L'analisi

Risk assessment, l’evoluzione della specie. Ma l’IA ci salverà

L’individuazione e l’analisi dei rischi si fa sempre più complessa. Una missione quasi impossibile. Le stesse compagnie di assicurazione hanno ormai diffilcoltà a valutarli. Così l’Intelligenza artificiale potrà darci una mano

Pubblicato il 21 Giu 2023

Alessandro Curioni

Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity - Data Protection

vulnerability assessment

Oggi si può affermare con discreta certezza che qualsiasi organizzazione orienta le sue scelte e il suo modus operandi sulla base del rischio. Almeno così dovrebbe essere secondo qualsiasi norma cogente, standard o best practice di una certa rilevanza.

Per quanto il concetto stesso di rischio possa un’interpretazione in sia in positivo sia in negativo, possiamo dire che la seconda è quella prevalente e se ci riferiamo all’ambito della sicurezza è anche l’unica.

Questo ha comportato lo sviluppo e la progressiva diffusione di una varietà enorme di metodologie concepite per analizzare e valutare il rischio in diversi contesti e in un futuro molto prossimo ognuna di esse rischia, per diverse ragioni, di rivelarsi inadeguata, nella migliore delle ipotesi, o fallace, nella peggiore.

Zero Trust in ambito OT: come mitigare la debolezza dei sistemi industriali basati sulla fiducia

Le metodologie e la sfida della grande convergenza

Il processo che interconnetterà tutte le tecnologie digitali sembra irreversibile. Il mondo delle reti IT e OT, dell’universo rappresentato dall’IoT e da ambiti, che molti considerano dei domini a sé stanti come quello della mobilità, stanno rapidamente convergendo, producendo il sistema più complesso che il genere umano abbia mai creato.

Dal punto della sicurezza sia esse fisica o logica si manifesta una proliferazione di minacce e vulnerabilità senza precedenti, a fronte di un perimetro i cui contorni vanno sempre più rapidamente sfumando.

In questo gioca un ruolo chiave la complessità delle supply chain e dei prodotti/servizi che essa fornisce. Un esempio emblematico è il settore dell’automotive in cui l’auto da semplice mezzo di trasporto si sta trasformando in una piattaforma di molteplici servizi.

In questo ambito convergono come minimo i car-maker, le utilities, le società di telecomunicazioni, gli operatori finanziari per i sistemi di pagamento, i gestori delle infrastrutture stradali, gli erogatori di servizi accessori e di intrattenimento. Ognuno di essi trascina con sé una filiera di fornitori immensa e capire “chi è responsabile della sicurezza di cosa” non è cosa banale.

In questa situazione pensare di svolgere quell’attività preliminare a un’analisi dei rischi che consta nell’identificazione del perimetro potrebbe atterrire qualsiasi risk manager, che avrebbe una seria difficoltà anche soltanto a rispondere alla semplice domanda: “Quale è l’asset che devo prendere in considerazione?”

Se le definizioni non bastano più

Tanto potrebbe bastare a mettere in crisi la stragrande maggioranza delle metodologie che definisco “asset-centriche”.

Le stesse definizioni base fornite da molti standard di riferimento potrebbero non reggere alla prova dei fatti. La descrizione contenuta nella ISO 27002, riferimento per information e IT security, per cui l’asset è qualunque cosa abbia un valore per l’organizzazione soffre di un “eccesso di applicabilità” nel quadro della grande convergenza.

Anche il precisare che, nello specifico, si parla di informazioni e attività e processi di business come beni primari aiuta poco, soprattutto perché quelle che poi sono indicati come asset di supporto comprendono hardware, software, network, il personale e, come, e peraltro si chiarisce che si tratta solo di esempi.

Gestione dei rischi in ambito OT: come affrontarli nei diversi settori

Se invece guardiamo al mondo OT e alla ISA IEC 62443, rileviamo che vengono presentati concetti come “Zone”, ovvero un insieme di asset logici e fisici raggruppati sulla base del rischio o di altro criterio (criticità asset, collocazione, funzionalità, etc.) e di “Conduit”, cioè un insieme di canali di comunicazione che condividono dei requisiti di sicurezza comuni connettendo due o più zone.

La norma definisce quindi “System Under Consideration” l’insieme delle Zone oggetto dell’analisi di rischi. Una visione che al massimo può consentire un’analisi dei rischi che potremmo definire “locale” o “di progetto”, ma molto lontana dal poter offrire una visione adeguata a un’intera organizzazione.

Si tratta di due esempi che, però, visti nella prospettiva della grande convergenza dicono qualcosa di molto importante: pensare di analizzare i rischi con metodologie che garantiscano un’alta granularità sarà impossibile per la vacuità del perimetro e per una seconda e fondamentale ragione.

Informazioni: avere tutto è come avere niente?

Dopo una battaglia durata millenni, finalmente il genere umano può affermare che fondamentale nessuna informazione va perduta. Le tecnologie dell’informazione ci stanno permettendo di conservarle tutte o quasi, tanto che da anni siamo entrati nell’era dello Zettabyte ovvero 1021 byte.

Di questi ordini di grandezza parliamo quando si parla di dati oggi: alcune unità sono quelli che circolano in rete, mentre di quelli esistenti si misurano già in decine o, secondo alcuni, in centinaia.

Entro pochi anni potremmo fare il salto nell’universo dello Yottabyte (1024). Avere tutte le informazioni è non di rado equivalente a non averne alcuna. Si verificano così situazioni che paiono assurde come l’impossibilità dichiarata dal mondo assicurativo di effettuare un’adeguata valutazione del rischio per definire il premio assicurativo di una polizza cyber.

Ma se le informazioni ci sono tutte, come è possibile? Perché mancano quelle “giuste” o forse ci sono, ma non si sa dove trovarle, perché gran parte degli zettabyte che conserviamo sono basi dati destrutturate o disperse e non connesse.

Zero Trust in ambito OT: come implementare una soluzione ZTA

L’eccesso di informazioni all’interno di organizzazioni complesse, per contro, finisce per spingere chi si occupa di analizzare i rischi a delle semplificazioni per fare in modo che tempi e costi dell’attività sia compatibili con le esigenze dei diversi stakeholder siano essi di business o autorità di controllo. In questo caso si fornisce un quadro macroscopico, ma che può essere poco attendibile.

In fondo per mettere in ginocchio un’intera azienda può bastare un clic nel posto sbagliato. Siamo alle prese con un circolo vizioso in cui un perimetro sfumato produce sempre più dati e interconnessioni, trascinandoci in una complessità non analizzabile, almeno da noi esseri umani

L’IA e la tolleranza del rischio

La risposta, però, sembra oggi a portata di mano. L’impressione che hanno suscitato in tutto il mondo le imprese di ChatGPT lasciano presagire che gestire la complessità sia possibile, mettere insieme il puzzle da un miliardo di pezzi che è l’analisi e la valutazione del rischio potrebbe non essere impossibile. In fondo potremmo concentrarci sui rischi che attengono soltanto all’intelligenza artificiale e poi delegare.

Un sistema adeguatamente addestrato, con pieno accesso a tutte le informazioni dell’organizzazione e a una certa quantità, anche molto grande, di fonti OSINT potremmo fare un lavoro straordinario.

Su questo possiamo avere pochi dubbi, ma dovremmo accettare un rischio, molto preciso e nemmeno tanto piccolo: non essere più in grado di capire e valutare le “ragioni per cui” a causa di quella che comune si definisce come l’opacità dell’algoritmo. Questo potrebbe portare a una conclusione paradossale, come è stato notato da molti analisti di intelligence, per cui i decisori dovranno sviluppare una maggiore tolleranza al rischio di sbagliare.

Non si può dire che alla storia della tecnologia manchi il senso dell’ironia.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati