Un approccio Interdisciplinare alla Cybersecurity – Intervista a Stefano Zanero
Intervista a Stefano Zanero, Information Security Consultant and Researcher, Politecnico di Milano
Oggi si parla sempre più di intelligenza artificiale, che per chi lavora ad alti livelli nel suo campo è già una realtà quotidiana: quali ritiene gli scenari in cui risulterà più rivoluzionaria la sua progressiva implementazione per il “grande pubblico” e quali, invece, le principali minacce che ne deriveranno?
Quello che oggi chiamiamo intelligenza artificiale è, in sostanza, una serie di applicazioni avanzate del cosiddetto machine learning sostenute da una potenza di calcolo elevata. Nella security queste tecnologie si utilizzano già da tempo – pensiamo ai meccanismi di analisi delle transazioni finanziarie, o alle attività di ricerca di alert e anomalie – ma ora dispongono di un incremento di velocità e potenza. Le nuove sfide si pongono in tema di accesso: l’aumentata intelligenza degli strumenti aiuterà gli umani a gestire elevati volumi di dati (e dei relativi permessi), così come risulterà preziosa nell’analisi del malware e dei cosiddetti “meccanismi comportamentali”, dove l’analisi delle firme statiche rivela da tempo la sua inefficiacia. Le principali vulnerabilità stanno nel cosiddetto adversarial machine learning, tradizionale nemico degli algoritmi d’intelligenza artificiale, che darà vita a specifiche classi di attacco finora mai sperimentate su larga scala; ma ho fiducia che la ricerca sia già al lavoro per sviluppare meccanismi di reazione a queste nuove minacce.
Uno dei suoi settori di specializzazione è la sicurezza delle transazioni bancarie e finanziarie, tradizionalmente nel mirino dei bad actors appartenenti al mondo del crimine economico digitale. Attualmente la prevalenza del ricorso al mobile anche per questo tipo di operazioni apre, però, a inedite e preoccupanti possibilità di attacco. Concorda? Come si combattono i sofisticati malware rivolti a tecnologie che milioni di persone usano quotidianamente senza essere informati dei relativi rischi?
Oltre al massiccio utilizzo su dispositivi mobili degli strumenti finanziari tradizionali, c’è da considerare il passaggio a sempre più diffusi sistemi di pagamento peer-to-peer che azzerano l’intermediazione. Questo non significa meno sicurezza di per sé, anzi; strumenti più semplici rappresentano un miglioramento anche sul piano della prevenzione. A preoccupare nell’ottica della sicurezza sono alcuni temi specifici – legati ad esempio all’ispezionabilità dei dispositivi mobili – e il mondo IoT, dove per natura gli effetti di eventuali attacchi risultano anche meno visibili: se ho un malware sul Pc prima o poi me ne accorgo, ma se lo ho nel termostato di casa potrei non saperlo mai.
Esiste una responsabilità congiunta quanto al promuovere consapevolezza su questi nuovi rischi. Già chi sviluppa le applicazioni (e credo che da questo punto di vista molto stia già cambiando) deve affrontare la questione, considerando la sicurezza elemento imprescindibile nello sviluppo dei software sin dalle fasi di design: in questo senso risultano fondamentali la ricerca sulle vulnerabilità e l’analisi in prospettiva dei potenziali attacchi – in sintesi, tutto ciò che si fa rientrare nella generica definizione di offensive security. In secondo luogo la user experience dev’essere progettata e realizzata con attenzione, soprattutto adesso che l’ampliamento delle possibilità di utilizzo dei dispositivi – una per tutte, la trasformazione degli smartphone in strumenti di pagamento contactless – moltiplica le possibilità che gli utenti cadano in trappola.
Lei sostiene che quando si lavora con la cybersecurity è necessario un approccio interdisciplinare, caratterizzato dalla cooperazione di esperti e operatori multisettoriali. Può spiegarci meglio questa affermazione?
Gli elementi della cybersecurity sono variegati e i suoi campi di applicazione pressoché sterminati: andiamo dagli strumenti più banali e quotidiani alle questioni che riguardano la sicurezza degli Stati, come quelle legate al controllo delle esportazioni degli armamenti. A titolo di esempio, torniamo ai sistemi di pagamento: per ideare un sistema ottimale servono molte specializzazioni, dagli informatici, agli esperti di comunicazione, ai designer. Un altro esempio è l’analisi dei dati: cercare gli attacchi e sviluppare algoritmi di intelligenza artificiale che se ne occupino è compito degli informatici (che non necessariamente sono anche esperti di security) ma quelle informazioni, per essere utili all’utente, andranno anche rappresentate graficamente in un modo efficace (al Politecnico esiste il laboratorio Density Design, con un team di colleghi bravissimi che lavorano in questa direzione). Vengono poi presi in esame aspetti giuridici e legali, psicologici, etici; uno dei più grandi esperti di sicurezza informatica del pianeta, Dan Geer, tempo fa disse che quella a cui apparteniamo sarebbe stata l’ultima generazione di esperti di sicurezza “generalisti”, perché il mercato avrebbe imposto una sempre maggiore specializzazione e integrazione tra le differenti competenze: interdisciplinarietà significa precisamente questo.
Collaborando, in qualità di esperto in materia di sicurezza cyber, a numerosi progetti internazionali volti alla tutela delle infrastrutture critiche, come valuterebbe lo stato di preparazione e avanzamento – italiano ed europeo – rispetto alle potenziali vulnerabilità di questi asset fondamentali, anche rispetto alle potenziali minacce terroristiche di cui possono essere bersaglio?
Parliamo di un settore complesso, dove oggettivamente non credo esista uno Stato che possa dirsi al sicuro. In Italia ultimamente vedo aspetti confortanti – una certa attenzione governativa al coordinamento in materia di sicurezza, nomina di esperti, costituzione di gruppi specializzati – ma c’è ancora molto lavoro da fare, soprattutto perché la frammentazione del nostro tessuto industriale rende difficile la necessaria partnership tra pubblico e privato.
Più specificamente sul cyberwarfare, non ritengo che si tratti di un dominio di guerra nel senso tradizionale: le aggressioni con strumenti cibernetici perseguono più che altro finalità di spionaggio o si occupano di quello che viene definito electronic warfare (per intenderci, ciò che l’Aeronautica fa da sempre con gli strumenti per sopprimere i radar, ad esempio). In questo senso, non ci si può illudere che non vengano sfruttate risorse tecnologiche nuove per fare ciò che gli Stati hanno sempre fatto. Nella prospettiva di potenziali attacchi preoccupa di più che l’elemento cyber aggiunga simmetria tra attori statali e non, modificando i potenziali scenari di conflitto: la diffusione della tecnologia rende possibile – per la prima volta nella storia – che i cosiddetti non-State actors abbiano accesso a strumentazioni altamente distruttive, in precedenza prerogativa degli armamenti nazionali.
A cura della Redazione