Minacce 2030
A cura di Corrado Giustozzi
Nel complesso momento storico in cui stiamo vivendo, nel quale la minaccia cibernetica cresce vertiginosamente, sia in quantità che in qualità, e gli avversari sfruttano sistematicamente ogni nuovo sviluppo tecnologico per condurre attacchi sempre nuovi e sempre più sofisticati, è importante ragionare sulle tendenze evolutive del fenomeno per cercare di anticiparne gli scenari futuri, così da non farci cogliere impreparati da sviluppi imprevisti o inattesi.
A ciò ha pensato ENISA, l’Agenzia dell’Unione europea per la cybersecurity, che già due anni fa aveva svolto un’interessante analisi prospettica presentandone i risultati in un rapporto intitolato “Identifying Emerging Cyber Security Threats and Challenges for 2030” pubblicato a marzo 2023. Recentemente, a marzo 2024, ENISA ha pubblicato una nuova versione del rapporto, aggiornandolo alla luce di tutto ciò che è successo nell’ultimo anno. È quindi interessante andare a vedere quali sono le indicazioni del nuovo rapporto, e gli scenari da esso delineati.
Ricordiamo che ENISA aveva prodotto il suo rapporto precedente analizzando diversi scenari evolutivi, grazie all’adozione di una metodologia sistematica e alla collaborazione di molti esperti internazionali. Il risultato era consistito in una lista ragionata delle dieci principali minacce alla cybersecurity da qui al 2030. Quella “Top Ten”, con le minacce elencate in ordine decrescente di pericolosità, era così composta (i nomi sono quelli originali per evitare traduzioni arbitrarie):
- Supply chain compromise of software dependencies
- Advanced disinformation campaigns
- Rise of digital surveillance authoritarianism / loss of privacy
- Human error and exploited legacy systems within cyber-physical ecosystems
- Targeted attacks (e.g. ransomware) enhanced by smart device data
- Lack of analysis and control of space-based infrastructure and objects
- Rise of advanced hybrid threats making use of different and unforeseen modus operandi (e.g. disinformation)
- Skill shortage
- Cross border ICT service providers as a single point of failure
- Abuse of AI
Come si vede, due anni fa la principale preoccupazione degli esperti si concentrava su uno degli aspetti di rischio collegato alla supply chain, in particolare quello della compromissione delle dipendenze software tra soggetti posti lungo la medesima filiera produttiva. Si tratta infatti di una vulnerabilità sistemica estremamente pericolosa, che può causare effetti devastanti e ad ampio raggio: ed il timore è che in futuro possa essere sfruttata in modo molto più sistematico di quanto non lo sia stata sinora nei relativamente pochi casi noti.
Al secondo posto si trovavano le campagne di disinformazione massive, condotte con tecniche avanzate quali i deep fake e le reti di utenti fittizi sui social network. Data la tendenza delle persone ad informarsi sempre meno su fonti ufficiali, e sempre più tramite le proprie “bolle” personali sulle reti sociali, queste campagne mirate potrebbero facilmente spostare l’opinione pubblica e, ad esempio, condizionare gli esiti di elezioni politiche o orchestrare movimenti popolari.
Guardando invece agli ultimi posti della classifica del rapporto precedente è interessante notare come la carenza di competenze, su cui praticamente tutti gli osservatori puntano il dito come uno dei fattori critici che condizionano in senso negativo lo sviluppo dell’Europa digitale, fosse solo al terz’ultimo posto; e il rischio di abusi nell’utilizzo dell’intelligenza artificiale addirittura all’ultimo.
Il lavoro di revisione condotto da ENISA per produrre l’aggiornamento del rapporto al 2024 è consistito nella rivalutazione di tutti gli scenari di rischio considerati nella precedente analisi, compresi quelli che non erano entrati nella Top Ten, aggiungendovi nuove minacce introdotte nel frattempo dagli esperti alla luce delle evoluzioni più recenti.
Il risultato, pubblicato sotto forma di semplice aggiornamento e non di rapporto completo, ha portato ENISA a stilare una nuova classifica: nella nuova edizione quindi alcune minacce hanno cambiato leggermente nome in funzione di una loro migliore definizione, alcune sono proprio uscite dall’elenco ed altre ne hanno preso il posto. La nuova Top Ten 2024 è dunque la seguente, nella quale le voci in neretto sono quelle che non erano presenti nella precedente versione 2023 (i titoli sono sempre in originale):
- Supply chain compromise of software dependencies
- Skill shortage
- Human error and exploited legacy systems within cyber-physical ecosystems
- Exploitation of unpatched and out-of-date systems within the overwhelmed cross-sector tech ecosystem
- Rise of digital surveillance authoritarianism / loss of privacy
- Cross-border ICT service providers as a single point of failure
- Advanced disinformation / influence operations (IO) campaigns
- Rise of advanced hybrid threats
- Abuse of AI
- Physical impact of natural/environmental disruptions on critical digital infrastructure
Analizziamo e commentiamo dunque rapidamente questa nuova classifica.
Innanzitutto, come si vede, il tema della compromissione della supply chain rimane saldamente al primo posto, confermandosi come lo scenario più preoccupante da qui alla fine del decennio. Inaspettatamente, invece, balza al secondo posto la carenza di competenze, che viene percepita come sfida cruciale per le sorti della digitalizzazione a tutto tondo. Le vulnerabilità dei sistemi legacy negli ecosistemi cyber-fisici salgono al terzo posto, scalzando il rischio di derive autoritarie nell’uso delle tecnologie di sorveglianza che scende alla quinta posizione.
Il quarto posto è ora occupato dalla prima delle due new entry, che riguarda il rischio costituito dalla presenza, in quegli ecosistemi tecnologici posti trasversalmente a diversi settori industriali, di sistemi obsoleti e non aggiornati/ aggiornabili. L’altra riguarda invece l’impatto fisico delle perturbazioni ambientali sulle infrastrutture digitali, comparsa al decimo posto. Provenienti entrambe dalle posizioni fuori classifica dello studio precedente, queste due voci riflettono la crescente consapevolezza sulle vulnerabilità sistemiche associate ai sistemi obsoleti, e sui potenziali “effetti domino” che dal dominio fisico possono riverberarsi su quello cibernetico.
Le due categorie escluse dalla Top Ten di quest’anno riguardano la perdita di controllo su oggetti e infrastrutture del segmento spaziale, e gli attacchi amplificati da dati provenienti da dispositivi “smart”: si tratta in entrambi i casi di minacce puntuali e immediate, che come si vede hanno lasciato il posto a rischi di maggior portata e soprattutto multi-dominio.
Da notare infine come la minaccia costituita dalle campagne di disinformazione e influenza sia scesa al settimo posto, dal secondo che occupava l’anno scorso; mentre è interessante notare come il rischio di abuso dell’IA sia ancora in coda, anche se salito di una posizione, nonostante il gran clamore anche mediatico sorto durante l’ultimo anno attorno a tutto ciò che riguarda l’intelligenza artificiale.