Siamo nell’Era dell’Intelligenza Artificiale ed è evidente che la Sicurezza Informatica non può più essere esclusiva degli specialisti IT. Inutile aggiungere molte parole sul fatto che non avrebbe mai dovuto esserla...la velocità aumenta, di minuto in minuto, e non ci possiamo permettere di guardare anche al solo e semplice passato della giornata di ieri.

Gli attacchi informatici hanno cambiato e trasformato, al pari passo con l’Intelligenza Artificiale, scala, velocità e la loro credibilità.

Ma anche le regole rappresentano un argomento al quale non si può sfuggire...Chi si regolamenta, ancora, secondo i vecchi canoni vive un divario crescente. Ma non solo: valutazioni del rischio sbagliate, stato dell’arte alterato e una gestione della struttura degli incidenti lacunosa.

La sfida è Culturale ed Organizzativa. Ed è una sfida che investe ogni livello aziendale, dall’imprenditore a scendere.

La questione non riguarda solo le regole tradizionali che, se pur ancora utili, non possono più offrire un livello di garanzia adeguato. La questione vera è che le regole fanno parte della Cultura e dell’Organizzazione che ci riporta al fattore umano, per cercare di trovare un filo logico in quello che, sembra ancora a troppi,  il terreno di gioco degli specialisti informatici.

Alcune regole, apprese in un momento storico decisamente di non comprensione della realtà circostante, non solo non sono state capite nella loro importanza e nella loro utilità ma sono diventate – al pari di un rituale inutile ma richiesto – qualcosa “da fare” ma sul quale non fermarsi a riflettere. E, passo dopo passo, questo atteggiamento non poteva che portarci, paradossalmente, dalla parte opposta a dove effettivamente ci trovavamo già, creando una disparità tra percezione e realtà che l’arrivo dell’Intelligenza Artificiale ha, poi, definitivamente separato.

La percezione del diritto, a dir si voglia delle regole insieme alla tecnica, avrebbe dovuto e potuto essere la compliance della vita reale: in realtà abbiamo assistito – e purtroppo non frenato – al procedere di una Sicurezza informatica in piccole pillole operative e a pochi concetti essenziali ma ripetuti meccanicamente. Qualcuno sostiene che per anni abbia funzionato. In realtà non è così, se conduciamo una buona ed essenziale analisi. Il suo malfunzionamento nacque nel momento esatto in cui non ci si allarmò per gesti rituali ai quali dovevamo applicare poca attenzione e poco intelletto. Il lessico diventò condiviso e condivisibile: altro grande indicatore. Parole e concetti solidi che ripetuti, ogni giorno, sono divenuti famigliari. Anche troppo, purtroppo, secondo la più banale delle osservazioni: siamo andati perdendo la riverenza che tradotto nel nostro linguaggio significa che abbiamo perso anche la prima battaglia di quella che si annunciava come una Grande Guerra: abbiamo banalizzato e sottovalutato. Uno dei più grandi errori, uno dei più pericolosi. E così “riservatezza”, “integrità”, “disponibilità”, “autenticazione”, “autorizzazione”, “malware”, “ransomware” sono entrate – di diritto ma non per quel diritto che le avrebbe legittimate – nella trama sottile del quotidiano lavorativo e non solo. Un copione collaudato ed infinite presentazioni per cercare di catturare l’attenzione dei dipendenti su prescrizioni precise: “non cliccare su link sospetti”, “non aprire allegati da mittenti sconosciuti”, ecc. Una formazione che inseguiva una chimera.

Ed è evidente – oggi – grazie proprio all’Intelligenza Artificiale che le misure in adozione sono inadeguate così come la Cultura che le avrebbe dovuto introdurre e condurre.

Abbiamo praticamente costruito un labirinto e lo abbiamo fatto mettendoci al centro...adesso vaghiamo attraverso percorsi, con una totale perdita d’orientamento, in cerca di un’uscita.

Cosa è riuscita a fare l’Intelligenza Artificiale di così speciale per far affiorare e percepire la problematica ? La più derisa ed irriverente delle azioni, in logica umana: imitando.

E se “imitare” ci indegna più di quanto ci diverta, nei diversi contesti umani, quando a farlo è stata LEI, la nostra nuova Regina incontrastata, improvvisamente pare ci abbia destato. Un esempio banale: la trasformazione di un attacco fortemente tipizzato come il phishing: le email sgrammaticate ora indossano uno stile impeccabile, cucito su misura con riferimenti e dettagli credibili, oltre che tempi giusti.

L’Intelligenza Artificiale “osando” imitare ha imparato a riprodurre toni, cadenze ed abitudini e così si è spianata la via della credibilità. E nello stesso tempo è riuscita a far crollare la più vulnerabile linea di difesa che cede, per prima, nell’essere umano: la sua stessa attenzione.

E se tutto questo non fosse sufficiente, pensiamo a quando il bersaglio non è una persona ma un sistema stesso: interfacce e API di servizi intelligenti stressate ed interrogate senza sosta possono, anche, non lasciare trapelare informazioni che non devono essere rivelate. Finché ci riescono. E vagando nel labirinto di uno dei tanti paradossi che stiamo vivendo – non ancora decisi se “ci stiano simpatici o ci risultino impertinenti” -  gli “Assistenti” – con una buona domanda formulata nel modo giusto, vengono convinti a restituire dati sensibili, se non di peggio. Ma – tristemente – assistiamo anche a modelli addestrati, ottimizzati, pagati a caro prezzo che possono essere “copiati” o “replicati” più rapidamente di quanto immaginiamo. E malgrado emerga – sempre – lo stesso denominatore comune l’attacco non arriva sempre e solo “perché qualcuno ha sbagliato” ma anche – e oserei dire spesso – perché l’organizzazione non ha riconosciuto per tempo che stava succedendo qualcosa di anomalo.

Il modello della difesa perimetrale sta scricchiolando non per incompetenza ma per disallineamento. L’attenzione alla difesa perimetrale è fondamentale proprio perché questa è stata costruita in modalità passiva, cioè su un’idea che, per essere al sicuro, fosse sufficiente costruire muri abbastanza alti. Non è certamente inutile: ma è chiaro che non possa essere l’idea guida. O, almeno, così dovrebbe essere.

Non essendo neofiti i creatori del GDPR – per comodità diremo il GDPR – era già stato messo in conto questo aspetto. Così come i quattro pilastri della Sicurezza Sostanziale. Un errore che, però, oggi non ci possiamo più permettere di commettere è che “ieri” la Sicurezza era un elenco di regole mentre “oggi” è un campo di battaglia nuovo: siamo su un campo di battaglia da anni ! E dalle nostre analisi appare evidente che “ci poniamo” sempre dalla prospettiva errata. Basta, poi, cambiarla per renderci conto di quello che non avevamo visto – o meglio – saputo guardare: l’Europa aveva già messo in conto questo nuovo approccio molto prima che l’Intelligenza Artificiale ci destasse e ci affascinasse.

Il GDPR, già nel 2016, aveva provato a mettere le basi per una Sicurezza Sostanziale e non solo formale. Non sempre con successo applicativo. Anzi, spesso con un’attuazione più formale che sostanziale nelle organizzazioni. Ma l’impianto concettuale era già quello giusto. Non ci ha chiesto di conformare le nostre organizzazioni ai dettami di un allegato tecnico; ci ha chiesto di imparare a governare il rischio. Peraltro non ci ha nemmeno chiesto di adottare misure generiche nè ci ha imposto misure conformi allo “stato dell’arte” nonché al contesto di riferimento. Ci ha anche suggerito di non trattare gli incidenti come eventi da nascondere e ha creato obblighi di segnalazione e gestione che, se fossero stati presi sul serio, avrebbero permesso una maturità organizzativa ed una crescita “sicura”. E, non avendo “ascoltato” attentamente il GDPR ci troviamo ad assistere alla pressione che grava sui quattro grandi pilastri della Sicurezza Sostanziale. L’Intelligenza Artificiale – questa volta non imitando ma amplificando – riesce a rendere visibile che l’impianto normativo già puntava a spostare la Sicurezza dal “si è sempre fatto così” ad un processo continuo di scelte, verifiche e rendicontazione. Il cuore pulsante del GDPR è sempre stato la valutazione del rischio, che prescrive l’analisi preliminare dei rischi, che chiede di valutare la gravità di un data breach. Non un privilegio burocratico ma un invito ad imparare a pensare, capire e riflettere su quello che stiamo facendo prima di farlo e, anche, mentre lo stiamo facendo. Altro punto a favore dell’Intelligenza Artificiale che ci rende meno ciechi e, al pari, altro grande punto in perdita per Noi dal momento che “guardiamo” attraverso l’AI per comprendere che un’adozione frettolosa e superficiale è un grande errore che si paga per parecchio tempo, infiltrandosi nel tessuto profondo di un contesto. Noi, che non ci siamo fatti le domande con le quali – tendenzialmente – infestiamo la Vita degli altri e – se pur peggio – anche la nostra. Ma adesso che è Lei, a porle, la nostra attenzione è desta… ma “quali rischi crea, per chi, con quale probabilità, con quali impatti e con quali contromisure?”. L’Italia resta il Paese delle poche domande e quando le ha, spesso, le sbaglia. Il secondo dei quattro pilastri è lo “stato dell’arte”, la parte a noi più scomoda perché cambia, non è fisso ma si muove. L’adeguatezza di ieri sarà probabilmente inadeguatezza domani. E questo non ci piace perché ci costringe ad uscire dalla “zona comfort”, qualsiasi essa sia, è sempre poco gradita. E se questo scenario non è già abbastanza deludente possiamo guardare alla Formazione che ancora imperversa, stanca, affaticata ed ingessata: apprendimento continuo ma inutile, aggiornamenti datati e scelte, deliberatamente tecniche ed organizzative, scadenti. Perciò inutili. Tralascio il terzo pilastro, l’accountability che il GDPR aveva presentato come una disciplina e non come un convegno. Non molto diverso dall’AI Act che, però, pare rendere il tutto più concreto, se pur proseguendo la stessa traiettoria. E’ “cultura comune” finalmente che la Sicurezza informatica non sia più confinata nell’ IT ma sia materia di Governance. Il quarto pilastro, ben noto nel GDPR come obbligo a riconoscere, valutare e, anche, notificare un data breach in tempi stretti – oggi - con l’AI Act la percepiamo come l’obbligo di segnalare incidenti gravi per i sistemi ad alto rischio. Messaggio identico ma – pare – efficace. Vedremo. Siamo evidentemente in un contesto in cui l’AI rende gli attacchi più credibili e più scalabili, la differenza tra un danno contenuto e un disastro spesso non è la tecnologia: è la prontezza organizzativa nel rilevare l’anomalia, nel prendere decisioni e nel comunicare correttamente. Siamo – nuovamente – vittime di Noi stessi, cambiando carnefice ma non scegliendo “prima Noi stessi” e poi i “Nostri strumenti”.

articolo a cura:

DIVENTA REFERENTE