da Hardware Upgrade :
In che direzione sta andando la cybersicurezza? Quali misure possono adottare le aziende per difendersi dai cyberattacchi sempre più frequenti? Quale ruolo ha e avrà l’IA nell’aiutare le aziende? A queste e altre domande abbiamo cercato una risposta alla UK Cyber Week, evento alla sua prima edizione che ha avuto luogo a Londra e che ha visto la partecipazione di esperti britannici e internazionali, nonché delle principali aziende che si occupano di cybersicurezza.
La cybersicurezza aziendale alla UK Cyber Week
L’esperto con cui abbiamo passato più tempo è Len Noe, che si occupa da tempo di parlare dei rischi associati ai biohacker e alla scarsa attenzione riservata al tema della riservatezza dei dati. Abbiamo pubblicato un articolo con l’intervista completa.
Abbiamo parlato con Peter Murray, principal technical architect in GitHub, per capire meglio come l’azienda veda CoPilot, il suo strumento che fa uso dell’IA per generare codice. Murray ha immediatamente chiarito un punto: CoPilot non punta a rimpiazzare le persone, ma ad aiutarle. L’IA non è in grado di generare in autonomia codice perfetto, né è questo l’obiettivo di GitHub; stando a Murray, GitHub non intende creare prodotti di questo tipo nemmeno in futuro, per quanto ci sia una forte richiesta da parte delle aziende. CoPilot è uno strumento che permette di velocizzare la scrittura di documenti a basso valore aggiunto e consentire agli sviluppatori di concentrarsi su altro; l’esempio che ci ha fatto (con dimostrazione in tempo reale) è quello della scrittura di un Dockerfile, che porta via tempo ma non dà in realtà grande valore aggiunto all’azienda (e allo stesso sviluppatore).
Abbiamo sollevato il problema del rispetto del copyright e dell’uso di codice open source. Secondo Murray, CoPilot è un modello non deterministico che non riproduce il codice verbatim, ma impara e riproduce codice così come potrebbe fare una persona. Ciò significa che non è diverso dall’avere una persona che legge codice e poi lo riproduce. La dottrina del copyright è in realtà piuttosto chiara a questo proposito e afferma che riprodurre codice ispirato a quello di terzi non è sempre lecito (motivo per cui, ad esempio, ci sono limitazioni sui progetti open source che tentano di reimplementare software chiusi: gli sviluppatori di ReactOS, ad esempio, sono tenuti a non visualizzare mai codice di Windows perché ciò potrebbe costituire un problema legale). Murray si è detto comunque contento del fatto che ci sia attualmente un contenzioso legale in merito, perché in questo modo si può stabilire un precedente che aiuterà lo sviluppo di questo settore specifico.
Holly Grace Williams, managing director presso Akimbo Core, ha tenuto una presentazione sulle difficoltà nell’effettuare penetration testing correttamente e sul fatto che una comunicazione efficace tra cliente e tester sia fondamentale per raggiungere i risultati desiderati. Abbiamo sollevato il problema di effettuare i test in ambienti IoT e OT e Williams ci ha detto che il problema principale dell’IoT sta nel fatto che i dispositivi sono spesso trascurati dai produttori dopo il lancio e per questo costituiscono un problema di sicurezza significativo. Effettuare i test di penetrazione non è dunque un problema in tale ambito: il problema è rendere sicuri i dispositivi, anche vista la reticenza di molti produttori a intervenire a tal proposito. Il mondo OT è, invece, problematico sotto molti diversi punti di vista: da un lato c’è il fatto che sono in pochi ad avere le competenze per effettuare i test e c’è dunque una carenza in termini di offerta sul mercato, dall’altro c’è il problema di intervenire sul software che controlla i macchinari e che, quindi, può portare a malfunzionamenti con possibili conseguenze gravi (Williams cita l’esempio di sistemi idraulici: cosa succede se il test manda fuori controllo una valvola che porta a un’esplosione?). Il mondo OT è molto più complesso rispetto a quello IT proprio per via del legame diretto con il mondo fisico e con le possibili conseguenze al suo interno, dunque c’è ancora molto lavoro da fare per rendere l’OT più sicuro, a partire dalla formazione degli specialisti.
Gli esperti di Tessian, azienda che si occupa di sicurezza delle email, ci hanno invece raccontato come i cybercriminali stiano evolvendo sempre più le proprie tattiche per raggiungere il maggior successo possibile nelle email di phishing. Tra le scoperte più significative fatte dall’azienda troviamo l’inserimento volontario di errori grammaticali e di battitura. Se il timore con l’avvento di ChatGPT e di altre forme di IA generativa è che i testi delle email di phishing diventino estremamente difficili da riconoscere perché non conterranno più errori significativi, secondo Tessian l’inserimento di tali errori è invece volontario perché permette di effettuare una scrematura a priori delle vittime. In ultima analisi, i criminali vogliono ottenere il miglior risultato nel minor tempo possibile e ciò significa evitare di impiegare del tempo in una conversazione che non porta a un pagamento. Le persone che si accorgono degli errori (sintattici, grammaticali o di battitura) sono statisticamente meno inclini a cadere nelle trappole del phishing e risultano quindi una perdita di tempo per i malfattori, motivo per cui inserire volontariamente gli errori porta a scremare queste persone lasciando, invece, quelle meno attente e quindi più inclini a cascare nelle truffe.
Si è parlato molto anche della necessità di formare il personale e di farlo in maniera tale non solo da rispettare i requisiti, verificando le conoscenze con test il cui valore è discutibile, ma da dare alle persone conoscenze e competenze reali. Dall’altro lato, la formazione dev’essere accompagnata dall’uso di strumenti che ricordino alle persone i giusti comportamenti in maniera discreta e che non intralci il loro lavoro: ad esempio, mostrando delle note all’invio di email verso indirizzi esterni a quello aziendale, o chiedendo se si vuole davvero aprire un collegamento verso un sito esterno alla intranet.
Il tema generale che è emerso è che le minacce sono sempre più sofisticate e difficili da contenere, e che sono proprio le persone a costituire sia l’anello debole della catena, sia quella che è in ultima analisi l’ultima linea di difesa. Investire nelle persone è dunque la strategia più sensata, per quanto comunque tutti concordino sul fatto che sia anche necessario dotarsi dei corretti strumenti.