Che il rischio cyber non possa essere più considerato solo un rischio IT, bensì un rischio aziendale è ormai innegabile. Le conseguenze di un attacco cyber sono immediatamente traducibili in costi, per effetto dell’interruzione di un servizio o dell’indisponibilità di sistemi, piuttosto che, ancor più grave, per la perdita di dati o la pubblicazione degli stessi nel Dark Web (emblematico il caso della National Library a Londra). Trattandosi di un tema aziendale e sempre più strategico, organizzazione, pianificazione, procedure e tecnologie sono tutti elementi indispensabili per intraprendere una strategia cybersecurity matura che consenta di affrontare uno scenario in costante peggioramento.
L’evoluzione di tattiche e l’adozione di tecniche sempre più sofisticate da parte degli attaccanti comporta anche da parte del top management una maggiore consapevolezza sul considerare la cybersecurity non più un tema ad esclusivo appannaggio dei dipartimenti informatici, ma una priorità strategica e aziendale.
La priorità principale è indubbiamente il conseguimento della cyber-resilienza, ovvero la predisposizione di organizzazioni, misure, policy e risorse che consentano una ripresa delle attività in caso di incidente, in tempi rapidi e con il minor danno possibile. Non è un caso che nel settore finanziario, da sempre uno dei più maturi sul fronte della cyber sicurezza, si stia adottando un regolamento (Dora) che ha come finalità ultima proprio la cyber resilienza.
Monitoraggio attivo e predittivo, adozione di strumenti che incorporino anche l’intelligenza artificiale, awareness e formazione a tutti i livelli, sono elementi indispensabili per incrementare la capacità di difesa. Per quanto riguarda l’intelligenza artificiale, sebbene questa rappresenti uno strumento per una difesa più efficace, sul fronte delle minacce, rappresenta anche una nuova arma nelle mani degli attaccanti.
La tassonomia delle minacce
Nella pubblicazione Nist dal titolo Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations sono evidenziati quattro nuovi tipi di attacchi informatici in grado di manipolare i sistemi di AI predittiva e generativa:
• Gli attacchi di evasione, che si verificano dopo l’implementazione di un sistema di intelligenza artificiale, tentano di alterare un input per cambiare il modo in cui il sistema risponde ad esso. Un esempio può essere relativo ai veicoli a guida autonoma che ricevendo input di segnaletiche errate possono commettere infrazioni o, in casi peggiori, causare incidenti.
• Gli attacchi di avvelenamento si verificano nella fase di allenamento introducendo dati corrotti. I chatbot, ad esempio, possono essere manomessi dall’inserimento di numerose istanze di linguaggio inappropriato nei registri delle conversazioni, in modo che un chatbot interpreti queste istanze come un linguaggio abbastanza comune da utilizzare nelle proprie interazioni con i clienti (esempio usando linguaggio offensivo o Frre).
• Gli attacchi alla privacy, che si verificano durante l’implementazione, sono tentativi di apprendere informazioni sensibili sull’AI o sui dati su cui è stato addestrato per abusarne.
• Gli attacchi di abuso comportano l’inserimento di informazioni errate in una fonte, come una pagina Web o un documento online, che un’AI assorbe. A differenza dei suddetti attacchi di avvelenamento, gli attacchi di abuso tentano di fornire all’AI informazioni errate da una fonte legittima, ma compromessa per riutilizzare l’uso previsto del sistema di intelligenza artificiale.
Gap cyber da colmare
Se l’intelligenza artificiale rappresenta una minaccia emergente, persistono ancora alcuni gap nella gestione cyber che allo stato attuale non sono ancora stati pienamente colmati.
Dal Barometro Cybersecurity 2023, il rapporto realizzato da NetConsulting cube ed Eucacs attraverso una survey realizzata su 84 organizzazioni grandi e medio grandi appartenenti a diversi settori, tra gli ambiti a maggior rischio continuano ad esservi la supply chain e ambienti OT e IoT. La continua integrazione in prodotti e servizi di componenti hardware e software che potrebbero essere oggetto di attacco o nascondere vulnerabilità, l’obsolescenza di molti apparati e la mancanza di una governance chiara sono solo alcuni dei gap da colmare.
Altre carenze evidenziate dalla survey sono relative alla mancanza di approcci strutturati basati su SecDevOps o DevSecOps che consentano di sviluppare software sicuro secondo approcci e modelli tesi a ridurre al minimo le vulnerabilità. A tale scopo la presenza di competenze di cybersecurity nei team di sviluppo rappresenta un fattore chiave. Altro elemento evidenziato come gap è rappresentato dalla data protection, ancora non pienamente adottata, e da una condivisione di informazioni lungo la filiera ancora poco efficace. La costituzione degli Isac (Information Sharing and Analysis Center) per consentire una condivisione di best practice, la realizzazione di una rete di Csirt per una risposta tempestiva, se non preventiva, alle minacce rappresenteranno ulteriori azioni concrete per conseguire progressi in questa direzione.
Le competenze emergono ancora come un nodo da sciogliere, con carenze soprattutto in alcuni settori come la PA e la sanità, entrambi strutturalmente caratterizzati da un deficit di competenze in ambito cybersecurity e, più in generale in ambito IT. Tuttavia, si segnala l’aumento di iniziative per creare corsi di specializzazione nelle università che consentano di colmare nel medio periodo questi gap.
Le risorse complessivamente destinate alla cybersecurity, che a livello di spesa supererà i 2 miliardi di euro nel 2024, sebbene in crescita di oltre l’12% annuo, restano ancora limitate e insufficienti, soprattutto in alcuni settori, come PA e sanità, in cui la crescente digitalizzazione dei processi e la transizione verso il cloud impone un cambiamento nella difesa di dati e perimetro, oltre che la diffusione di una cultura digitale a tutti i livelli dell’organizzazione.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2023
© RIPRODUZIONE RISERVATA