Il fenomeno ChatGPT è entrato a fare parte della nostra esperienza privata e lavorativa. Ma quali sono le implicazioni in ambito sicurezza e come attivare una strategia di protezione realmente efficace?
Secondo Cyber Guru, società italiana che offre programmi di formazione per la security awareness, le persone sono la prima e più importante barriera difensiva di un’organizzazione. Se l’intelligenza generativa permette agli hacker di perpetrare attacchi più numerosi e sofisticati, l’adozione di comportamenti corretti e consapevoli è l’arma più potente a disposizione delle aziende.
Per sconfiggere il nemico e mitigare i rischio, occorre attivare quindi un percorso di apprendimento permanente rivolto all’intera popolazione aziendale, come spiegano i manager della società.
Indice degli argomenti
L’importanza del fattore umano per la sicurezza IT
«Operiamo nell’ambito della sicurezza informatica – esordisce Maria Luisa Baciucco, Marketing Director Italia della società -, ma da una prospettiva differente rispetto allo specialista della cybersecurity. Nel 2017, attraverso l’esperienza vissuta da una grande banca italiana, abbiamo percepito dalle aziende un’esigenza di security awareness, già all’epoca molto sentita. Nonostante gli investimenti per implementare soluzioni di difesa adeguate, infatti, molto spesso il comportamento improprio dei dipendenti va a minare tutti gli sforzi tecnologici. Le persone infatti diventano involontariamente la chiave per accessi malevoli e il nostro obiettivo è formare alla popolazione per creare maggiore consapevolezza sui rischi del mondo digitale. Oggi chiaramente questo argomento è molto più conosciuto: tutti ci siamo resi conto che non solo le organizzazioni, ma noi stessi, innanzitutto come persone ma anche come lavoratori, possiamo diventare veicolo di attacco».
Gli incidenti IT sono attualmente al centro dell’attenzione mediatica ed è noto che molto spesso dietro agli attacchi ci sia un errore commesso involontariamente da una persona. «Il fattore umano – aggiunge Baciucco – diventa l’anello debole della catena, che può compromettere l’intero sistema di sicurezza aziendale».
Secondo il Clusit, come riporta Simona de Rubis, Social Media Manager di Cyber Guru, il 73% delle aziende italiane non effettua corsi di formazione per sensibilizzare il personale interno, affinché maturi la capacità di riconoscere una situazione rischiosa (ad esempio, una email malevola), evitando di commettere azioni imprudenti.
Le nuove minacce dell’intelligenza generativa
Nel panorama già poco rassicurante appena descritto, si inseriscono anche le sfide portate dalle nuove tecnologie AI.
«ChatGPT – prosegue la Marketing Director -, così come gli altri sistemi basati sull’artificial intelligence, rappresenta un’ulteriore vulnerabilità, che gli attaccanti possono sfruttare facendo leva sulla mancanza di awareness».
Le potenzialità dell’intelligenza generativa sono sbalorditive, ma altrettanto importanti sono i rischi connessi a un utilizzo malevolo della tecnologia. «La capacità di ChatGPT – continua De Rubis – di creare contenuti e scrivere codice può essere sfruttata per sviluppare malware con una facilità incredibile. Tutti gli indizi che oggi possono permetterci di riconoscere un messaggio di phishing, probabilmente non varranno più perché l’intelligenza generativa può scrivere testi in modo molto più accurato e credibile rispetto agli hacker umani, che spesso non sono propriamente degli esperti».
Insomma, il pericolo di “cascarci” è sempre più alto.
ChatGPT e la globalizzazione del phishing
«In generale – afferma Baciucco – la tecnologia non presenta rischi, ma sono le modalità di utilizzo a essere potenzialmente dannose. ChatGPT è in grado di comunicare in moltissime lingue, con elevata accuratezza. Oggi invece le email di phishing sono spesso scritte da hacker stranieri con un italiano scorretto e pertanto sono facilmente identificabili. Con l’intelligenza generativa, gli attacchi potrebbero diventare veramente worldwide, cioè stiamo assistendo alla ”globalizzazione del phishing”. Chiunque ad esempio potrebbe scrivere perfettamente una mail in lingua straniera, con toni ed espressioni credibili, e provare ad attaccare una società estera».
La personalizzazione estrema dei messaggi
Inoltre, come sottolinea De Rubis, gli algoritmi possono essere addestrati per riprodurre esattamente il modo di scrivere ed esprimersi di una determinata persona (ad esempio il Ceo o un un collega), rendendo molto difficile il riconoscimento di un messaggio malevolo. La capacità di “personalizzare” i testi rappresenta sicuramente un bel passo avanti per migliorare le tecniche di social engineering.
«Una differenza importante rispetto al passato, prosegue De Rubis, è che il testo non viene scritto dall’essere umano nella lingua nativa e quindi tradotto dal software in altri idiomi. Con l’intelligenza generativa, il messaggio viene elaborato direttamente nella lingua di destinazione, in base alle istruzione fornite dall’utente. Insomma, non si tratta più di una traduzione grossolana, con tutti gli errori di grammatica e sintassi a cui normalmente siamo abituati».
Chiunque potrà perpetrare un attacco
«Gli attacchi – aggiunge Baciucco – diventeranno veramente appannaggio di chiunque e quindi molto più numerosi. Probabilmente, la portata rivoluzionaria dell’intelligenza generativa permetterà di perpetrare attacchi anche a piccoli gruppi di hacker meno conosciuti. Ciò comporterà un inevitabile incremento delle minacce, visto che ai nomi noti della criminalità informatica si affiancheranno anche tante organizzazioni minori. Già in precedenza, il mercato del malware as-a-service aveva portato alla ribalta nuovi attori del cybercrime; ChatGPT e applicazioni affini acquiranno ulteriormente la tendenza».
Velocità e focalizzazione come fattori critici di difesa
Così, mentre il numero degli attacchi e le potenzialità dei criminali aumentano, la velocità di intercettare le nuove minacce diventa un fattore sempre più critico. Come fa notare Baciucco, se prima il processo di identificazione del malware con conseguente rilascio delle patch di sicurezza, avveniva in tempi “umani”, oggi il proliferare degli attacchi dovuto all’intelligenza artificiale detta ritmi forsennati.
Gli hacker dispongono di mezzi molto potenti per rilevare le vulnerabilità e scrivere codice malevolo, pertanto lo scenario si complica: gli attacchi aumenteranno in quantità, sofisticazione e tipologia. Insomma, l’allerta è continua e non c’è tempo da perdere.
«Si crea anche un rumore più ampio – sostiene De Rubis -. Se gli attaccanti e gli attacchi proliferano, sarà più difficile focalizzare la linea di difesa. Un’azienda può subire più attacchi contemporaneamente e bisogna capire su quale concentrare la risposta in prima battuta. Ecco perché in uno scenario così critico, diventa fondamentale aumentare la consapevolezza dei dipendenti e instillare delle buone pratiche di sicurezza. Bisogna evitare di esporre la propria persona e conseguentemente l’intera organizzazione a ulteriori rischi, a causa di distrazioni e comportamenti incauti. Occorre che tutte le aziende accelerino il passo verso una maggiore consapevolezza delle persone, soprattutto la Pubblica Amministrazione che si sta muovendo molto lentamente in merito».
Come trasformare il comportamento delle persone
Ma come attuare una corretta strategia di prevenzione?
«Innanzitutto – ricorda Baciucco – bisogna trasformare i comportamenti umani: l’approccio mentale di “pensare prima di agire” deve diventare un’abitudine consolidata. I nostri corsi di formazione ovviamente forniscono tutti gli strumenti necessari per diventare consapevoli dei rischi e padroneggiare le buone pratiche di sicurezza, ma è soprattutto il mindset che deve cambiare, altrimenti la conoscenza da sola non basta».
La proposta formativa di Cyber Guru pertanto è strutturata come un percorso di apprendimento permanente, non soltanto perché il mondo della criminalità informatica è in continua evoluzione e serve rimanere aggiornati, ma soprattutto perché le persone abbiano la possibilità di assimilare correttamente sia la metodologia sia l’attitudine.
«Abbiamo sviluppato – conclude Baciucco – moduli e percorsi formativi in grado di trasformare veramente il comportamento delle persone perché fossero più attente nel compiere determinate azioni. È esattamente alla stessa stregua di un esercizio matematico: si possono fornire al discente tutti gli strumenti per risolvere un’equazione, ma poi bisogna capire come applicare le conoscenze acquisite e deve subentrare il ragionamento».
Contributo editoriale sviluppato in collaborazione con Cyber Guru
