OCSI relativamente alle attività di certificazione degli HSM.

È stato fornito all’OCSI un supporto nell’aggiornamento dei Corsi e degli Esami di abilitazione OCSI (destinati a valutatori di laboratori e assistenti). Tale supporto ha preso anche la forma di revisione degli strumenti impiegati per verificare le competenze operative dei soggetti che richiedono le abilitazioni indicate.

È stato inoltre fornito supporto nell’individuazione di eventuali problematiche di natura tecnica nelle certificazioni in corso, nell’ottica di utilizzare tali certificazioni come evidenze per la VPA.

La Fondazione ha inoltre contribuito alle attività di aggiornamento tecnico dell’OCSI partecipando ai gruppi di lavoro CCRA [Parigi (CCDB, CCES, CCMC, Settembre 2012); Ottawa (CCDB, CCES, CCMC, Maggio 2013); Orlando US (CCDB, CCES, CCMC, Settembre 2013)], ai gruppi di lavoro SOG-IS [Berlino (JILWG, MC, Febbraio 2012); L’Aia (JILWG, Maggio 2012); Parigi (JILWG, MC, Febbraio 2013); Londra (JILWG, Ottobre 2013)] e fornendo contributi tecnici al gruppo di lavoro CCMB orientato alla risoluzione di problematiche di natura tecnica dello standard.