Affrontare la nuova realtà del cybercrime diventerà ancora più complesso con lo sviluppo dei prossimi grandi progressi digitali legati all’IA.
di Thomas P. Vartanian
I funzionari pubblici di Stati Uniti e Regno Unito hanno recentemente esultato per essere riusciti a registrare una riduzione del 15% degli attacchi ransomware. Per ironia della sorte, mentre entrambi i Governi rilasciavano comunicati stampa e vantavano i risultati raggiunti, era in corso un blitz globale attraverso un ransomware generato da un gruppo di hacker russi e cinesi. Gli attacchi hanno infettato con il ransomware circa 5.000 vittime in Europa e negli Stati Uniti, dimostrando che nella lotta al terrorismo informatico la realtà è fatta di due passi avanti e uno indietro.
Alcuni anni fa, l’amministratore delegato di un importante istituto finanziario mi chiamò dopo che la sua azienda aveva subito un attacco online. Quando mi presentai nel suo ufficio, probabilmente i dati dei clienti erano già in circolazione nel dark web. In qualità di consulente legale dell’azienda, dovevo stabilire non solo cosa fosse successo, ma anche cosa avremmo potuto dire alle autorità di regolamentazione e ai clienti, e quando. Si pensava che l’accesso ai server dell’azienda fosse stato realizzato attraverso un fornitore di servizi esterno. Intervistando tale fornitore, abbiamo appreso che aveva ottenuto l’hardware e il software da terze parti che si erano affidate ad altre parti ancora (alcune in Paesi stranieri), molte delle quali dimostravano al massimo un modesto senso di responsabilità per quanto era accaduto.
In quel momento ho iniziato a capire la fallacia di un Internet che non era stato costruito per proteggere tutti i dati e i valori del pianeta e mi sono anche reso conto di quanto sia difficile attribuire la responsabilità delle violazioni, soprattutto se si considera il numero di soggetti coinvolti nella catena e gli errori che inevitabilmente l’uomo commette nel processo.
La frequenza di gravi violazioni che coinvolgono ransomware e cyberattacchi a una pletora di agenzie pubbliche e di aziende private continua senza sosta, e solleva una domanda fondamentale per i dirigenti aziendali: come affrontare un futuro virtuale che potrebbe contenere più minacce che profitti?
Le minacce sono numerose. Negli Stati Uniti, i computer di una casa su tre sono stati infettati da un software dannoso e le informazioni personali del 47% degli adulti americani sono state esposte ai criminali informatici. Forse nessuna statistica parla più forte della conclusione comunicata dal Governo secondo cui ogni giorno negli Stati Uniti vengono violati 600.000 account Facebook. Dobbiamo aspettarci che questi numeri continuino e addirittura aumentino. Chi pagherà per questo?
La Strategia nazionale di sicurezza informatica dell’amministrazione Biden, pubblicata il 2 marzo 2023, cerca di rispondere a questa domanda. In parte, propone che il modo per superare le carenze strutturali di Internet sia quello di “correre più veloce”: essenzialmente, per anticipare i criminali informatici e imporre un maggiore coinvolgimento pubblico nella regolamentazione informatica. Questo non ha funzionato e non funzionerà. Si propone di imporre al settore privato sanzioni più severe in materia di responsabilità per le violazioni, al fine di alterare gli incentivi economici che premiano l’essere i primi e penalizzano difficilmente coloro che inseguono i profitti e ignorano gli standard di sicurezza. Anche se tale responsabilità viene inizialmente imposta ai fornitori di software, essa si ripercuoterà senza dubbio sulle aziende intermedie e sugli utenti finali. Di questo possiamo essere certi.
Affrontare questo nuovo mondo di minacce informatiche diventerà ancora più complesso con lo sviluppo dei prossimi grandi progressi digitali. Ad esempio, 100 milioni di utenti hanno scaricato ChatGPT in soli due mesi per scrivere saggi, fare ricerche e soddisfare la loro curiosità, senza comprendere i rischi connessi. Le tecnologie 5G creeranno una connettività onnipresente da uomo a uomo, da macchina a macchina e da uomo a macchina che consentirà di creare un’Internet delle cose (IoT) senza soluzione di continuità. L’IoT collegherà persone, animali domestici, elettrodomestici e strumenti industriali, rendendoli più capaci di operare, comunicare, registrare, monitorare, regolare e interagire con un intervento umano minimo. L’efficienza commerciale di questi nuovi strumenti sarà enorme, ma anche i rischi. La connessione di prodotti, persone, trasmettitori indossabili e macchine creerà nuovi e più ampi database che potranno essere archiviati, analizzati, utilizzati e abusati. Tutto ciò che è connesso può essere violato, e tutto sarà connesso.
E poi c’è l’informatica quantistica, che minaccia di rendere obsoleta l’attuale tecnologia che utilizziamo per proteggere dati e denaro. Gli informatici stimano che la crittografia RSA a 2.048 bit che la maggior parte degli utenti utilizza attualmente per proteggere i dati potrebbe richiedere ai supercomputer di oggi 300 trilioni di anni per essere violata. In confronto, i computer a 4.099 qubit del prossimo futuro saranno in grado di decifrare lo stesso codice in 10 secondi. Gli esperti del settore prevedono di sviluppare un computer quantistico con 1.000 qubit nei prossimi anni, spingendoci ancora più avanti sulla strada di una migliore protezione o di un ulteriore smantellamento di ogni sistema di sicurezza digitale oggi esistente. Se l’informatica quantistica sarà in definitiva una minaccia o un netto miglioramento della condizione umana, dipenderà da chi ci arriverà per primo e da cosa ne farà. Non a caso, la Cina ha in programma di arrivarci per prima e sta rapidamente superando le spese e gli sforzi degli Stati Uniti.
Infine, c’è il metaverso, la prossima generazione di Internet che aumenterà la posta in gioco e la difficoltà di garantire la sicurezza dell’ambiente online, rendendo ancora più confusa la linea di demarcazione tra coscienza umana e macchina.
I Governi non sono in grado di risolvere da soli il problema della sicurezza di Internet e le aziende difficilmente lo faranno finché il danno economico di ignorare gli aspetti di sicurezza non diventerà maggiore dei profitti che possono ricavarne. Non ci sono soluzioni miracolistiche al di là della ristrutturazione di Internet per affidarsi maggiormente a nuove reti private sicure, in particolare per il funzionamento delle infrastrutture critiche. Ciò richiederà che le imprese, i Governi e gli utenti dei Paesi democratici agiscano insieme per trasformare Internet in reti che si basino sull’autenticazione delle persone piuttosto che sugli indirizzi IP, che impongano regole rigorose di comportamento online e che mantengano una polizia informatica (umana o meccanica) per farle rispettare.
NON SARÀ UN COMPITO FACILE o popolare, ma l’alternativa del caos informatico e della potenziale scomparsa di energia, denaro e servizi sanitari è chiaramente inaccettabile. Una nuova Internet richiederà anche una nuova forma di supervisione, piuttosto che lo stile “poliziotti e ladri” che abbiamo avuto finora. Questa nuova ondata di regolamentazione richiederà una forma di supervisione più decentrata e collegiale, in cui il settore pubblico e quello privato lavorino insieme per condividere i dati e costruire un consenso politico. Tutto questo richiederà tempo e leader forti per essere realizzato. Al momento non sembra che abbiamo molto di entrambi.
Thomas P. Vartanian è autore di The Unhackable Internet: How Rebuilding Cyberspace Can Create Real Security and Prevent Financial Collapse. Ex regolatore bancario federale, consulente e accademico, è attualmente direttore esecutivo del Financial Technology & Cybersecurity Center.