Il mondo digitale sta cambiando rapidamente. La vostra sicurezza informatica deve stare al passo

A COSA SERVE LA SICUREZZA INFORMATICA? La domanda può sembrare elementare, ma tocca una delle questioni più importanti che le aziende di tutto il mondo devono affrontare. In effetti, questa domanda è così cruciale perché, nonostante i ripetuti tentativi di rinforzare i sistemi digitali negli ultimi decenni, i rischi di cybersecurity continuano a dilagare.

Solo nel 2022 si sono verificate in totale 4.100 violazioni di dati divulgate pubblicamente, per un totale di circa 22 miliardi di record esposti. Tutto questo nonostante le organizzazioni di tutto il mondo abbiano speso nel 2021 la cifra record di 150 miliardi di dollari per la sicurezza informatica.

Anche il software stesso sta cambiando. L’ascesa dell’intelligenza artificiale in generale, e dell’IA generativa in particolare, sta modificando radicalmente il modo in cui le aziende utilizzano il software. L’uso crescente dell’IA sta, a sua volta, rendendo più complicate le superfici di attacco del software e il software stesso più vulnerabile.

Come devono comportarsi le aziende per proteggere il loro software e i loro dati? La risposta non è che la cybersecurity sia un’impresa inutile, tutt’altro. Al contrario, gli obiettivi che le aziende si prefiggono di raggiungere con i loro programmi di sicurezza devono evolversi, proprio come si è evoluto l’uso dei dati e del software da parte delle aziende. È giunto il momento di cambiare anche le iniziative di cybersecurity. In particolare, le aziende possono adattarsi alle crescenti insicurezze del mondo digitale apportando tre modifiche alle modalità di protezione del proprio software.

Tre strade per migliorare la sicurezza informatica

In primo luogo, i programmi di cybersecurity non devono più avere come obiettivo principale quello di evitare eventuali guasti. I sistemi software, l’intelligenza artificiale e i dati su cui si basano sono così complessi e fragili che gli incidenti sono di fatto una caratteristica di questi sistemi, non un bug. Poiché i sistemi di IA sono intrinsecamente probabilistici, ad esempio, è garantito che l’IA si sbagli a volte - idealmente, però, meno degli esseri umani. Lo stesso vale per i sistemi software, non perché siano probabilistici, ma perché con l’aumentare della loro complessità aumentano anche le loro vulnerabilità. Per questo motivo, i programmi di cybersecurity devono spostare la loro attenzione dal tentativo di prevenire gli incidenti a quello di rilevare e rispondere ai guasti quando inevitabilmente si verificano.

L’adozione delle cosiddette architetture a fiducia zero, che si basano sul presupposto che tutti i sistemi possono o saranno compromessi dagli avversari, è uno dei tanti modi per riconoscere e rispondere a questi rischi. Il governo degli Stati Uniti ha persino una strategia zero trust che sta implementando in tutti i dipartimenti e le agenzie. Ma l’adozione di architetture a fiducia zero è solo uno dei tanti cambiamenti che devono avvenire sulla strada dell’accettazione dei guasti nei sistemi software. Le aziende devono anche investire di più nei loro programmi di risposta agli incidenti, effettuare controlli periodici dei loro software e dell’IA per verificare la presenza di diversi tipi di problemi simulando potenziali attacchi, rafforzare la pianificazione interna della risposta agli incidenti per i software tradizionali e i sistemi di IA e altro ancora.

In secondo luogo, le aziende devono anche ampliare la definizione di “guasto” per i sistemi software e i dati, in modo da comprendere più dei soli rischi per la sicurezza. Gli incidenti digitali non sono più solo legati alla sicurezza, ma coinvolgono una serie di altri potenziali danni che vanno dagli errori di performance ai problemi di privacy, alla discriminazione e altro ancora. In effetti, con la rapida adozione dell’intelligenza artificiale, la definizione stessa di incidente di sicurezza non è più chiara.

I pesi (la “conoscenza” addestrata e memorizzata in un modello) del modello generativo di IA LLaMA di Meta, ad esempio, sono stati resi pubblici a marzo, dando la possibilità a qualsiasi utente di eseguire il modello a miliardi di parametri sul proprio laptop. La fuga di notizie può essere iniziata come un incidente di sicurezza, ma ha anche sollevato nuovi problemi di proprietà intellettuale su chi ha il diritto di utilizzare il modello di IA (furto di proprietà intellettuale) e ha minato la privacy dei dati su cui il modello è stato addestrato (conoscere i parametri del modello può aiutare a ricreare i dati di addestramento e quindi violare la privacy). E ora che è liberamente accessibile, il modello può essere utilizzato più ampiamente per creare e diffondere disinformazione. In parole povere, non è più necessario un avversario per compromettere l’integrità o la disponibilità dei sistemi software; dati mutevoli, interdipendenze complesse e usi non voluti dei sistemi di intelligenza artificiale possono dare origine a guasti da soli.

I programmi di cybersecurity non possono quindi limitarsi a concentrarsi solo sulle falle di sicurezza; in pratica, questo renderà i team di sicurezza informatica meno efficaci nel tempo, man mano che la portata delle falle del software aumenta. Al contrario, i programmi di cybersecurity devono far parte di sforzi più ampi incentrati sulla gestione del rischio complessivo, valutando come possono verificarsi i guasti e gestendoli, indipendentemente dal fatto che il guasto sia stato generato da un avversario o meno.

Questo, a sua volta, significa che i team di sicurezza delle informazioni e di gestione del rischio devono includere personale con un’ampia gamma di competenze che vadano oltre la sola sicurezza. Esperti di privacy, avvocati, ingegneri dei dati e altri hanno tutti un ruolo chiave da svolgere nella protezione del software e dei dati da minacce nuove e in evoluzione.

In terzo luogo, il monitoraggio dei guasti deve essere una delle massime priorità per tutti i team di cybersecurity. Purtroppo, al momento non è così. L’anno scorso, ad esempio, le aziende hanno impiegato in media 277 giorni, ovvero circa 9 mesi, per identificare e contenere una violazione. Ed è fin troppo comune che le organizzazioni vengano a conoscenza di violazioni e vulnerabilità nei loro sistemi non grazie ai propri programmi di sicurezza, ma attraverso terze parti. L’attuale affidamento a terzi per il rilevamento è di per sé una tacita ammissione che le aziende non stanno facendo tutto il possibile per capire quando e come il loro software si guasta.

Ciò significa in pratica che ogni sistema software e ogni database ha bisogno di un piano di monitoraggio corrispondente e di metriche per i potenziali guasti. In effetti, questo approccio sta già prendendo piede nel mondo della gestione del rischio per i sistemi di intelligenza artificiale. Il National Institute of Standards and Technology (NIST), ad esempio, ha pubblicato all’inizio di quest’anno il suo AI Risk Management Framework (AI RMF), che raccomanda esplicitamente alle organizzazioni di mappare i potenziali danni che un sistema di IA può generare e di sviluppare un piano corrispondente per misurare e gestire ciascun danno. (Per completezza di informazione: ho ricevuto una sovvenzione dal NIST per sostenere lo sviluppo dell’AI RMF). Applicare questa best practice ai sistemi software e ai database in generale è un modo diretto per prepararsi agli incidenti nel mondo reale.

Ciò non significa, tuttavia, che le terze parti non possano svolgere un ruolo importante nel rilevare gli incidenti. Al contrario: le terze parti hanno un ruolo importante da svolgere nell’individuare i guasti. Attività come i “bug bounty”, in cui si offrono ricompense in cambio dell’individuazione di rischi, sono un modo collaudato per incentivare l’individuazione dei rischi, così come modi chiari per i consumatori o gli utenti di comunicare i guasti quando si verificano. Nel complesso, tuttavia, le terze parti non possono continuare a svolgere il ruolo principale nell’individuazione dei guasti digitali.

Le raccomandazioni di cui sopra sono sufficienti? Sicuramente no. Affinché i programmi di cybersecurity tengano il passo con la crescente gamma di rischi creati dai sistemi software, c’è ancora molto lavoro da fare. Sono necessarie più risorse, ad esempio, in tutte le fasi del ciclo di vita dei dati e del software, dal monitoraggio dell’integrità dei dati nel tempo, alla garanzia che la sicurezza non sia un pensiero secondario, attraverso processi come DevSecOps, un metodo che integra la sicurezza in tutto il ciclo di vita dello sviluppo, e altro ancora. Con la crescita dell’uso dell’intelligenza artificiale, i programmi di scienza dei dati dovranno investire maggiori risorse nella gestione del rischio.

Per ora, tuttavia, i guasti sono sempre più una caratteristica fondamentale di tutti i sistemi digitali, come le aziende continuano a imparare nel modo più difficile. I programmi di cybersecurity devono riconoscere questa realtà nella pratica, se non altro semplicemente perché è già una realtà.

Andrew Burt è managing partner di BNH.AI, uno studio legale focalizzato sull’IA, e visiting fellow presso l’Information Society Project della Yale Law School.