Cybersecurity, l’AI nelle strategie di attacco e difesa » inno3

L’intelligenza artificiale nelle mani del cybercrime si dimostra una potente arma per generare attacchi sofisticati attraverso l’uso di algoritmi che eludono i sistemi di sicurezza tradizionali. Ma anche sul fronte della difesa, l’AI può rappresentare uno strumento efficace grazie alla sua capacità di individuazione proattiva delle minacce, analisi comportamentale e capacità di fornire risposte automatizzate, a patto che le imprese sappiano sfruttarne tutte le potenzialità mettendo in campo piani di resilienza efficaci e affidandosi alle regolamentazioni per rafforzare la sicurezza informatica.
Su questi temi si è aperto nei giorni scorsi il dibattito nella XV edizione della Cyber Warfare Conference (Cwc) di Milano, evento nel quale sono stati presentati i risultati del Barometro Cybersecurity 2024 realizzato da NetConsulting cube. 

La sicurezza chiede uno sforzo corale 

Al centro del dibattito l’importanza di creare sinergie, di coniugare innovazione e tutela della privacy a vantaggio della comunità. “L’innovazione tecnologica è un’opportunità per l’intero sistema-paese purché sia condivisa – esordisce Alberto Biavati, comandante Squadra Aerea dell’Aeronautica Militare, nella cui sede è stato ospitato l’evento -. Nel settore della cybersecurity è fondamentale creare opportunità per costituire un patrimonio informativo da condividere, per essere pronti a gestire e anticipare il cambiamento e le possibili minacce. Siamo consapevoli che dove c’è un IP c’è un problema di cyber-defence o di cyber-security; è quindi indispensabile sviluppare competenze ed essere al passo con il progresso tecnologico in uno sforzo corale di crescita per affrontare le nuove sfide”.  

Essenziale in questo quadro anche la collaborazione con il mondo universitario per rafforzare le competenze Stem e anticipare il cambiamento. Come sottolinea Ettore Rosato, segretario Comitato parlamentare per la sicurezza della Repubblica (Copasir): “Le risorse umane sono l’elemento differenziante, in uno scenario in cui la carenza di professionalità è un tema trasversale a tutti i settori sensibili. Serve investire nella filiera della formazione, con un’azione combinata pubblico-privato e dare ai talenti la possibilità di crescere all’interno delle aziende”.

Ribadita a più riprese la necessità di coniugare innovazione e tutela, garantendo normative europee aggiornate, per regolare le tecnologie emergenti. Matteo Sironi, board member di Humint Consulting Think Tank & Dpo di Endered Italia, afferma che l’Italia è tra le poche nazioni europee ad avere recepito la direttiva Nis2 alla scadenza del 17 ottobre ed è quindi avanti sul percorso di conformità. Sottolineata anche la necessità di progettare device secondo un modello di security by design, di cui anche l’AI Act regola molti aspetti e di investire sugli skill necessari “competenze tecniche, giuridiche e finanziarie, perché i budget sono complessi e non bastano, ma anche competenze comunicative perché comunicare efficacemente la sicurezza in un approccio top-down può essere uno strumento di resilienza”. 

“Serve un cambio di mentalità per dare risposte urgenti alle minacce nell’era dell’intelligenza artificiale”, interviene Marco Lombardi, direttore Itstime dell’Università Cattolica Milano. Perché oggi la società digitale è radicalmente cambiata, “viviamo in una connessione perenne; l’AI è altamente pervasiva e non dobbiamo aspettarci che si fermi o di poterla fermare” e quindi “rispetto alle attività di formazione e informazione presenti in tutti i gruppi di terroristi informatici, la norma è per definizione sempre in ritardo“.

Lo scenario è molto incerto. “Stiamo attraversando un momento estremamente critico a livello internazionale, e in Europa in particolare, con forti incertezze sul futuro, in uno scenario di conflitti che si sta ampliando, soprattutto in Medio Oriente. Un contesto in cui l’Italia appare oggi paradossalmente tra le economie più stabili e quindi ancora più appetibile per il cybercrime, di cui è già tra i primi target” afferma Paolo Lezzi, chairman della conferenza & executive vice president di Eucas, presentando uno scenario macro-economico poco rassicurante ma nel quale la leva della collaborazione può fare la differenza.

Barometro Cybersecurity 2024, focus sull’AI

Tutti questi elementi trovano riscontro nel Barometro Cybersecurity 2024 presentato da Rossella Macinante, coordinatrice Barometro – BU leader NetConsulting cube. Lo studio si focalizza nella sua ottava edizione sugli effetti dell’AI sulla cybersecurity, sondando i sentiment dei Ciso in particolare (50% del campione) ma anche dei Cio e Cso di oltre 90 aziende private e pubbliche.

Tra gli ambiti di rischio potenziale per la sicurezza, oltre il 56% delle aziende pone la digitalizzazione dei processi aziendali e delle infrastrutture al primo posto, seguita dall’esposizione ai rischi della supply chain (53%); al terzo posto, per oltre il 37% delle aziende e in crescita rispetto allo scorso anno, il maggiore rischio è rappresentato dall’AI e dal suo utilizzo da parte degli attaccanti ma è anche interno alle aziende. Non cambiano i target di attacco, che vedono il manufacturing come settore più colpito (19%) ma anche la supply chain informatizzata, con il 15% delle organizzazioni che ha subito attacchi.

“Oggi, soprattutto con l’esplosione del fenomeno ChatGpt e con l’uso della GenAI, cresce fortemente l’attenzione da parte delle aziende sul tema dell’artificial intelligence” spiega Macinante. Infatti, il 47% ha già adotta l’AI in alcuni processi e il 23% prevede di utilizzarla in futuro, mentre il 29% non l’ha ancora adottata. “Si tratta in questo ultimo caso prevalentemente di aziende della PA e della sanità, che sono più prudenti e attendono l’implementazione dell’AI Act che avrà impatti rilevanti sul settore. La sanità, in particolare, è un settore che ad oggi ha trascurato il tema cyber e nonostante gli sforzi per recuperare non è riuscita a fare un salto quantico in un anno”.

Anche in questo caso, i target vedono al primo posto il government alternarsi al manufacturing con un’esposizione molto forte da parte delle Pmi, che tendenzialmente hanno una protezione meno adeguata. In merito all’evoluzione normativa, i regolamenti che eserciteranno il maggior impatto per l’adeguamento degli strumenti di difesa in ambito cybersecurity sono la Nis2, citata dall’81,3% dei manager, seguita dall’AI Act (33%).

Tra le tipologie di soluzioni adottate, il 70% delle imprese già utilizza al proprio interno soluzioni di GenAI, seguite dal machine learning (58%) seppure con ambiti di applicazione diversi (meno legata al business la prima e più sui processi core la seconda), seguono altre tecnologie più tradizionali come RPA, NLP, intelligent data processing e image processing.

L’AI presenta una doppia faccia, sottolinea Macinante: “se da una parte è un rischio, dall’altra è un’arma di difesa”. Infatti, con l’AI aumenta la velocità e la precisione degli attacchi. In particolare, per i Ciso rappresenta un forte rischio l’evoluzione degli attacchi di deepfake segnalata da quasi il 75% dei manager, quindi la capacità dell’AI di fare attacchi molto mirati, per navigare nel darkweb e individuare target più profittevoli o che possano creare un varco all’interno delle aziende per individuare vulnerabilità, piuttosto che l’utilizzo della GenAI per sviluppare in maniera molto rapida malware più efficaci (70%) o attacchi di phishing o voice phishing mirati (66%) più subdoli e più difficilmente individuabili da parte della vittima.

On top c’è un tema di privacy e sicurezza dei dati che viene messa al primo posto dal 90% delle aziende, di vulnerabilità delle soluzioni AI (57%) e di sviluppo sicuro dei prompt o dei modelli di AI (54%).

In questo contesto, “il Ciso è ancora troppo poco coinvolto nella progettazione e nell’introduzione delle soluzioni di AI in azienda – sottolinea Macinante -; è peraltro vero che siamo ancora in una fase di valutazione delle soluzioni e dal punto di vista organizzativo le aziende stanno ancora cercando un loro assetto”. Emerge tuttavia che quasi il 38% dei Ciso è già coinvolto in tutte le fasi dei processi e il 31% viene coinvolto nella fase finale per valutare gli impatti sulla cybersecurity.

Anche dai risultati del Barometro Cybersecurity emerge la necessità di una sensibilizzazione sui rischi connessi all’AI per consentirne un’introduzione sicura all’interno dei processi di business. “Centrale è il tema dell’awareness e della cultura – incalza Macinante – proprio perché l’introduzione dell’AI comporta anche un cambiamento nelle organizzazioni e nei loro processi. E’ necessario creare consapevolezza sui rischi connessi all’utilizzo dell’AI così come adottare un modello di governance integrato che consenta di gestire l’introduzione dell’AI in azienda coinvolgendo tutti i principali attori, non isolando alla sola unità organizzativa deputata questo compito”. 

AI e sicurezza nei processi aziendali

Come l’integrazione dell’AI nei processi e modelli di business delle imprese può avere un impatto positivo sulla cybersecurity e sul business. Lo raccontano le stesse aziende utenti che giocano questa sfida e in alcuni ambiti stanno raggiungendo un buon livello di maturità.

Come racconta Elena Mena Agresti, head of Incident Prevention management di Poste Italiane, che in ambito cyber si è data alcune priorità: “la prima è rifocalizzare l’attenzione sul cyber threat con il monitoraggio proattivo sugli utenti, dove l’AI può aiutare a identificare se i sistemi sono stati bypassati; la seconda è migliorare l’efficacia dell’attività di detection dove la velocità di reazione è un elemento essenziale; terzo, usare l’AI per prioritizzare le problematiche di sicurezza, oggi applicata alle vulnerabilità, e che da gennaio grazie ad un nuovo algoritmo, aiuterà a individuerà quelle prioritarie nel nostro contesto”. 

Andrea Angeletta, Icy Security manager di Aria, accenna al settore sanitario che nonostante sia il più colpito dai cybercrime (60 aziende note ad oggi) sta già utilizzando l’AI in ambiti diversi, come per creare il primo antibiotico. “La tecnologia e l’AI sono parte della cura del paziente. La Regione Lombardia ha gestito 21 progetti – la maggior parte di testing ma alcuni reali – utilizzando l’AI per generare dati sintetici su cui fare ricerca senza utilizzare i dati dei pazienti. Il percorso è tracciato ma bisogna salvaguardare la privacy: l’AI va governata e vanno stabilite le responsabilità”.

Corrado Lonati, head of Cyber Security Strategic Intelligence, Policy, and Culture di Intesa Sanspaolo racconta come l’AI aiuti ma imponga sfide all’interno di un processo che coinvolge non solo i prodotti ma anche i processi e le procedure. “Non vediamo con preoccupazione ma con attenzione il mondo dell’AI perché fa parte di un percorso; siamo curiosi perché libererà sempre più l’intelligenza umana e con l’AI possiamo testare la security by design”.

Operando in settori diversi nell’energia, A2A sta investendo molto sull’AI con oltre 50 sperimentazioni in corso, alcuni in fase finale, come il traning dei dipendenti e l’uso di Microsoft Copilot. Perché il fattore umano rimane l’anello debole, racconta Vincenzo Cutaia, Cybersecurity risk & compliance manager di A2A: “Esistono tre diversi atteggiamenti delle persone rispetto alla sicurezza: l’inconsapevole che porta in azienda il rischio, l’avventuroso che vuole sperimentale a non entra nel merito dei rischi, e l’attento che studia rischi e impatti ma che purtroppo è solitamente il meno presente in azienda. Serve un importante committment dall’alto; per questo al nostro interno abbiamo creato una struttura sull’AI con una roadmap operativa che si occupa anche di scouting  a supporto delle altre BU e come policy aziendale”.

Concorda sul tema Luigi Guaragna, head of Global Cyber Security di Eni, sottolineando come in un mondo rischioso by design (con l’ultima versione di ChatGpt gli attacchi aumentati del 1000%) l’AI sia più usata dai criminali che sul fronte della difesa: “La contromisura per eccellenza deve essere il fattore umano, il primo livello di difesa, che per questo  deve essere formato. Servono campagne per tutta la popolazione per creare awareness”.

“Prendiamo in considerazione che l’AI non sta portando delle nuove minacce ma aumenta solo la probabilità di subire un possibile attacco – fa notare Pierguido Iezzi, Strategic business development director di Tinexta Cyber –, perché il vero dato è l’accessibilità che rende tutto più semplice per il cybercrime perché meno costoso in termini di competenze e strumenti  tecnologici. L’aspetto positivo è che abbiamo tutte le competenze e gli strumenti per poterla gestire correttamente se c’è una workforce sufficiente. A questo proposito l’auspicio è un paese coeso che adotti un modello di resilience by design, con uno scambio con il mondo della difesa in un partenariato pubblico-privato”.

© RIPRODUZIONE RISERVATA