Il metaverso sta arrivando e prima di quanto si possa pensare. Gartner prevede che entro il 2026 un quarto delle persone trascorrerà almeno un’ora al giorno nel metaverso. Questa è un’ottima notizia per le aziende in quanto sbloccherà nuovi modelli di business e modalità di lavoro che aggiungeranno valore in modi che al momento possiamo solo immaginare.
Come afferma Accenture, il metaverso “trasformerà il modo in cui le aziende interagiscono con i clienti, come viene svolto il lavoro, quali servizi e prodotti offrono, come li producono e li distribuiscono e come gestiscono le loro organizzazioni“.
Tuttavia, dal punto di vista della sicurezza aziendale, il metaverso è una sfida. La maggior parte delle aziende oggi ha difficoltà nel proteggere i dati e l’infrastruttura di cui dispone già. Nel mondo multidimensionale del metaverso, questo diventerà esponenzialmente più difficile.
Il metaverso è un bersaglio che si sta ancora muovendo. Dal punto di vista del suo ciclo di vita di sviluppo siamo, più o meno, in una fase simile a come lo eravamo all’inizio degli anni ’90 per Internet. Ma a differenza degli anni ’90, oggi abbiamo un’idea migliore del tipo di minacce che possono emergere nei potenti ecosistemi digitali, e ciò significa che possiamo essere molto più preparati per ciò che verrà dopo.
La chiave è iniziare ora, con uno sforzo a livello di settore, a discutere le sfide del metaverso e mitigarle prima che diventino un problema.
Quali rischi porterà il metaverso? Molte persone riconosceranno le stesse sfide alla sicurezza che le organizzazioni digitali devono affrontare oggi. Il metaverso vedrà sfide simili, ma adattate alle diverse forme di coinvolgimento, interazione e accesso che derivano da ambienti virtuali immersivi.
Credo che ci siano quattro domande fondamentali che tutti i CISO (Chief Information Security Officer) e i team tecnologici dovrebbero porsi oggi sul metaverso. Proviamo a dare le risposte giuste.
Metaverso, protezione dati e tutela della proprietà intellettuale: risvolti giuridici
Indice degli argomenti
Proteggere le informazioni personali (e altri dati sensibili)
Considerare la necessità di proteggere le informazioni di identificazione personale (PII) è già un requisito urgente per le aziende, in particolare alla luce di normative come il California Consumer Privacy Act (CCPA) negli Stati Uniti, il Regolamento generale sulla protezione dei dati (GDPR) in Europa e la legge cinese sulla protezione delle informazioni personali (PRPL).
Il metaverso non modifica gli obblighi delle imprese di proteggere le PII come stabilito in tali leggi. Ciò che fa, tuttavia, è aumentare esponenzialmente la quantità di PII e altri dati sensibili che le organizzazioni raccoglieranno, archivieranno e gestiranno per fornire esperienze “metaverso”.
Gran parte di questi dati proverrà da tecnologie che consentono il blurring digitale/fisico che definisce il metaverso, come dispositivi biometrici, speaker/microfoni intelligenti e visori per realtà virtuale.
La governance dei dati, la sicurezza degli endpoint, la sicurezza della rete e molto altro saranno significativamente più importanti con la proliferazione delle PII e tali capacità devono essere fornite in modo da non rallentare le prestazioni della rete sottostante.
Dopotutto, un metaverso in ritardo e instabile perderebbe rapidamente abbonati.
Come autenticare gli utenti
Un’altra sfida che conosciamo bene dalle attuali tecnologie aziendali è come verificare le identità delle persone quando accedono a servizi digitali sensibili, come applicazioni bancarie o reti aziendali.
Oggi, ciò avviene spesso tramite l’autenticazione a più fattori, ma l’approccio non funzionerà nel metaverso. Stiamo entrando in un mondo di avatar che popoleranno gli ambienti 3D in tempo reale.
Non è pratico che una persona abbandoni la sessione virtuale e si tolga il visore per completare una transazione di autenticazione nel mondo reale. Le aziende e le organizzazioni del settore pubblico avranno quindi bisogno di metodi infallibili per essere sicuri che l’avatar di una persona sia controllato da quella persona e che l’avatar non sia stato contraffatto o “falsificato”.
In che modo gli utenti saranno in grado di dire se questa è davvero l’altra parte con cui si aspettano di interagire? E come potremo fidarci del flusso di queste identità tra le varie piattaforme del metaverso?
Ci sono diversi modi in cui ciò potrebbe essere fatto. Ad esempio, stanno emergendo una serie di approcci che utilizzano la biometria per costruire una linea di base di comportamenti e manierismi degli utenti che sono unici per gli individui, come le impronte digitali, e che possono essere utilizzati per avvisare automaticamente i team di sicurezza nel caso in cui l’avatar di un utente si comporti in modo anomalo.
Altri potenziali approcci potrebbero implicare l’utilizzo del riconoscimento del modello dell’iride per collegare un avatar unico a un visore VR individuale o l’inclusione di identificatori crittografati univoci negli avatar per proteggersi dalla contraffazione.
E poiché questa tecnologia continua ad evolversi, verranno identificati altri meccanismi e approcci.
Proteggere gli utenti da bullismo, molestie e sfruttamento
Oggi, le parti più oscure delle piattaforme dei social media sono inondate di aggressività, bullismo, molestie e sfruttamento. Non c’è motivo di pensare che questi danni non influiranno anche sul metaverso.
Tuttavia, come esperienza 3D immersiva, gli effetti psicologici di tale comportamento saranno probabilmente ancora più strazianti per le vittime. Gli avatar sono estensioni dell’utente e strettamente collegati all’identità di quella persona. Per molte persone, un’esperienza nel metaverso sembrerà reale quanto una nella vita quotidiana. Questo lo sarà ancora di più quando innovazioni come guanti tattili e meccanismi di feedback tattile porteranno la sensazione del tatto nel metaverso.
Anche in questa fase nascente del metaverso, stanno emergendo sfide significative. Ad esempio, a seguito delle lamentele di utenti donne della piattaforma Horizon Worlds, secondo cui i loro avatar erano stati molestati, Meta Platforms ha introdotto un “confine personale”, che pone una protezione attorno ai suoi avatar.
Tutte le aziende dovrebbero considerare quali sono i confini tra il mondo fisico e quello virtuale, il dovere di attenzione che devono agli utenti e il modo migliore per bilanciare la sicurezza degli utenti con l’usabilità del metaverso.
Ma cosa succede se ci sono vulnerabilità nel codice e i confini possono essere compromessi? Quale responsabilità avrà l’azienda, se questo meccanismo di sicurezza dovesse fallire?
In definitiva, la risoluzione di questo problema richiederà una legislazione chiara su ciò che non è consentito nei regni digitali insieme alla capacità di controllare le nuove leggi. Ma come può essere governato e sorvegliato? Chi sarà l’autorità centrale dal momento che questi ambienti attraversano i confini giurisdizionali, per non parlare delle piattaforme del metaverso?
Tuttavia, le aziende possono aiutare con i propri team di moderazione, proprio come fanno ora per i contenuti offensivi sulle piattaforme dei social media.
Inoltre, come stabilisce questa opinione del World Economic Forum, una soluzione risiederà anche nel “trovare modi per incentivare comportamenti migliori e forse premiare le interazioni positive”.
Come gestire questo tipo di superficie di attacco in rapida crescita
La maggior parte delle organizzazioni oggi condivide l’opinione che la proliferazione dei dispositivi, la crescita dei dati e la crescente superficie di attacco siano sfide importanti. Il metaverso non farà che aumentare questa sfida.
Come accennato, il metaverso verrà fornito con un’ampia gamma di hardware associato che sarà collegato alle reti aziendali, ciascuna vulnerabile a modo suo e tutte bisognose di supervisione e gestione della sicurezza. Tuttavia, le organizzazioni (e i loro team di sicurezza) dovranno anche pensare a proteggere il cervello umano, che nel metaverso diventa anche parte della superficie di attacco.
È ormai assodato che le persone sono spesso l’anello più debole per la sicurezza di un’organizzazione e, in effetti, il social engineering rappresenta la causa della maggior parte delle violazioni di successo. In mondi virtuali immersivi sarà più facile manipolare psicologicamente e diffondere disinformazione che i criminali potrebbero utilizzare in vari modi nefasti. Ad esempio, il metaverso di Sensorium Corp è già stato utilizzato per diffondere disinformazione sui vaccini.
Oggi, formare le persone sulle minacce alla sicurezza e su come evitare di cadere nelle trappole tese dagli attaccanti è importante tanto quanto mettere in atto solide protezioni informatiche.
Nel futuro del metaverso, è probabile che tale formazione dovrà includere tecniche e programmi di resilienza psicologica su come individuare comportamenti manipolativi o coercitivi.
In ogni momento, le persone dovrebbero sentirsi supportate e in grado di segnalare tutto ciò che non sembra giusto.
La protezione del metaverso inizia fin d’ora
Le domande di cui sopra sono solo alcune delle sfide che arriveranno con il metaverso ed è bello vedere che alcuni le stanno già affrontando.
Ce ne sono molte altre, come prevenire l’uso improprio dei mondi virtuali da parte dei terroristi (il metaverso costituirebbe un terreno di addestramento altamente efficace per potenziali attacchi) e combattere gli schemi di frode che prendono di mira le risorse virtuali (la frode NFT è, dopo tutto, già una realtà). Ma i leader aziendali non dovrebbero considerare nessuna di queste sfide come una ragione per non esplorare il metaverso.
Non commettete errori, è probabile che il metaverso avrà un impatto sul mondo tanto grande quanto lo ebbe Internet. Le aziende che non lo considereranno probabilmente dovranno lottare per competere negli anni a venire.
Tuttavia, è urgente che il settore della sicurezza si riunisca ora in uno sforzo collaborativo per discutere le soluzioni alle numerose sfide che ci attendono. Non solo, credo che noi, professionisti della sicurezza informatica e del rischio digitale, siamo i più preparati a questo punto per guidare le nostre organizzazioni attraverso queste sfide e per supportare l’agenda digitale per la nostra organizzazione, industria e società in generale.
Sappiamo che sarà un ambiente difficile e complesso, ma abbiamo già una grande esperienza che possiamo sfruttare e applicare e abbiamo del tempo per prepararci.
Più facciamo ora e più domande ci poniamo, maggiori sono le possibilità che il metaverso offra il massimo beneficio con il minimo rischio.
