L’evoluzione del ruolo della sicurezza cibernetica con l’avvento delle più recenti tecnologie di frontiera
A cura di Paolo Dal Cin
Gli incessanti cambi di passo nella progressione tecnologica quali l’intelligenza artificiale basata su apprendimento automatico per mezzo di reti neurali (ad esempio quella generativa), la computazione, comunicazione e sensoristica quantistica (di nuova generazione e non più prototipale) e la realtà estesa (con convergenza di realtà aumentata e virtuale), inducono una nuova visione e missione per i tradizionali ambiti d’applicazione della sicurezza cibernetica. Inoltre, gli impatti prospettici derivanti dall’adozione combinata di tali tecnologie saranno ancora più rilevanti in particolare sul quinto dominio, teatro di possibili conflitti militari in contesti geopolitici pronti, ma non sempre adeguatamente preparati, a fronteggiarsi in guerre ibride.
Si pensi, ad esempio, ad uno scenario futuro, tuttavia non così lontano dai giorni nostri, nel quale un agente di minaccia dalle ingenti risorse tecnico-economiche (ad es. uno stato nazione od un’organizzazione criminale internazionale) stesse, in modo non autorizzato, acquisendo ed archiviando da reti e sistemi dati cifrati dagli attuali ‘classici’ schemi crittografici (informazioni inintelligibili, alla data, poiché non interpretabili da chi non ne detenga le chiavi di decifratura).
Ipotizziamo, peraltro, che tale agente abbia poi accesso a tecnologie avanzate di intelligenza artificiale e computazione quantistica rese pubblicamente disponibili in una modalità a servizio sul cloud e possa, pertanto, avvalersi di algoritmi quantistici (ad esempio Shor per la fattorizzazione e Grover per ricerca) per decifrare dati precedentemente cifrati con algoritmi classici (potenzialmente vulnerabili con l’introduzione di elaboratori quantistici).
In tal contesto, l’attore di minaccia potrebbe avvalersi di modelli di apprendimento automatico quantistico (QML), per istruire la rete neurale con una notevole mole di informazioni riservate, segrete o, addirittura, militarmente classificate (precedentemente decifrate) e successivamente sfruttare l’intelligenza artificiale per individuare la catena d’attacco più efficace e impattante verso uno specifico bersaglio che si intendesse colpire ed al quale le informazioni apprese attenessero.
Le conseguenze di un attacco di tale portata sarebbero rilevanti poiché le capacità di prevenzione e contenimento degli impatti risulterebbero decisamente meno efficaci anche laddove si avvalessero delle medesime tecnologie della controparte. Questa ridotta efficacia delle contromisure deriverebbe dall’asimmetria nella ‘formazione’ delle intelligenze artificiali, quella offensiva e quella difensiva.
Infatti l’intelligenza artificiale offensiva avrebbe accesso (non autorizzato) a dati di multiple organizzazioni mentre quella difensive non avrebbe modo di avvalersi della medesima quantità e qualità di dati (ma solo quelli della propria organizzazione) al fine di apprendere le migliori mitigazioni da attuare in quello specifico contesto, ovvero quello di un attacco mirato per il quale si è stati addestrati con informazioni di estremo valore.
Questo esempio proietta scenari di rischio ad alta complessità che inducono a riattualizzare le responsabilità associate al ruolo della sicurezza cibernetica. Un ruolo che merita di essere esteso in ampiezza e profondità, in modo duplice ed a mandati complementari:
- Un primo mandato è fortemente orientato ad avvalersi delle nuove tecnologie per due finalità distinte. La prima è quella di meglio fronteggiare le minacce emergenti, consci che gli agenti di minaccia ne gioveranno al contempo, ad esempio nelle tecniche di “deep fake” abilitate dall’intelligenza artificiale od in quelle volte allo “steal now, decrypt later” abilitate dalla computazione quantistica. La seconda finalità è invece volta ad agevolare ed arricchire l’esperienza digitale dell’individuo attraverso nuovi servizi innovativi che non prevedono solo di essere protetti dalla sicurezza ma la cui progettualità dovrebbe guidata dalla sicurezza digitale. Alcuni tipici esempi sono rappresentati dall’identità digitale nazionale ed europea, dal portafoglio digitale, dal voto elettronico, dai servizi fiduciari, dall’euro digitale, dai pagamenti su registri distribuiti, dalla federazione di fornitori di attributi personali, etc.
- Un secondo mandato è focalizzato ad indirizzare e proteggere nuovi prodotti e servizi digitali abilitati dalle nuove tecnologie, sulla base dei principi del ‘by design’, dal concepimento e la conseguente progettazione esecutiva, sino all’adozione in ambienti produttivi e su scala, attraverso le fasi implementative e di collaudo, in regimi tradizionali (waterfall) o agili (DevSecOps). Alcuni esempi rappresentativi e significativi di nuovi ambiti di applicazione della sicurezza sono rappresentati da:
- l’apprendimento automatico responsabile per ottimizzazione delle reti neurali ed i controlli preventivi e proattivi sull’input (prompt) e reattivi sull’output (model response) generato dai sistemi di intelligenza artificiale;
- la critto-agilità, ovvero la capacità di adeguare nel tempo gli schemi di crittografia adottatati nelle organizzazioni a fronte delle capacità computazionali della nuova generazione di elaboratori quantistici in via di realizzazione (stanti gli algoritmi di cifratura attuali: tradizionali e quantum-safe);
- l’identificazione ed attuazione di contromisure dinamiche volte alla data-privacy per le informazioni processate dai visori della nuova realtà estesa che arricchisce di dati e metadati l’esperienza sensoriale fisica e la combina con quella virtuale. Informazioni spesso sensibili condivise dalle comunità di utilizzatori, talvolta inconsciamente e pertanto senza consenso informato;
- La protezione cibernetica di prodotto (‘embedded’ per i nuovi, ‘wrapped’ per quelli datati o obsoleti) nell’era dell’internet delle cose che oggi conta dispositivi sempre più interconnessi e sensori, attuatori e trasduttori fisici dei quali potrebbe essere preso il controllo. Dispositivi che scaleranno di ordini di grandezza rendendone complesso il monitoraggio e la protezione.
Nel settore della sicurezza cibernetica, il capitale umano rimane e rimarrà centrale, lo spettro di competenze dei nuovi esperti di sicurezza dovrà tuttavia ampliarsi per padroneggiare tali tecnologie, come nuovi strumenti della professione. Oltre alla competenza in materia cibernetica, si renderà sempre più necessaria la conoscenza dei settori di industria nella quale è applicata e, ovviamente, una forte familiarità con le tecnologie emergenti.
In un futuro non così lontano, probabilmente interfacce neurali impiantabili nel cervello degli individui e collegabili in banda larga alla rete potenzieranno le capacità cognitivo-professionali anche degli operatori di questo settore che potranno quindi interagire e operare simbioticamente con l’intelligenza artificiale diventando, al contempo, parte della potenziale superficie d’attacco esposta. Una nuova sfida per la sicurezza cibernetica del futuro è già all’orizzonte.