La tecnologia blockchain offre un approccio radicalmente diverso alla sicurezza informatica, che grazie a questa può arrivare a certificare l’identità di un utente, garantire la sicurezza delle transazioni e delle comunicazioni e proteggere l’infrastruttura critica che supporta le operazioni tra le organizzazioni. Ma, come per altri sistemi, è necessario adottare controlli e standard di sicurezza.
Per capire se la blockchain costituisce un supporto o un ostacolo per la sicurezza informatica, come domandato nell’articolo Dati più sicuri e riservati con la blockchain, ecco come fare di AgendaDigitale, la premessa ineludibile per parlare di sicurezza informatica si sviluppa attorno a tre elementi di base: confidenzialità, integrità e disponibilità.
Proteggere l’accesso alla rete blockchain è fondamentale per garantire l’accesso ai dati. Ne consegue che, analogamente ad altre tecnologie, devono essere implementati controlli di autenticazione e autorizzazione, grazie a funzionalità di crittografia completa dei blocchi, che garantiscono che i dati non siano accessibili a parti non autorizzate mentre sono in transito.
Nelle blockchain pubbliche non è necessario controllare l’accesso alla rete poiché i protocolli delle catene consentono a chiunque di accedere e partecipare alla rete. Al contrario, le blockchain private richiedono l’esistenza di adeguati controlli di sicurezza, implementati direttamente a livello applicativo, per proteggerne l’accesso.
La crittografia completa dei blocchi può essere applicata ai dati in fase di transazione, garantendo in modo efficace la sua riservatezza. La crittografia end-to-end prevede che solo coloro che hanno l’autorizzazione ad accedere ai dati crittografati, attraverso la loro chiave privata, possono decifrare e vedere i dati. L’utilizzo delle chiavi di crittografia può fornire alle organizzazioni un livello di sicurezza più elevato.
Conseguentemente, sarà fondamentale proteggere adeguatamente il materiale delle chiavi segrete in modo da non mettere a repentaglio il registro e lasciarlo confidenziale ed integro. Un esempio di protezione adeguata è l’uso di chiavi speciali che implementano tecnologie come i moduli di sicurezza hardware per proteggere i segreti principali e fornire un ambiente sicuro e resistente alla manomissione.
Le organizzazioni devono perseguire adeguate procedure di gestione delle chiavi (come le linee guida di gestione delle chiavi crittografiche IETF o RFC 4107) e sviluppare internamente procedure di governance delle chiavi sicure. Gli algoritmi crittografici odierni, utilizzati per la generazione di chiavi pubbliche e private, si basano su problemi di fattorizzazione di interi, che sono difficili da risolvere con l’attuale potenza di calcolo. I progressi nel campo dell’informatica quantistica diventeranno significativi per la sicurezza della blockchain a causa del loro impatto sull’attuale pratica di crittografia.
Il NIST definisce l’integrità come la “protezione contro la modifica o la distruzione di informazioni improprie e include la garanzia di autenticità”. Garantire l’integrità dei dati durante l’intero ciclo di vita è fondamentale nei sistemi di informazione. Crittografia, confronto degli hash o utilizzo della firma digitale sono alcuni esempi di come i proprietari dei sistemi possono assicurare l’integrità dei dati, indipendentemente dalla fase in cui si trovano (in transito, a riposo o in uso).
L’immutabilità e la tracciabilità integrate delle blockchain forniscono già alle organizzazioni un mezzo per garantire l’integrità dei dati.
Per quanto riguarda l’immutabilità dei dati, come ci spiega l’articolo Blockchain e GDPR: le sfide (e le opportunità) per la protezione dei dati di BlockChain4Innovation, è importante capire come blockchain possa adattarsi al GDPR. Il GDPR conferisce ai residenti dell’UE diritti esecutivi in relazione ai propri dati personali, tra cui:
- il diritto alla cancellazione dei dati personali quando i dati personali non sono più necessari per lo scopo per il quale sono stati raccolti, quando la persona ritira il consenso o quando il trattamento continuato dei dati è illegale;
- il diritto di richiedere la correzione di dati errati;
- il diritto di limitare l’elaborazione dei dati quando viene contestata l’accuratezza dei dati, quando l’elaborazione non è più necessaria o quando i singoli oggetti.
Come implementare il diritto all’oblio in una tecnologia che garantisce che nulla sarà cancellato è una sfida interessante per la quale esistono possibili soluzioni atte a permettere una sorta di “convivenza”.
Una di queste è lo stoccaggio fuori dalla catena, memorizzando i dati personali al di fuori della blockchain e memorizzando solo un collegamento ai dati sulla blockchain (un hash dei dati). Ciò consentirebbe la rimozione dei dati personali senza rompere la blockchain. Diversamente, la distruzione delle chiavi crittografiche, è una possibile soluzione per aderire alla richiesta di un utente che nella blockchain ha inserito dati personali e di cui vuole chiedere la cancellazione. La perdita delle chiavi garantisce infatti che le informazioni sensibili non siano più accessibili.
Qualora però si renda necessario inserire nella blockchain anche dati personali, allora è fondamentale fare attenzione ad alcuni punti importanti:
- limitare il numero di nodi che “vedono” le informazioni;
- usare la crittografia per aumentare la privacy e ridurre i rischi;
- pensare a una strategia che inizi con una whiteboard e che preveda le conseguenze ed i comportamenti (nel trattamento dei dati) una volta trascorso il periodo di archiviazione consentito dalla legge o che consideri una sorta di Piano B nel caso in cui la crittografia fosse interrotta (ad esempio, utilizzando gli snapshot periodici).
A cura di Manuela Santini, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
