Lezioni di cybersecurity: Navigare il Triangolo delle Bermuda del rischio della GenAI

Intelligenza artificiale generativa: dirompente, potenziale, destinata a rimanere

Dopo lo sbarco dirompente dell’IA generativa sul mercato, circa un anno e mezzo fa, questa tecnologia ha continuato a far parlare di sé in modi ed estensioni che innovazioni come il metaverso, l’intelligenza artificiale classica o la blockchain non sono riusciti a pareggiare.

Per le altre tecnologie, infatti, per quanto abbiamo potuto osservare un interesse inizialmente esplosivo ed entusiastico, raramente questo è stato seguito da un impegno economico e di ricerca proporzionato, o tassi d’adozione in così rapida crescita. Se a fine 2022 rimanevamo estasiati di fronte a pochi esempi prodigiosi (e difficili da comprendere) di IA generativa, la tecnologia è sempre più presente sul mercato oggi, con livelli di maturità altrettanto stupefacenti.

Ce lo dicono anche i grandi attori del settore: da ChatGPT a Google Gemini, da Bing AI a DALL-E 3, Github Copilot e Microsoft Copilot, l’IA generativa trova già applicazione in soluzioni competitive, usabili ed estetiche. Tecnologie per le quali ciascuno di questi attori ha investito anche decine di miliardi di dollari, per un potenziale valore complessivo generato di trilioni.

Complice il suo essere open-source, facilmente utilizzabile e dall’intrigante potenziale, l’IA generativa si inserirà progressivamente negli assortimenti di portfolio, nell’offerta concorrenziale, all’interno dei processi aziendali e perfino nel più bacino di utenza ampio, degli utenti individuali di massa. Per questo motivo, dotarsi di una cybersecurity efficace, flessibile e al passo con i tempi diventa di primaria importanza, nella commodificazione dell’IA generativa.

Cybersecurity e GenAI: un Triangolo delle Bermuda di rischi

Specialmente in settori come quello dell’Information Technology, le aziende si troveranno progressivamente a costruire, implementare e interagire con sistemi di IA generativa: che si tratti di un servizio di un fornitore, una soluzione del proprio portfolio o tecnologie adottate dai clienti. Infatti, se lo sviluppo di competenze in ambito di IA generativa potrebbe sembrare un investimento competitivo e d’avanguardia oggi, non passerà molto prima che questo diventi una necessità.

Oltre a essere una soluzione competitiva da inserire nel portfolio di offerta, l’IA generativa ha anche il potenziale di rivoluzionare il modo di fare azienda, ottimizzando anche i processi interni. Specialmente nel caso degli LLM (e più recentemente anche degli SLM), la tecnologia rappresenterà un valido alleato per automatizzare e ottimizzare i processi ripetitivi, permettendo alle risorse delle varie funzioni di concentrarsi su attività più gratificanti e stimolanti.  Dal reparto di design a quello delle vendite, passando per marketing e IT: il supporto dell’IA generativa sarà in grado di creare valore nascosto, nell’ottimizzare i reparti aziendali più diversi.

Come abbiamo già avuto modo di osservare in un contenuto dedicato, l’implementazione di sistemi di IA generativa all’interno della struttura aziendale si presenta con non poche complessità. A seconda delle direzioni scelte, le aziende dovranno calibrare, personalizzare e accordare l’IA generativa ai sistemi preesistenti e la governance, per garantire il giusto equilibrio tra sviluppo e responsabilità, per generare valore aggiunto proteggendo le strutture e le risorse durante il processo. La cybersecurity aziendale sarà quindi chiamata in prima in linea nella trasformazione verso l’azienda generativa, in quanto sarà la responsabile dell’eticità, della privacy e del corretto utilizzo di questa risorsa innovativa.

Ma se tanto è il potenziale creativo, altrettanto è quello distruttivo: con nuove forme e modalità per la creazione dei contenuti più vari (testo, immagini, audio, ma anche codice) ad alto livello di sofisticatezza, si moltiplica anche il rischio informatico, che assume nuove forme, identità, e portata. Questo è dovuto a tre componenti sensibili che complicano l’implementazione di una GenAI sicura, creando un Triangolo delle Bermuda di rischi informatici dove trovare la rotta giusta sembra quasi impossibile.

Gartner^®: Predicts 2024: AI & Cybersecurity – Turning disruption into an opportunity

Nel report “Predicts 2024: AI & Cybersecurity – Turning disruption into an opportunity (Previsioni 2024: IA e sicurezza informatica – Trasformare la disruption in opportunità) Gartner prevede che “l’IA rivoluzionerà la sicurezza informatica in modi positivi, ma creerà anche molte disillusioni nel breve termine. I leader di sicurezza e gestione del rischio devono accettare che il 2023 sia stato solo l’inizio per l’IA generativa, e prepararsi alle sue evoluzioni”.

Gartner sottolinea quattro punti chiave:

• “L’IA generativa (GenAI) è l’ultima di una lunga serie di tecnologie proclamate disruptive e che promettono di avverare il desiderio continuo delle imprese di aumentare le metriche di produttività in tutti i team attraverso l’automazione dei task;
• Attualmente, le funzionalità GenAI integrate nei prodotti di sicurezza si concentrano sull’aggiunta di interfacce di linguaggio naturale ai prodotti esistenti per migliorarne efficienza e usabilità, anche se ci sono già le prime promesse di un’automazione completa. Tentativi passati per l’automazione completa di attività di security complesse, tra cui l’impiego di tecniche di Machine Learning, raramente si sono dimostrati interamente di successo e possono rappresentare una distrazione dispendiosa oggi, con disillusioni da prevedere nel breve periodo;
• GenAI è al culmine dell’hype e questo genera previsioni aggressive, basate sullo stato attuale della tecnologia. Questo porta a considerazioni di disruption irrealistiche, oltre a ignorare i prossimi step nell’evoluzione dell’IA generativa, come i modelli multimodali e l’IA composita;

La comparsa dei primi di vendor di cybersecurity nell’offerta dell’IA generativa offrono solo uno scorcio del potenziale di questa tecnologia, e potrebbero non rappresentare un’immagine accurata di come il futuro potrebbe essere”.⁽¹⁾

Rischio 1: Un hacking sempre più facile, ottimizzato, accessibile

Una delle maggiori leve che hanno permesso un’adozione così estesa di tecnologie di intelligenza artificiale generativa è stata la natura open-source dei modelli, che permette a potenzialmente qualsiasi utente di accedere, modificare, ed espandere la GenAI.

Se questo è vero in senso positivo, lo è anche dal punto di vista del rischio informatico. L’IA generativa si è confermata come un nuovo e potente strumento anche per le attività di hacking, aprendo la possibilità di svolgere attività malevole a un bacino più ampio di utenti, includendo anche quelli meno esperti. Allo stesso modo, gli hacker più esperti possono sfruttare le capacità dell’IA generativa per ottimizzare e automatizzare i propri attacchi, migliorando le proprie attività di hacking tradizionale.

La diffusione delle attività di hacking che cavalcano l’onda della GenAI risente positivamente anche di un contesto regolamentare e/o normativo che fatica a tenere il passo con i tempi esponenziali della diffusione di questa tecnologia: ne è palese dimostrazione l’approvazione dell’AI Act, la prima legge in materia di GenAI, avvenuta solamente questo marzo. Questo ha permesso e permette agli hacker (di qualsiasi livello) di proliferare nella penombra di un ambiente de-regolamentato o poco regolamentato.

Rischio 2: attacchi più credibili e di qualità

Spostandoci verso un’area di rischio informatico più vicina all’ingegneria sociale, le criticità sono dovute alla funzionalità offerte, a oggi, dall’IA generativa: generazione, elaborazione e classificazione di testo e dati nei vari formati, abilità di chatbot e programmazione sono solo alcuni esempi di cosa può “produrre” una GenAI.

Queste capacità possono essere sfruttate per rifinire e aumentare la qualità di attacchi come quelli di spoofing, phishing, o basati sulla creazione di contenuti malevoli. Questi diventano sempre meno distinguibili (anche da parte della cyber intelligence aziendale) dai contenuti genuini, aumentando l’efficacia di attacchi volti, per esempio, alla raccolta di password o informazioni riservate. 

Rischio 3: Le sfide poste da una tecnologia in continua evoluzione

Un’ultima area di rischio con cui la cybersecurity aziendale deve e dovrà fare i conti interessa un livello forse più conoscitivo della tecnologia, ovvero se e quanto l’azienda e le sue risorse sono in grado di operare un utilizzo opportuno e corretto dell’IA generativa, in modo che questa non costituisca anche un rischio per l’azienda e gli stakeholder.

Ciascuna funzione aziendale avrà prerogative, necessità e modalità di utilizzo diverso dei modelli generativi: se marketing potrebbe farne uso per la content generation, il reparto di design potrebbe impiegarla per ispirare nuovi progetti. Potrebbe anche essere utilizzata come strumento di diagnostica del codice o di altri aspetti legati all’operatività aziendale, o ancora per svolgere attività di R&D elevate alla seconda.

A ciascuna di queste prospettive adottate dalle risorse che di volta in volta fanno uso dell’IA generativa corrispondono rischi informatici diversi, dall’esfiltrazione dei dati a ransomware, dall’adversarial machine learning a potenziali danni reputazionali. In questo senso, un’altra brutta notizia per la cybersecurity è che l’IA generativa è ancora poco trasparente e spiegabile. Questo, unito alla difficoltà nel rimanere aggiornati sulle continue evoluzioni della molteplicità di modelli attualmente presenti, rendendo ulteriormente difficile garantire un equo trattamento di informazioni e dati talvolta sensibili, o che i prodotti di GenAI non contengano falso-positivi ed errori.

Come ritrovare la rotta? 5 buone pratiche di cybersecurity per una GenAI sicura

Come ritrovare la rotta in questo Triangolo delle Bermuda di rischi? Come trovare la rotta giusta per orientare la trasformazione aziendale verso l’IA generativa? Inquadrare il potenziale creativo di una tecnologia così dirompente in un sistema interno ed esterno protetto non è un’impresa impossibile, per le aziende che si faranno trovare pronte su una serie di priorità:

1. Espandere rapidamente la conoscenza tecnica della GenAI, promuovendo una formazione interna (ma anche rivolta agli stakeholder, se necessario) continuamente aggiornata e di qualità. Questa formazione può e dovrebbe essere integrata da use cases pertinenti alle varie funzioni e contesti di utilizzo aziendale della tecnologia;
2. Osservare i sistemi di cybersecurity correntemente in uso e rivalutarli alla luce delle nuove tipologie di attacco informatico ed espedienti di hacking resi possibili dalla GenAI;
3. Creare, rivedere, e aggiornare continuamente policy interne per il corretto utilizzo della tecnologia da parte delle varie funzioni, per garantire alle risorse gli strumenti, le modalità e la struttura necessaria a svolgere le proprie attività in sicurezza;
4. Se si acquistano soluzioni di IA generativa o pacchetti di servizi tra i quali è inclusa, informarsi attentamente sulle modalità di gestione, applicazione e funzionamento della stessa per valutarne i livello di sicurezza e rischio potenziale. Lo stesso ragionamento è applicabile anche nel caso di partnership o collaborazioni con terzi che adoperano IA generativa;
5. Esplorare la possibilità di applicare modelli di IA generativa anche alle tecnologie di riconoscimento di attacchi e contenuti informatici malevoli, trasformandola da rischio a potente alleato di cybersecurity.

Seguendo questi accorgimenti iniziali, sarà meno problematico trovare un accordo tra cambiamento innovativo e sviluppo responsabile, per accedere al livello successivo proteggendo l’azienda e le proprie persone dagli attacchi informatici.

⁽¹⁾ Gartner, Predicts 2024: AI & Cybersecurity — Turning Disruption Into an Opportunity, By Jeremy D’Hoinne, Avivah Litan Et. Al., 4 December 2023

GARTNER è un marchio registrato e un marchio di servizio di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti d’America e a livello internazionale, ed è ivi utilizzato previa autorizzazione ufficiale. Tutti i diritti riservati.