Non è facile né immediato per un’azienda o un’organizzazione pubblica calcolare il ritorno degli investimenti e giustificare le energie dedicate al tema della cybersecurity.
In questo comparto, più che in altri, le asimmetrie informative tra chi difende e chi attacca sono ampie e sono alla base di questa difficoltà.
Chi attacca non ha scrupoli e vincoli e si concentra su una particolare carenza per inficiare il tutto, chi si difende deve difendersi nel rispetto delle norme vigenti e deve tenere sotto controllo tutto non trascurando nulla. Chi attacca è specializzato, chi non attacca non lo è. Chi attacca decide quando è il momento giusto per attaccare, chi riceve l’attacco deve presidiare tutti i fronti conosciuti ma anche sconosciuti.
Le complessità dei sistemi informativi moderni
Tutto questo, ha un impatto sulle priorità del compratore di strumenti e servizi di cybersecurity. Il compratore deve infatti sempre bilanciare la necessità di investire in cybersecurity cercando di coprire il maggior numero di potenziali rischi con altre necessità più impellenti in relazione al proprio business.
Ad esempio, in un ospedale, se la scelta è tra acquistare un nuovo defibrillatore o acquistare un sistema che protegga da attacchi i propri sistemi informatici probabilmente la scelta cadrà su un defibrillatore. Solo che defibrillatore dopo defibrillatore, senza investire in cybersecurity il rischio di subire attacchi aumenta e prima o poi si va fatalmente incontro ad un incidente ed a quel punto gli investimenti sono necessari. Sempre considerando il settore biomedico come riferimento, il problema è oltremodo amplificato dalla introduzione di dispositivi medicali interconnessi, Internet of Medical Things (pillole intelligenti elettroniche, fitness tracker, monitor del glucosio, cardiofrequenzimeri…) che oltre a dirottare legittimamente investimenti nella cybersecurity ampliano il perimetro di un potenziale attacco. Infatti, la digitalizzazione interessa oramai tutti gli aspetti della vita sociale ed industriale, e pertanto qualunque investimento introduce inconsapevolmente complessità digitale e riduce la resilienza dell’intero sistema.
In questa apparente contraddizione è costretto ad operare chi si occupa di realizzare i sistemi informativi moderni che non sono altro che il risultato della trasformazione digitale di ogni tipo di organizzazione pubblica o privata.
Anche in questo caso, come per altri fenomeni complessi è valido il così detto principio di Anna Karenina: una carenza in uno qualsiasi di una serie di fattori condanna inevitabilmente a fallire. Di conseguenza, uno sforzo riuscito è quello per il quale ogni possibile carenza è stata evitata.
Perché in cybersecurity si investe poco e male
Non potendo pertanto investire su tutto, la ineluttabile conseguenza è che si investe poco e male e spesso solo in corrispondenza di un attacco, in fretta e senza pianificazione adeguata, con il solo obiettivo di sopravvivere in un contesto dove il ritorno di investimento è dato dalla vita o la morte dell’attaccato. Investire in fretta e senza pianificazione, introduce elementi tecnologici, architetturali e di processo non integrati perfettamente e senza avere le competenze per poterli governare, ed attacco dopo attacco lasciano alla vittima non solo la necessità di dover gestire le conseguenze evidenti di un attacco come l’interruzione del servizio, la perdita di dati, la compromissione della reputazione, oltre che ad una crescita della complessità intrinseca degli elementi introdotti che si trasforma in un punto di debolezza.
Infatti, citando le parole di Pietro Leo, Executive Architect, Data & AI di IBM Technology: “Un sistema diventa complesso quando si moltiplicano le attività e le modalità per tenere tutte le parti di cui si compone sotto controllo. Il rischio principale consiste nel non riuscire più a valutare se il cambio di una componente, magari periferica e di poca importanza, o la sua semplice e apparente compromissione sia in grado, a cascata, di generare effetti ben più negativi su altre parti del sistema. I sistemi informativi delle organizzazioni moderne, piccole o grandi che siano tendono a diventare complessi, è inevitabile. Questo perché sono sempre più fatti di componenti, non solo ampie in termini di numerosità, ma anche altamente distribuite in ambienti non aziendali e connesse l’una all’altra in modalità imprevedibili. Con l’aumentare della complessità del sistema aumenta la sua entropia, quindi il suo livello di incertezza. Ma se da un lato, in ambito di sicurezza informatica, la complessità crea incertezze a chi vorrebbe attaccare il sistema, anche l’azienda che governa tale sistema, non avendone una comprensione profonda, rischia di essere più esposta a cyber attacchi dal momento che diventa molto complesso riconoscerli e prevederli”.
Le tecnologie che aiutano ad adottare una strategia proattiva
In tutto questo la disponibilità di nuovi metodi basati sull’analisi di dati complessi e di Intelligenza Artificiale e automazione permettono di generare quegli insight e segnali anticipatori per adottare una strategia proattiva, sempre più autonoma, a supporto di una osservabilità ampia e completa dei sistemi informatici di ogni organizzazione e di tutti gli strati di cui si compone.
Di questo si è discusso, in sintesi, alla quarta edizione del Forum Italia-Canada sull’Intelligenza Artificiale organizzato a Montreal dalla Camera del Commercio Italiana in Canada e quest’anno dedicato al tema della Cyber Security e che ha coinvolto più di 40 international key distinguished speakers.
L’asimmetria tra chi attacca e chi si difende è significativa ed inoltre chi si difende corre il rischio di rendere vani gli sforzi fatti a causa di una nuova vulnerabilità identificata, a causa di una nuova metodologia di attacco scoperta ma anche di una innovazione tecnologica introdotta.
Rischi e opportunità dell’uso dell’intelligenza artificiale
L’Intelligenza Artificiale ha le potenzialità di riequilibrare un chiaro squilibrio o aumentarne il divario rapidamente. È quindi importante coglierne e valutarne le opportunità e i rischi che comporta.
Infatti, se la difesa utilizza l’Intelligenza Artificiale, anche gli attaccanti la usano e spesso sono estremamente efficace nel farlo. Quindi investire in Intelligenza Artificiale è da un lato una opportunità ma dall’altro conseguenza di non voler concedere all’avversario nuovi vantaggi.
Questi sono due punti di vista diametralmente all’opposto ma che danno il senso di come difensori e attaccanti condividono sostanzialmente le stesse problematiche. È come se ognuno debba avere un doppio ruolo per fare meglio il proprio mestiere: coloro che difendono devono pensare come attaccanti e gli attaccanti si immaginano difensori per capire come superare barriere difensive.
Per affrontare questa nuova complessità gli strumenti e le pratiche di cybersecurity stanno rapidamente evolvendosi offrendo non solo capacità di monitoraggio, sostanzialmente reattive, ma abilità proattive e anticipatorie grazie ad una osservazione più ampia e orizzontale dei sistemi informativi complessi. L’obiettivo è quello di valutare i rischi e la capacità di resilienza in ogni momento del sistema e alle varie condizioni in cui opera e non solo quella di porre rimedio a minacce o alla gestione dei processi che le riguardano.
Conclusioni
Gli strumenti e approcci di Intelligenza Artificiale e automazione permettono di attuare una strategia proattiva di difesa. Infatti, le capacità di ragionamento sui dati permettono di modellare e valutare scenari di attacco ipotetici e quindi anticipare le caratteristiche di possibili nuovi vettori d’attacco, anche di tipo sociale. D’altra parte, i sistemi di Natural Language Processing e di Computer Vision possono essere utilizzati per estrarre indizi utili da fondi testuali e multimodali, migliorando i modelli classici predittivi e di ricerca di pattern. L’automazione e il supporto decisionale, infine, aiutano ad orchestrare e coordinare azioni ripetitive di analisi e investigazione specialistica tipicamente umana che viene quindi assistita durante le decisioni.
Nel loro insieme, queste capacità, conoscenze e piattaforme condivise possono dare maggiori opportunità per analizzare sistemi informativi complessi da più punti di vista anche apparentemente distanti come l’ottimizzazione delle loro prestazioni, la riduzione dei costi operativi e, evidentemente, la riduzione dei rischi e la loro esposizione in termini di sicurezza. L’attenzione, grazie all’infusione nelle pratiche di cybersecurity degli strumenti di intelligenza artificiale, si sposta su ciò che davvero conta: anticipare in modo proattivo la difesa dei facendo leva sul loro punto di forza e di debolezza: l’intrinseca complessità.
