Ciao a tutti, la scorsa settimana ho avuto la possibilità di fare un webinar dal titolo "AI Generativa in Azienda: un nuovo fronte di attacco?" alla community di CSA - Cyber Security Angels, “…un gruppo di persone d’Azienda solitamente ICT & Security Manager, costituito per creare una rete di conoscenze dirette al fine di far fronte comune alle problematiche nascenti sul fronte della Cyber Security”
L’obiettivo era di parlare di come l’AI Generativa ponga nuove sfide alla sicurezza dei sistemi informativi delle aziende, perfettamente in linea con il mio motto "Enjoy AI, responsibly!"
Però non smettete di leggere pensando che sia un argomento troppo tecnico, riguarda chiunque abbia un minimo di responsabilità in un'azienda.
Di seguito quindi trovate un riassunto (AI Assisted in questo caso) del mio intervento e alla fine il link con il webinar per chi volesse approfondire.
La presenza nascosta dell'AI nelle organizzazioni
Immaginate di scoprire che una nuova figura, altamente qualificata ma mai ufficialmente assunta, stia lavorando nei vostri uffici. I vostri colleghi la contattano in remoto in base alle capacità che dichiarano di avere nel loro ‘curriculum’, gli passano i loro problemi quotidiani, uniti ai dati necessari a risolverli, e si aspettano risposte puntuali che in molti casi non leggono nemmeno e le trasformano in attività.
Questa è la situazione attuale con l'AI in molte aziende. Chi mi conosce mi sa quanto mi piaccia paragonare le AI Generative a degli stagisti iper-qualificati che entrano in azienda e sono a disposizione di tutti. Secondo recenti studi, fino al 50% degli utenti che utilizzano strumenti di AI non lo dichiara ufficialmente. E nei miei workshop questo dato è quasi sempre raggiunto quando lo chiedo alle persone con cui interagisco.
Gli ‘Stagisti AI’ che già lavorano per la vostra organizzazione senza che lo sappiate
Questi "dipendenti non autorizzati" stanno manipolando dati aziendali, interagendo con processi esistenti e diffondendo informazioni potenzialmente sensibili a sconosciuti. Se pensate sia inquietante non è abbastanza, ci sono questioni critiche di sicurezza e governance di cui è necessario occuparsi in fretta. Come possiamo gestire qualcosa che non sappiamo nemmeno di avere?
Comprendere l'AI: Tre prospettive chiave
Per affrontare efficacemente questa sfida, è essenziale comprendere le diverse forme che l'AI può assumere all'interno di un'organizzazione:
L'AI come sottosistema integrato: L'AI non è più solo un concetto astratto, ma sta diventando parte integrante di molti sistemi aziendali. Dai software di gestione delle risorse umane agli strumenti di analisi finanziaria, l'AI è sempre più presente come componente "invisibile" ma fondamentale. Questa integrazione offre vantaggi in termini di efficienza e capacità analitiche, ma richiede anche una nuova consapevolezza in termini di sicurezza e controllo dei dati.
L'AI come amplificatore delle capacità umane: Pensate all'AI, soprattutto quella generativa, come a un collaboratore straordinariamente capace. È come avere a disposizione un esperto in ogni campo, disponibile 24/7, in grado di processare enormi quantità di dati e fornire analisi approfondite in tempi record. E immaginate che ogni collaboratore della vostra azienda abbia a disposizione questa possibilità: cosa potrebbe andar male? Questo "super collaboratore" richiede una gestione attenta: le sue capacità, se mal indirizzate, potrebbero portare a quantomeno a decisioni errate o a violazioni della sicurezza.
L'AI come agente autonomo: Questa è forse la prospettiva più rivoluzionaria e potenzialmente dirompente. Immaginate sistemi AI capaci di operare con un certo grado di autonomia, prendendo decisioni e eseguendo azioni senza supervisione umana diretta per periodi di tempo più o meno lunghi. Questi agenti potrebbero gestire intere catene di processi, ottimizzando operazioni in tempo reale. Ma con grande potere viene grande responsabilità: come assicuriamo che questi agenti operino all'interno di parametri etici e di sicurezza ben definiti?
Questo è il nuovo panorama con cui abbiamo a che fare, l’AI presente come sottosistema in software esistenti, a disposizione di tutti sotto forma di bot o applicazione che aumenta le capacità delle persone e sempre più strutturata come agente autonomo. Direi che nei prossimi anni abbiamo un po’ di cose di cui occuparci.
I Rischi per la Sicurezza
L'introduzione dell'AI nel panorama aziendale apre nuovi scenari in termini di sicurezza informatica. Gli attacchi possono essere ora orchestrati utilizzando AI Generativa e provenire dall'interno o dall'esterno della vostra organizzazione.
E se state rilasciando soluzioni basate su AI Generative dovete aspettarvi che vengano attaccate molto presto.
Ecco alcune delle sfide più pressanti:
Attacchi potenziati dall'AI: Hacker e cybercriminali stanno sfruttando l'AI per creare attacchi più sofisticati e difficili da rilevare. Phishing personalizzato, malware adattivo e attacchi di social engineering potenziati dall'AI sono solo alcune delle minacce emergenti.
Vulnerabilità specifiche dei sistemi AI: I sistemi basati su AI hanno le loro peculiari vulnerabilità. Un esempio è il "prompt injection", dove un attaccante può manipolare l'input di un sistema AI per farlo comportare in modi imprevisti o dannosi. Immaginate un chatbot aziendale che, a causa di un attacco di questo tipo, inizia a divulgare informazioni sensibili.
Data poisoning: L'efficacia di un sistema AI dipende dalla qualità dei dati su cui è stato addestrato. Gli attacchi di "data poisoning" mirano a corrompere questi dati, influenzando il comportamento del sistema in modi sottili ma potenzialmente catastrofici.
Modelli AI senza restrizioni: Esistono modelli AI open source che possono essere eseguiti localmente, senza le restrizioni etiche e di sicurezza tipicamente implementate nelle versioni commerciali. Questo apre scenari preoccupanti in termini di generazione di contenuti dannosi o manipolazione di sistemi esistenti.
Il “mercato nero” dell'AI: Si sta sviluppando un vero e proprio ecosistema underground di strumenti e servizi AI malevoli. Esistono già piattaforme che offrono abbonamenti per la creazione di prompt dannosi o per l'accesso a modelli AI senza restrizioni. E non serve andare sul dark web per trovarle.
Strategie per affrontare la sicurezza AI
Di fronte a queste sfide, è fondamentale adottare un approccio proattivo. Nel libro “Assumere un’intelligenza artificiale in azienda” ne parlo a fondo con una proposta di framework che ho chiamato AI-PLUG; un metodo di introduzione dell’AI in azienda che è essenziale perchè ogni figura di responsabilità in azienda comprenda cosa sta accadendo in questo mondo e che impatto avrà sull’immediato futuro delle organizzazioni.
Riguardo la sicurezza ecco alcune prime strategie chiave:
Creare consapevolezza organizzativa: Il primo passo è educare tutti i livelli dell'organizzazione sui benefici e i rischi dell'AI. Questo non significa creare allarmismo, ma promuovere una comprensione realistica delle potenzialità e delle sfide.
Formare un team multidisciplinare: La sicurezza AI non è solo una questione tecnica. È necessario un approccio olistico che coinvolga esperti IT, specialisti di sicurezza, legali, esperti di etica e rappresentanti delle varie unità di business.
Sviluppare politiche aziendali sull'uso dell'AI: Creare linee guida chiare sull'uso degli strumenti AI, coprendo aspetti come la protezione dei dati, l'etica e la conformità normativa. Queste politiche dovrebbero essere flessibili per adattarsi alla rapida evoluzione della tecnologia.
Implementare sistemi di monitoraggio e test: Adottare strumenti di monitoraggio specifici per l'AI, capaci di rilevare comportamenti anomali o potenziali violazioni. Condurre regolarmente test di penetrazione focalizzati sulle vulnerabilità AI.
Gestire i dati con attenzione: Implementare rigidi protocolli di gestione dei dati, prestando particolare attenzione alla qualità e alla sicurezza dei dati utilizzati per addestrare e alimentare i sistemi AI.
Adottare il principio del "least privilege": Limitare l'accesso ai sistemi AI e ai dati sensibili solo a chi ne ha effettivamente bisogno, riducendo così la superficie di attacco.
Mantenere un approccio "human-in-the-loop": Anche con sistemi AI avanzati, è cruciale mantenere un certo grado di supervisione umana, specialmente per decisioni critiche o ad alto rischio.
Ma forse la più importante è quella di partire con piccoli progetti, che possiate controllare sotto tutti i punti vista durante la fase di ideazione, sviluppo, test, produzione. Questo vi permetterà di comprendere meglio come l'AI può essere utilizzata nella vostra azienda e quali sono i rischi associati.
Non aspettate che l’AI sia veloce, perfetta, sicura per iniziare a fare pratica, mi raccomando !
Assicuratevi di avere un team dedicato che includa esperti di sicurezza informatica, sviluppatori di AI e rappresentanti di vari dipartimenti aziendali. Questo team può aiutare a identificare le aree in cui l'AI può essere più utile e sviluppare strategie per mitigare i rischi. E se non avete queste figure in azienda iniziate da subito a cercarle sul mercato, magari con dei partner che lavorino in modalità “quasi consultant”.
Quindi?
La cybersecurity nell'era dell'AI non è una scelta, ma una necessità. I rischi sono reali e presenti, ma con una corretta pianificazione e implementazione, potete trasformare l'AI da potenziale minaccia a potente alleato. Ricordate, la chiave è essere proattivi: sviluppate policy chiare, formate il vostro personale e utilizzate l'AI per migliorare la vostra sicurezza. Solo così potrete proteggere la vostra azienda e prepararvi per un futuro in cui l’intelligenza artificiale sarà parte normale del business.
Qui trovate il webinar completo, dedicatevi un’oretta, ne vale la pena!
📢 Se hai pensieri o commenti, oppure se vuoi solo aiutare a diffondere queste riflessioni, condividi questa pagina con chiunque credi possa apprezzarla. La tua opinione conta tantissimo!
🚀 Per tenerti sempre aggiornato sui miei contenuti:
🗓️ Contattami se vuoi organizzare un Workshop sull’AI o per qualunque idea.
Alla prossima!
Massimiliano
Comments