Sebbene l’innovazione sia oggi più che mai indispensabile a tutte le organizzazioni per garantirsi sostenibilità e crescita, l’adozione di tecnologie emergenti quali Artificial Intelligence (AI), 5G, Quantum Computing e Extended Reality (XR) sta portando un significativo cambio di paradigma in termini di sicurezza informatica.
Come attesta la nuova ricerca Accenture “Innovating at speed at scale with implicit security” le aziende stanno accelerando gli investimenti in tecnologie innovative. Infatti, il 34% degli intervistati dichiara che, solo nell’ultimo anno, oltre 500 milioni di dollari sono andati a favore di AI, 5G, Quantum Computing ed Extended Reality mentre il 9% ha investito più di 1 miliardo di dollari.
Le stesse aziende stanno chiaramente sottovalutando il livello di rischio che le tecnologie emergenti portano con sé. Infatti, solo il 55% dei Chief Security Officer intervistati (CSO) ritiene utile adottare politiche di sicurezza per la protezione delle tecnologie di Artificial Intelligence adottate e la percentuale scende al 36% degli intervistati per il 5G, al 32% per l’Extended Reality e al 29% per il Quantum Computing.
“La ricerca Accenture evidenzia come molte aziende stiano investendo in innovazione ma senza la giusta attenzione alle vulnerabilità che le tecnologie emergenti portano con sé. Queste, infatti, scardinano i paradigmi convenzionali in materia di cybersecurity, rendendo obsoleti gli schemi utilizzati fino ad oggi”, spiega Paolo Dal Cin, Accenture Security Lead per l’Europa. “Una mancata consapevolezza in tal senso può comportare danni considerevoli al business come anche alla società. È fondamentale quindi che tutte le organizzazioni, pubbliche e private, applichino strategie in grado di garantire quella che noi definiamo “implicit security”, ossia una sicurezza che risiede nel DNA stesso delle nuove soluzioni tecnologiche e che consente di progredire con l’adeguata protezione nell’irrinunciabile percorso di innovazione e di crescita”.
Tecnologie emergenti e nuovi scenari di rischio
L’adozione di nuove tecnologie porta con sé nuovi rischi e nuove superfici di attacco, che devono necessariamente essere presidiate attraverso nuovi paradigmi:
Intelligenza Artificiale – Con i nuovi sistemi di intelligenza artificiale, l’integrità dei processi decisionali può essere compromessa da azioni volte ad assumerne il controllo, fornendo input dannosi e influenzando le decisioni per cui il sistema è stato concepito. Le tecnologie di apprendimento automatico, tipico dell’AI, stanno evidenziando nuove vulnerabilità rispetto all’utilizzo dei tradizionali modelli di sicurezza. Restano tra l’altro aperte molte domande su cosa significhi rendere effettivamente sicuri e protetti i sistemi di intelligenza artificiale. La verifica di nuovi criteri di protezione in ambiti in rapido sviluppo ed implementazione quali quello dell’assistenza sanitaria, del mercato finanziario e dei trasporti complica ancora di più l’individuazione di approcci adeguati.
5G – Con il passaggio alla tecnologia 5G, le aziende saranno costrette a fare i conti con il considerevole aumento del volume dei dati e della velocità delle informazioni, elementi da non trascurare in termini di sicurezza. In uno scenario in cui numerosi dispositivi con applicazioni diverse sono collegati a una infrastruttura di rete che permette velocità di scambio di dati significative e latenza minima, aumenta il rischio che una singola vulnerabilità riscontrata in una tipologia di device, o un eventuale errore di configurazione, possa esporre in brevissimo tempo un’enorme mole di dati, dando l’accesso a informazioni riservate o consentendo il controllo di un device.
Quantum Computing – La crittografia quantistica è teoricamente sicura nella gestione delle informazioni grazie alla sua solida base nella meccanica quantistica. È stato dimostrato che ciò accade per la distribuzione di chiavi quantistiche (QKD). Tuttavia, in generale, le implementazioni iniziali potrebbero aprire scappatoie, consentendo a un intercettatore di compromettere la sicurezza di un sistema crittografico quantistico violando i presupposti dei protocolli fino ad arrivare a violare le loro proprietà di sicurezza.
È importante, quindi, considerare i potenziali problemi di sicurezza d’implementazione sin dalle prime fasi della progettazione del protocollo.
Extended Reality – La realtà estesa (XR) si riferisce allo spettro di esperienze, come la realtà virtuale e aumentata, che annullano il confine tra il mondo reale e il mondo simulato. Le aziende dovranno comprendere rapidamente quali sono i rischi informatici correlati alla XR, intraprendendo un percorso formativo che tenga conto parallelamente delle esigenze di business e di security.
A titolo di esempio, non solo gli avatar potrebbero essere utilizzati per creare nuove forme di criminalità legata all’identità, ma alcune attività di importanza cruciale, come la chirurgia, che diventano dipendenti da tecnologie immersive, potrebbero essere a rischio di estorsione.
Quando si vive un’esperienza virtuale, come quella proposta dalla tecnologia XR, diventa più difficile distinguere la realtà dalla finzione, rendendo più semplice influenzare profondamente comportamenti, opinioni e decisioni.
Serve maggiore consapevolezza
Dalla survey emerge come la consapevolezza dei rischi e il conseguente impegno nella protezione delle nuove tecnologie maturi generalmente con il progredire della curva di adozione delle stesse, come nel caso dell’Artificial Intelligence, lasciando però così per lungo tempo l’azienda esposta a nuove vulnerabilità.
Questa tendenza non è comunque omogenea. La ricerca rivela infatti un sottogruppo di organizzazioni che riesce a innovare in maniera competitiva, senza ignorare l’importanza della sicurezza durante la transizione tecnologica. Questa categoria è stata identificata come “alfa innovators” e rappresenta il 28% di tutte le aziende intervistate da Accenture.
Lo studio condotto da Accenture evidenzia come applicando il principio di security by design, che prevede la progettazione di prodotti già concepiti per limitare le possibili vulnerabilità del sistema, gli “alfa innovators” siano capaci di realizzare innovazioni audaci stando al passo con la rapidità dei cambiamenti.
Gli “alfa innovators” si distinguono, infatti, dalle altre aziende per la loro visione globale della sicurezza, la capacità sia di valutare il rischio sia quella di intervenire preventivamente, incorporando la sicurezza fin dalle fasi embrionali di implementazione delle nuove tecnologie e applicando quella che Accenture definisce una strategia di implicit security.
Per gli “alfa innovators”, inoltre, la collaborazione tra il Chief Information Security Officer (CISO) e i responsabili delle altre unità aziendali (CXO) gioca un ruolo fondamentale per costruire e diffondere un’adeguata cultura della sicurezza all’interno dell’organizzazione, riscrivendo così il proprio DNA dell’innovazione.
Le buone pratiche degli “alfa innovators”
Attraverso una strategia lungimirante queste imprese evolvono più velocemente delle altre, e stanno scrivendo un nuovo playbook dell’innovazione, basato su cinque “regole”:
1- Lavorare su più tecnologie: non rinunciare a investire nell’adozione di tutte le tecnologie emergenti – AI, 5G, Quantum Computing e XR.
2- Cultura del rischio: valutare tutti i rischi per la sicurezza all’inizio del ciclo di adozione, comprendendo la loro entità e le implicazioni per sviluppare un piano che riduca le vulnerabilità all’origine.
3- Collaborazione: impegnarsi a creare una collaborazione agile, dove tutti i dipartimenti cooperino tra loro, contribuendo a evolvere costantemente il livello di sicurezza e stare al passo con l’innovazione.
4- Cultura dell’innovazione: far crescere e diffondere la cultura dell’innovazione attraverso la formazione dei dipendenti o l’acquisizione di competenze dall’esterno.
5- Pervasività: garantire l’adeguata protezione alle tecnologie emergenti per tutto il loro ciclo di vita.