Con l’aumento del ricorso all’intelligenza artificiale (AI) i CISO (Chief Information Security Officer) ricoprono un ruolo fondamentale nella sua implementazione e adozione. È necessario quindi che siano preparati a fronteggiare i rischi associati alla creazione di contenuti di intelligenza artificiale, nonché le minacce alla sicurezza da parte degli autori degli attacchi. Seguendo alcune importanti best practice saremo meglio preparati ad accogliere in tutta tranquillità i nostri nuovi “Mr. Robot” in azienda!
L’AI sta crescendo rapidamente! La popolarità di ChatGPT ha suscitato un enorme interesse per il potenziale dell’AI generativa e molte aziende la stanno implementando in tutta la propria organizzazione. L’intelligenza artificiale è diventata molto diffusa e si sta muovendo più velocemente di qualsiasi altra tecnologia che io abbia mai visto.
Esistono diversi casi d’uso interessanti per l’AI generativa in azienda:
· Creazione di contenuti: strumenti come ChatGPT aiutano i redattori di contenuti nella formulazione di schemi e bozze, consentendo loro di risparmiare tempo e lavoro.
· Apprendimento e formazione: strumenti di intelligenza artificiale adeguatamente addestrati possono essere utilizzati per comprendere in modo rapido argomenti nuovi e complessi, sintetizzando grandi quantità di informazioni, rispondendo a domande e spiegando concetti complicati con un linguaggio semplice.
· Supporto al coding: strumenti come GitHub Copilot e OpenAI API Service possono aiutare gli sviluppatori a scrivere un codice in modo più efficiente e a identificare gli errori nelle query.
· Supporto al prodotto e alle operations: gli strumenti possono essere utilizzati per preparare in maniera ottimale i report e gli annunci più frequenti, come ad esempio la risoluzione dei bug.
Rischi e sfide Tuttavia, ci sono delle sfide da superare, come ad esempio il fatto che l’utilizzo dell’intelligenza artificiale possa dover essere in linea con leggi e regolamenti a livello internazionale.
All’inizio di quest’anno, OpenAI ha temporaneamente bloccato l’uso di ChatGPT in Italia dopo che l’autorità italiana per la protezione dei dati ha accusato l’azienda di raccogliere illegalmente i dati degli utenti. Nel frattempo, le autorità di regolamentazione tedesche stanno verificando se ChatGPT aderisce al regolamento generale sulla protezione dei dati (GDPR). A maggio, il Parlamento europeo ha fatto un passo avanti verso l’emanazione delle prime norme sull’uso dell’intelligenza artificiale.
Un’altra sfida per i CISO è rappresentata dai rischi legati alla raccolta dei dati e alla divulgazione accidentale di informazioni personali o proprietarie. Le aziende devono proteggere le informazioni riservate e assicurarsi di non essere copiate da altre aziende e individui che utilizzano i loro stessi strumenti. Abbiamo già avuto notizia dell’inserimento di proprietà intellettuale in sistemi di AI generativi pubblici, il che potrebbe avere un impatto sulla capacità di un’azienda di difendere i propri brevetti. Un servizio di trascrizione e registrazione di appunti alimentato dall’intelligenza artificiale riproduce qualsiasi materiale condiviso nelle chiamate Zoom che monitora.
La terza grande sfida per i CISO è che il software di cyberattacco alimentato dall’AI possa sperimentare diversi attacchi e imparare dal modo in cui rispondiamo a ciascuno di essi, adeguando rapidamente le proprie tattiche nell’elaborare una strategia di successo, il tutto a una velocità di gran lunga superiore a quella di qualsiasi attacco umano. Abbiamo assistito a nuovi e sofisticati episodi di phishing che utilizzano l’intelligenza artificiale, tra cui la possibilità di impersonare individui sia per iscritto che a voce. Ad esempio, è stato scoperto che uno strumento di intelligenza artificiale chiamato PassGAN, acronimo di Password Generative Adversarial Network, è in grado di decifrare le password in modo più rapido ed efficiente rispetto ai metodi tradizionali.
I CISO e l’intelligenza artificiale
In qualità di CISO aiutiamo i nostri manager a creare una strategia organizzativa che fornisca linee guida per l’utilizzo dell’AI e tenga conto degli aspetti legali, etici e operativi. Se impiegata in modo responsabile e con un’adeguata struttura di governance, l’AI generativa può offrire alle aziende vantaggi che vanno dai processi automatizzati a soluzioni ottimizzate.
Creare una strategia AI completa
Le nuove tecnologie come l’AI generativa offrono grandi opportunità. Ma comportano anche dei rischi. Una strategia AI completa garantisce privacy, sicurezza e compliance e deve prendere in considerazione:
· i casi d’uso in cui l’AI può fornire i maggiori benefici
· le risorse necessarie per implementare l’AI con successo
· un quadro di governance per gestire la sicurezza dei dati dei clienti e garantire la conformità alle normative e alle leggi sul copyright in ogni Paese in cui si opera
· valutare l’impatto dell’implementazione dell’AI su dipendenti e clienti
Una volta che la vostra organizzazione avrà valutato e dato priorità ai casi di utilizzo dell’AI generativa, è necessario stabilire una governance per i servizi di AI come ChatGPT le cui componenti comprenderanno la definizione di regole per la raccolta e la conservazione dei dati e la creazione di policy per mitigare il rischio di bias, anticipare i modi in cui i sistemi possono essere abusati e mitigare i danni che potrebbero causare, se usati in modo improprio.
La strategia di intelligenza artificiale di un’azienda dovrebbe riguardare anche il modo in cui i cambiamenti apportati dall’automazione dell’AI influenzeranno i dipendenti e i clienti. Le iniziative di formazione dei dipendenti possono aiutare a garantire che tutti comprendano come queste nuove tecnologie stiano cambiando i processi quotidiani e come gli attori delle minacce possano già utilizzarle per aumentare ulteriormente l’efficacia dei loro attacchi di social engineering. I team che si occupano di customer experience devono valutare in che modo i cambiamenti derivanti dall’implementazione dell’intelligenza artificiale potrebbero influire sull’erogazione dei servizi offerti ai clienti, in modo da potersi adattare di conseguenza.
AI e sicurezza
Un processo per stabilire e mantenere forti standard di sicurezza dell’AI è fondamentale. Sono necessari dei parametri specifici di protezione per il suo funzionamento, come ad esempio il modo in cui il servizio di intelligenza artificiale preleva i contenuti e cosa fa con le informazioni che gli vengono fornite.
Gli strumenti di AI devono essere progettati tenendo conto della potenza degli avversari. Attualmente lo vediamo fare in laboratorio per migliorare l’addestramento, ma farlo nel mondo “reale”, contro un nemico sconosciuto, deve essere la cosa più importante, soprattutto in contesti militari e nelle infrastrutture critiche.
Poiché gli hacker guardano con attenzione all’intelligenza artificiale, la vostra azienda deve pianificare e preparare la difensiva fin da ora. Ecco alcune misure da prendere in considerazione:
1. Assicuratevi di aver eseguito la verifica del codice del vostro software di rilevamento di bug, malware e anomalie di comportamento. Le “scansioni” delle firme cercano solo ciò che è noto, mentre questi nuovi attacchi sfrutteranno tecniche e strumenti sconosciuti.
2. Quando monitorate i vostri accessi, usate l’intelligenza artificiale “per combattere l’intelligenza artificiale”. Machine Learning security log analysis è un ottimo modo per cercare pattern e anomalie. Può incorporare infinite variabili per cercare e produrre intelligenza predittiva, che a sua volta fornisce azioni predittive.
3. Aggiornate la vostra formazione sulla cybersecurity per adeguarla alle nuove minacce, come il phishing alimentato dall’AI e le vostre policy di cybersecurity per contrastare i nuovi strumenti di AI per il cracking delle password
4. Continuate a monitorare i nuovi casi d’uso dell’AI, compresa l’AI generativa, per essere all’avanguardia rispetto ai rischi emergenti.
Questi passaggi sono fondamentali per creare fiducia nei dipendenti, partner e clienti e per capire se state salvaguardando adeguatamente i dati che li riguardano.
Prepararsi al futuro
Per rimanere competitivi è essenziale che le aziende adottino tecnologia di AI salvaguardandosi dai potenziali pericoli. Grazie alle misure che verranno assunte oggi le aziende saranno in grado di sfruttare appieno i vantaggi dell’AI, riducendo i rischi al minimo.
A cura di Gail Coury, Vicepresidente e CISO di F5