Come è entrata l’IA nel mondo della sicurezza informatica? Risorsa contro gli attacchi o pericolo mortale per aziende e interi paesi? Lo abbiamo chiesto a Simone Barison, fondatore di CyberSa
Durante la prima giornata del festival dell’innovability “Impatta Disrupt” presso la Casa del Cinema di Roma, si è tenuto uno dei tavoli più interessanti e cruciali per definire il quadro attuale dell’innovazione: “Il potenziale italiano tra Intelligenza Artificiale e sicurezza informatica”. Il terreno d’incontro tra l’utilizzo delle IA e la sicurezza, è un tema decisivo per lo sviluppo del nostro paese, non a caso discusso da esperti, politici, manager e addetti ai lavori in una sessione del festival intitolata “Il futuro tra spazi e dati”.
A margine dei lavori, per approfondire il discorso, abbiamo incontrato uno dei relatori: Simone Barison, fondatore di CyberSa, realtà che offre consulenze alle aziende sulla sicurezza digitale e la protezione dei dati.
Barison, siamo a un quarto del ventunesimo secolo. Parlando di innovazione l’argomento sul tavolo in questi ultimi anni è l’intelligenza artificiale: la novità che ha invaso tanti campi della nostra vita. Che impatto ha avuto finora nel campo della sicurezza dei dati?
È una domanda che non ha un’unica risposta, estremamente complicata e alla quale, in questo momento, non c’è una risposta. Oggi non sappiamo dove l’intelligenza artificiale potrà arrivare. Non sappiamo nemmeno come è fatta, perché noi italiani ed europei non siamo coinvolti nell’ingegnerizzazione e nella generazione dell’IA. Noi, come Stato e come Unione Europea, siamo un regolamentatore: decidiamo che cosa potrebbe esserci nell’IA, cosa potrebbe passare, cosa potrebbe essere generato; ma non abbiamo una competenza specifica del suo funzionamento intrinseco. Sicuramente – e se ne parla tanto – oggi l’IA viene utilizzata come strumento per migliorare e velocizzare gli attacchi; quindi l’utente malevolo la utilizza come supporto per scrivere un nuovo malware o trovare una nuova vulnerabilità su un sistema o un cliente.
Ovviamente può essere utilizzata anche al contrario: per velocizzare e migliorare la predizione e l’analisi degli attacchi che arrivano. Quindi può migliorare il lavoro di prevenzione: quello dei SOC, Security Operation Center, o NOC, Network Operation Center. risposta. Come specialisti di cyber security dovremmo interessarci sicuramente al funzionamento dell’IA. Oggi ci occupiamo dei dati che immettiamo nell’IA: dove vanno, chi li conserva, quante volte vengono lanciati da qualche altra parte. Questo è un tema di cui ci dovremmo occupare nel prossimo biennio, se non vogliamo restare alla mercè di qualcun altro.
“Qualcun altro” sono degli stati, o gruppi di persone “malevole”?
Oggi, nella pratica, sono sicuramente degli stati a creare e ingegnerizzare una IA; è sotto gli occhi di tutti. Da una parte la Cina, dall’altra gli Stati Uniti dove il più grosso creatore di IA è molto vicino alla presidenza della nazione. La Cina per noi è una scatola nera, una black box: non sappiamo esattamente che cosa succede a livello governativo, imprenditoriale, di ricerca, sviluppo ecc. D’altronde l’IA viene anche utilizzata dagli stati. La cyber war è un tema: molte delle guerre che si combattono hanno anche lo spazio cibernetico come campo di battaglia. Una volta si andava in guerra con i cavalli e la fanteria; oggi andiamo con aerei stealth e cyber security. Questa è l’innovazione; purtroppo anche bellica. Chi la utilizza? Ancora non lo sappiamo di preciso. Perciò anche questa è una domanda che purtroppo non ha una risposta univoca.
Finora gli attacchi informatici ai sistemi di difesa si operavano via computer… con la tastiera, perciò sempre con strumenti in mano a qualcuno che li adopera. Ma l’IA – questa potrebbe essere la novità – potrà decidere autonomamente se essere malevola? Oppure anche questo, seppure più avanzato, è uno strumento che dipende dalla mano che lo muove?
È uno scenario “bucolico”: nel senso che stiamo parlando di qualcosa che oggi non riusciamo ad immaginare con questa precisione. Mi sembrano cose adatte più a una cinematografia “alla Blade Runner” piuttosto che alla realtà. Sicuramente siamo di fronte a uno scenario in cui – se non viene attuata una giusta regolamentazione e un giusto utilizzo, con un’etica e una cultura adeguate – stiamo mettendo in comunicazione tra loro dati che potrebbero essere veramente distruttivi. L’intelligenza artificiale sarà in grado di prendere vita da sola? Un esempio: qualche settimana fa è successo qualcosa che nessuno si aspettava; una IA, per la prima volta ha battuto il campione mondiale di scacchi facendo una mossa non prevista, totalmente fuori dagli schemi e mai giocata prima. Che una IA pensi e agisca mettendo in pratica una mossa nuova – quindi aggiungendo il concetto di creatività – sta effettivamente facendo nascere dei dubbi sul fatto che l’IA stia cominciando a imparare veramente bene quello che noi gli insegniamo. Il tema è proprio questo: che cosa insegniamo all’intelligenza artificiale? Oggi, se gli facciamo guardare un telegiornale, gli stiamo insegnando veramente male.
Negli anni passati, spesso CyberSA ha portato all’attenzione il tema della consapevolezza del problema della sicurezza informatica a livello imprenditoriale e soprattutto delle amministrazioni pubbliche; lamentando lassismo, mancanza di investimenti e, appunto, di consapevolezza del problema. Avete notato un miglioramento? Un’attenzione maggiore alla sicurezza dei dati? O ai manager occorre ancora fare educazione digitale?
Apriamo un tema che purtroppo viene da lontano. Negli anni ’80 abbiamo imparato che se guidiamo un’autovettura con la cintura di sicurezza e facciamo un incidente, forse ci salviamo. Abbiamo imparato a mettere dentro il volante un airbag: un bel cuscino che si apre e mi salva la faccia dallo sbattere il capoccione e subire conseguenze molto gravi. Più indietro, milioni di anni fa, dove si differenziò l’Uomo? Nell’utilizzo della parola, e nella percezione del rischio e del pericolo. L’Uomo di Neanderthal vedeva il leone, capiva che era un pericolo e scappava. Tutto ciò che riguarda il “cyber mondo” – quindi tutto ciò che non è direttamente tangibile – è di difficile spiegazione; di difficile comprensione. Se non capiamo qual è il pericolo, difficilmente prendiamo le contromisure necessarie. Oggi siamo esattamente in questo scenario: abbiamo perso gli ultimi trent’anni a preoccuparci di come costruire servizi, ma non che cosa ci fosse “dentro” quei servizi. Perché non avevamo – e continuiamo a non avere – la percezione del pericolo che corriamo nell’utilizzare dei servizi poco difesi. C’è veramente poca attenzione all’ambito degli attacchi.
Un software dovrebbe nascere sicuro di default. Queste sono linee guida scritte vent’anni fa; non due giorni fa. Eppure abbiamo continuato a costruire software e servizi basandoci sulla regola del produrre il più in fretta possibile, per poterli utilizzare il più in fretta possibile. La fretta in questo caso non è una buona consigliera. Ripeto l’esempio della cintura di sicurezza: ci abbiamo messo quindici anni a convincere le persone a metterla. Tanta gente ancora oggi gira senza cintura di sicurezza o senza seggiolino per i bambini… sappiamo tutti a che si va incontro. Oggi ancora non sappiamo a che cosa si va incontro quando si subisce un attacco informatico. È un grandissimo problema culturale e di evoluzione dell’essere umano. Perché purtroppo tutti oggi abbiamo in tasca un telefono, un tablet, un pc; abbiamo tutti i nostri dati in cloud. I nostri figli – nativi digitali – utilizzano un telefono già a sei o sette anni. A prescindere dal concetto etico del dare o non dare ai bambini uno smartphone – anche io sono genitore di tre figli – li esponiamo a tutto quello a cui sono esposto anch’io. È un problema culturale.
