Come usare l’intelligenza artificiale per mitigare il rischio cyber (Parte I)
di LUISA DI GIACOMO*
Dopo aver esaminato ed evidenziato l’importanza del ruolo umano nella strategia di cybersecurity, sia da un punto di vista preventivo, sia da un punto di vista di protezione attiva, è venuto il momento di vedere come possiamo integrare l’intelligenza umana con quella artificiale, per comprendere quali sono le sfide e le possibili soluzioni che la tecnologia di proporrà nei prossimi anni (ma non tanto lontani, ormai il futuro è qui).
La cybersecurity tramite intelligenza artificiale, in particolare con la funzionalità di machine learning, può essere un potente strumento di protezione per i nostri Enti. Come abbiamo sottolineato, l’azione umana è essenziale e insostituibile nell’ambito della sicurezza, ed è possibile trovare un modo per non essere “licenziati dai robot”, come cantava Umberto Tozzi nell’ormai preistorico 1991, ma al contrario dominare la tecnologia degli algoritmi per farli diventare i nostri migliori alleati per lo svolgimento di determinate attività di protezione e cybersecurity.
L’Intelligenza Artificiale (IA) è concepita per conferire ai computer la capacità di emulare la completa risposta della mente umana. Questo campo vasto comprende diverse discipline, tra cui il machine learning, che impiega modelli comportamentali esistenti per generare processi decisionali basati su dati e conclusioni pregresse, richiedendo ancora l’intervento umano per alcune modifiche. Attualmente, il machine learning è probabilmente la disciplina più rilevante nell’ambito della sicurezza informatica basata sull’intelligenza artificiale.
L’intelligenza artificiale e la cybersecurity sono spesso considerate come forze rivoluzionarie che potrebbero trasformare il panorama della sicurezza informatica in modi significativi, spingendoci a immaginare un futuro molto prossimo in cui le tecnologie intelligenti proteggono in modo autonomo i nostri sistemi. Tuttavia, è importante affrontare questa prospettiva con una certa cautela, poiché potremmo assistere a miglioramenti relativamente graduale nel prossimo futuro, piuttosto che a una transizione immediata verso funzionalità completamente autonome. Questa prospettiva graduale, sebbene possa sembrare meno rivoluzionaria, in realtà rappresenta un progresso significativo rispetto alle capacità del passato.
Nel contesto della sicurezza informatica, è essenziale comprendere le attuali sfide e problematiche che caratterizzano il panorama della cybersecurity. Molti processi e aspetti che consideriamo normali e consolidati possono essere affrontati e migliorati attraverso l’applicazione delle tecnologie di intelligenza artificiale. Esplorare le possibili implicazioni di machine learning e intelligenza artificiale per la sicurezza richiede una valutazione attenta delle attuali lacune e la considerazione di come queste tecnologie possano contribuire a colmarle, rafforzando così la nostra difesa contro minacce informatiche sempre più sofisticate. Vediamo prima quali possono essere le principali debolezze connesse all’attività umana e successivamente come l’IA ci può aiutare.
Ecco un elenco ragionato delle principali debolezze della strategia cybersecurity.
Errore umano nella configurazione dei sistemi
Abbiamo già ampiamente discusso di come l’errore umano rappresenti un elemento di grande rilevanza nella cybersecurity, evidenziando la sfida della corretta configurazione dei sistemi, un compito spesso complesso, che dovrebbe coinvolgere personale esperto, ma che purtroppo a volte negli Enti viene trascurato o sottovalutato. Consideriamo, ad esempio, l’introduzione di infrastrutture Internet più recenti, come il cloud computing, in Enti che utilizzano framework locali più datati. In questo scenario, è necessario garantire la compatibilità per proteggere i sistemi, perché sappiamo che il costante aggiornamento è il primo passo verso una buona infrastruttura di sicurezza.
I processi manuali impiegati per valutare la sicurezza della configurazione possono mettere a dura prova i team, costretti a bilanciare aggiornamenti continui con le normali attività quotidiane di supporto. Attraverso l’implementazione di un’automazione intelligente e adattiva, i team potrebbero ricevere consigli tempestivi su problemi appena scoperti. Questi consigli potrebbero riguardare le opzioni disponibili per affrontare la situazione o addirittura consentire la modifica automatica delle impostazioni in base alle necessità del momento. Un approccio più proattivo e efficiente potrebbe migliorare la sicurezza informatica, fornendo una risposta rapida ed efficace alle sfide emergenti.
Efficienza umana nelle attività ripetitive
L’efficienza umana rappresenta un altro ostacolo nel campo della sicurezza informatica. Nessun processo manuale può essere eseguito in modo perfettamente ripetibile ogni volta, soprattutto in ambienti dinamici come quelli in cui operiamo e altresì in considerazione del fatto (anche questo già detto) che le persone non sono tutte uguali e che anche le stesse persone possono avere livelli di produttività e concentrazione diversa in diversi giorni o in doversi orari. La configurazione individuale di numerosi computer endpoint all’interno di un’organizzazione è una delle attività più time-consuming. Anche dopo la configurazione iniziale, i team IT si trovano spesso a dover riesaminare gli stessi computer per correggere configurazioni non corrette o obsolete, alle quali non è possibile applicare patch durante gli aggiornamenti remoti.
Inoltre, quando i dipendenti devono rispondere alle minacce, l’ambito della minaccia può mutare rapidamente. Mentre l’attenzione umana può essere rallentata, un sistema basato su intelligenza artificiale e machine learning può operare con ritardi minimi. Questi sistemi possono adattarsi rapidamente alle nuove informazioni e alle mutevoli condizioni del contesto, garantendo una risposta più tempestiva ed efficiente alle minacce emergenti. L’introduzione di tecnologie intelligenti in questo contesto non solo ottimizza i processi, ma contribuisce anche a mitigare la pressione sui dipendenti, consentendo loro di concentrarsi su attività ad alto valore aggiunto e decisioni strategiche nella gestione della sicurezza informatica.
Attacchi sempre più frequenti
Il crescente numero di avvisi sulle minacce costituisce un ulteriore punto critico per gli Enti, specialmente se non viene gestito con attenzione. Le superfici di attacco stanno aumentando a causa della complessità e del disordine nei livelli di sicurezza. Molti sistemi di sicurezza sono progettati per rispondere a vari problemi noti generando una raffica di avvisi meccanici. Di conseguenza, questi singoli messaggi richiedono ai dipendenti di analizzare decisioni possibili e intervenire. L’alto volume di avvisi rende particolarmente oneroso il processo decisionale a questo livello. In pratica, gestire tali decisioni diventa un compito quotidiano per il personale dedicato alla cybersecurity. L’approccio ideale sarebbe un’azione proattiva nei confronti delle minacce e delle vulnerabilità identificate, ma molti Enti non dispongono del tempo e del personale necessari per affrontare tutte le situazioni.
Di conseguenza, diventa essenziale operare una scala di priorità, e non sempre le scelte possono essere corrette, dipendendo da vari fattori non solo legati al problema reale, ma ad altri fattori a contorno (primo fra tutti il tempo e il costo del personale). L’utilizzo dell’intelligenza artificiale per la cybersecurity può consentire ai team IT di affrontare un numero maggiore di minacce in modo pratico ed efficace. La gestione di queste minacce può essere semplificata notevolmente suddividendole in diversi cluster mediante etichette automatizzate. Inoltre, alcune problematiche possono essere affrontate direttamente dall’algoritmo di machine learning, alleggerendo il carico di lavoro umano e consentendo una risposta più tempestiva e mirata alle minacce emergenti.
Tempo di risposta alle minacce
Il tempo di risposta alle minacce rappresenta una delle metriche più cruciali per valutare l’efficacia di un team di cybersecurity. Gli attacchi dannosi sono noti per la loro rapidità di esecuzione. Minacce come i recenti attacchi ransomware hanno notevolmente accelerato i tempi, talvolta facendo divampare un attacco in non più di mezz’ora. La risposta umana può rimanere indietro rispetto all’attacco iniziale, anche se già noto, portando molti team a concentrarsi sulla risposta a incidenti già avvenuti anziché sulla prevenzione di tentativi di attacco.
L’introduzione di sicurezza assistita da machine learning consentirebbe di estrarre dati da un attacco, organizzarli e prepararli immediatamente per l’analisi, fornendo report costanti e semplificati e proponendo azioni consigliate per limitare ulteriori danni e per migliorare la prevenzione futura.
Identificazione e previsione di nuove minacce
L’identificazione e la previsione di nuove minacce rappresentano fattori critici che influiscono sui tempi di risposta ai cyberattacchi. La costante evoluzione degli attacchi, che può culminare in attacchi zero-day, costituisce una preoccupazione continua per le attività di difesa della rete. Tuttavia, la buona notizia è che i cyberattacchi raramente vengono creati ex-novo. Spesso si basano su comportamenti, framework e codice sorgente di attacchi precedenti, fornendo all’algoritmo di machine learning un percorso preesistente da seguire.
La programmazione basata su machine learning può contribuire a individuare i punti in comune tra le nuove minacce e quelle identificate in precedenza, semplificando così il processo di rilevamento di un attacco. Questo è un compito che gli esseri umani spesso non riescono a eseguire in modo efficace e tempestivo, sottolineando ulteriormente la necessità di modelli di sicurezza adattivi. In questo contesto, il machine learning può facilitare la previsione delle nuove minacce da parte dei team e ridurre i ritardi attraverso una maggiore consapevolezza delle potenziali minacce.
Carenza di personale qualificato
La carenza di personale qualificato è attualmente uno dei principali problemi che affliggono gli Enti, non solo per la mancata preparazione del personale già presente, ma anche perché l’assunzione di nuove risorse può rappresentare una spesa notevole. Mantenere aggiornate le competenze dei professionisti della cybersecurity è un compito impegnativo, specialmente in considerazione dell’innovazione costante di cui parliamo sempre in questa rubrica.
Gli strumenti di sicurezza basati sull’intelligenza artificiale possono efficacemente affrontare questi problemi, consentendo un’efficace gestione anche con meno personale a disposizione. Pur richiedendo che le figure coinvolte rimangano aggiornate riguardo alle ultime sviluppi in intelligenza artificiale e machine learning, l’adozione di tali tecnologie offre notevoli risparmi in termini di costi e tempo. L’automazione intelligente può svolgere compiti ripetitivi e garantire risposte rapide alle minacce emergenti, liberando il personale umano per attività ad alto valore aggiunto e contribuendo a mitigare la pressione derivante dalla carenza di personale.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
© RIPRODUZIONE RISERVATA
