L’utilizzo da parte delle imprese delle cosiddette “tecnologie di frontiera” (dall’Intelligenza Artificiale al 5G, dal Quantum Computing alla Realtà Estesa) comporta un cambio di paradigma anche nei sistemi di sicurezza informatica, ovvero nei sistemi di Cybersecurity.
Un tema, questo, ancora poco diffuso tra le aziende che stanno investendo in innovazione, che dimostrano di non dedicare “la giusta attenzione alle vulnerabilità che le tecnologie emergenti portano con sé”. È quanto emerge dallo studio “Innovating at speed at scale with implicit security”, realizzato da Accenture.
“Le tecnologie emergenti scardinano i paradigmi convenzionali in materia di cybersecurity, rendendo obsoleti gli schemi utilizzati fino ad oggi”, spiega Paolo Dal Cin, Accenture Security Lead per l’Europa. “Una mancata consapevolezza in tal senso può comportare danni considerevoli al business come anche alla società. È fondamentale quindi che tutte le organizzazioni, pubbliche e private, applichino strategie in grado di garantire quella che noi definiamo ‘implicit security’, ossia una sicurezza che risiede nel DNA stesso delle nuove soluzioni tecnologiche e che consente di progredire con l’adeguata protezione nell’irrinunciabile percorso di innovazione e di crescita”.
Indice degli argomenti
Tecnologie emergenti più diffuse, ma aumentano anche i rischi
Sulla crescente diffusione delle tecnologie innovative tra le imprese di tutto il mondo non c’è dubbio. Proprio lo studio di Accenture rileva come il 34% delle aziende intervistate nel 2019 abbia investito in favore di IA, 5G, Quantum Computing ed Extended Reality oltre 500 milioni di dollari (il 9% ha superato il miliardo di spesa).
A fronte di questo incremento consistente, resta ridotto (55%) il numero di Chief Security Officer che ritiene utile adottare politiche di sicurezza per la protezione delle tecnologie di Intelligenza Artificiale. La quota scende ancora di più se si fa riferimento alle altre 3 tecnologie: 36% per il 5G, 32% per la Realtà Estesa e 29% per il Quantum Computing.
Ma quali sono i principali rischi per la sicurezza informatica nell’adozione di queste tecnologie? Vediamoli nell’analisi di Accenture.
Per quanto riguarda l’IA, la principale minaccia è data da azioni volte ad assumere il controllo dei processi decisionali, le quali potrebbero influenzarli. Ci sono infatti nuove vulnerabilità introdotte dalle tecnologie di apprendimento automatico. Se da un lato non è ancora possibile definire con precisione cosa significhi rendere effettivamente sicuri e protetti i sistemi di IA, si sta cercando di mettere a punto nuovi criteri di protezione in ambiti in rapido sviluppo ed implementazione quali quello dell’assistenza sanitaria, del mercato finanziario e dei trasporti.
Sul fronte del 5G, il problema principale per le aziende in chiave di sicurezza sarà proprio il punto forte di questa tecnologia: il considerevole aumento del volume dei dati e della velocità delle informazioni. Dal momento in cui molti dispositivi sono collegati in una infrastruttura di rete veloce e a bassa latenza, una singola vulnerabilità riscontrata in una tipologia di device, o un eventuale errore di configurazione può esporre in brevissimo tempo un’enorme mole di dati, dando l’accesso a informazioni riservate o consentendo il controllo di un device.
Veniamo ora al Quantum Computing: se da un lato la crittografia quantistica è teoricamente sicura nella gestione delle informazioni grazie alla sua solida base nella meccanica quantistica, dall’altro le implementazioni iniziali potrebbero aprire scappatoie, consentendo a un intercettatore di compromettere la sicurezza di un sistema crittografico quantistico violando i presupposti dei protocolli fino ad arrivare a violare le loro proprietà di sicurezza.
Da ultimo, in tema di Realtà Estesa, si manifesta l’esigenza per le aziende di comprendere rapidamente quali sono i rischi informatici collegati alla XR. Per fare un esempio dei problemi che potrebbero affacciarsi, gli avatar potrebbero essere utilizzati per creare nuove forme di criminalità legata all’identità.
Le buone pratiche per la sicurezza di chi sceglie le nuove tecnologie
Quali sono quindi le proposte per affrontare il tema Cybersecurity rispetto alle nuove tecnologie? “Serve maggiore consapevolezza” dei rischi e il conseguente impegno nella protezione delle nuove tecnologie, è la risposta di Accenture. Elementi che solitamente crescono con il progredire dell’adozione di esse, ma nel frattempo l’azienda rimane esposta alle nuove vulnerabilità.
Ci sono però delle imprese virtuose, rinominate “alfa innovators”, che riescono ad adottare la nuova tecnologia senza ignorare l’importanza della sicurezza durante la transizione. Nel campione di Accenture, esse rappresentano il 28%, quindi più di una su 4. Questo beneficio è dato soprattutto dall’applicazione del principio di “security by design”, con cui i prodotti sono già concepiti in fase di progettazione per limitare le possibili vulnerabilità del sistema.
Negli “alfa innovators” coesistono la capacità di valutare il rischio e quella di intervenire preventivamente: è questa l’applicazione della strategia di “implicit security”, nella quale ricopre un ruolo fondamentale (per costruire un’adeguata cultura della sicurezza nell’organizzazione) la collaborazione tra il Chief Information Security Officer (CISO) e i responsabili delle altre unità aziendali (CXO).
Ecco, riassunte, le buone pratiche degli “alfa innovators” così come individuate da Accenture:
- Lavorare su più tecnologie: non rinunciare a investire nell’adozione di tutte le tecnologie emergenti (IA, 5G, Quantum Computing e XR)
- Cultura del rischio: valutare tutti i rischi per la sicurezza all’inizio del ciclo di adozione, comprendendo la loro entità e le implicazioni per sviluppare un piano che riduca le vulnerabilità all’origine
- Collaborazione: impegnarsi a creare una collaborazione agile, dove tutti i dipartimenti cooperino tra loro, contribuendo a evolvere costantemente il livello di sicurezza e stare al passo con l’innovazione
- Cultura dell’innovazione: far crescere e diffondere la cultura dell’innovazione attraverso la formazione dei dipendenti o l’acquisizione di competenze dall’esterno
- Pervasività: garantire l’adeguata protezione alle tecnologie emergenti per tutto il loro ciclo di vita