Ma l’AI è un’alleata o una nemica della cybersicurezza?

In Italia molti CIO sono anche responsabili della cybersicurezza aziendale, con un ruolo, più o meno formalizzato di CISO. Non stupisce: la difesa dagli attacchi informatici resta la prima preoccupazione per tutti i direttori dell’IT. A livello globale, il 41% dei Chief Information Officer identifica nella cybersecurity la priorità. Molti (il 77%) stanno ampliando i budget per la sicurezza, nonché l’adozione dell’intelligenza artificiale (67%), come emerge dallo studio Future Forward: CIO 2025 Outlook [inglese] realizzato da Experis (parte di Manpower Group).

L’Italia non si discosta da questi trend: la cybersecurity è in cima all’agenda e l’AI è incorporata ai prodotti di cyber-difesa. Ma da noi incide fortemente la compliance alla NIS2, la direttiva europea sulla cybersicurezza. La legge include obblighi quali l’adozione di nuove misure tecniche ed organizzative, programmi di formazione ai dipendenti sulla sicurezza informatica, la gestione del rischio, la notifica degli incidenti e la verifica della sicurezza della supply chain. Anche organizzazioni con budget limitati, come le ONG, sono molto attente su questo fronte.

“Stiamo procedendo rapidamente”, indica Manuele Macario, CIO di EMERGENCY, “anche perché l’Agenzia per la Cybersicurezza Nazionale e il Governo ci hanno valutato come soggetto importante in quanto forniamo in Italia anche il servizio di supporto sanitario e psicologico. Di conseguenza, ricadiamo nella NIS2”.

Macario è anche Cybersecurity Manager di EMERGENCY e da anni include la cybersicurezza nei progetti di data governance e data protection. I dati sono l’asset principale della ONG, sia per il valore documentale per la storia della medicina sia per la loro unicità, in quanto i teatri di guerra cambiano e i dati sugli eventi sanitari sono legati a specifici momenti storici.

“Per noi è molto importante mettere al sicuro i dati, nonché le identità dei nostri operatori, del nostro brand e dei nostri utenti, donatori inclusi”, sottolinea Macario.

NIS2 sempre al primo posto. Ma c’è anche l’AI

Già prima della NIS2, EMERGENCY aveva messo in atto le necessarie procedure di cyber-difesa, ma ricadere nella legge europea significa che ora tali prassi vanno formalizzate e documentate. Il lavoro tecnico rimane lo stesso, ma è affiancato da un’attività strutturata di governance e di tracciamento che, da un lato, richiede tempo e risorse, dall’altro, offre il vantaggio di portare la cybersecurity a un livello più alto e pervasivo. La sicurezza non è più solo materia per i tecnici IT, bensì parte integrante delle responsabilità dei vertici aziendali. Inoltre, la normativa europea stimola una collaborazione più stretta dell’IT con gli altri uffici, a partire da Legal e Compliance.

Macario ha affrontato il tema della cybersicurezza e della conformità su due fronti. Il primo è l’impiego di tecnologie all’avanguardia e, tra queste, c’è ovviamente l’intelligenza artificiale. Il secondo è quello del presidio di sicurezza 7 giorni su 7 e 24 ore al giorno con un SOC (Security Operation Center).

“Quando cambiano le armi di attacco devi cambiare la difesa”, afferma Macario, “e ora l’attacco è dominato dall’AI, come video e testi fake. Noi abbiamo aggiornato la difesa per rispondere meglio e incorporeremo le funzionalità AI offerte dai nostri fornitori, come i sistemi di analisi e remediation”.

CIO alle prese con l’adeguamento normativo

Anche Relife Group, utility dell’economia circolare attiva nel settore B2B con 25 siti operativi e quattro rami aziendali, ha adottato un modello di cybersicurezza in linea con la direttiva europea NIS2. L’azienda rientra infatti tra i soggetti importanti, in quanto operante nel settore dei rifiuti, considerato critico per la sicurezza nazionale.

La prima area di intervento di Irakli Bano, che guida sia la trasformazione digitale sia la strategia di sicurezza informatica in qualità di CIO, CTO e CISO del gruppo, ha riguardato la rete di telecomunicazione, progettata con un’architettura a tre anelli per garantire ridondanza e continuità operativa: una rete in fibra dedicata, una seconda rete in fibra di un operatore alternativo e una terza rete su tecnologia FWA (Fixed Wireless Access), fondamentale per i siti più remoti.

“Avere tre anelli di connettività ci dà maggiore sicurezza. Se una rete va offline, automaticamente passiamo a un’altra”, spiega Bano. “Abbiamo investito in modo significativo sul networking in fibra dedicato, perché la rete è per noi la base della cybersicurezza”.

Relife ha anche attivato un servizio anti-DDoS integrato con il contratto di connettività. In caso di attacco, il provider invia alert tempestivi e consente all’IT di intervenire bloccando le porte d’accesso. Nei casi più gravi, è prevista anche la fornitura di una rete “pulita”, ma finora non si è reso necessario ricorrervi. 

Da tre anni, inoltre, l’azienda ha adottato un SOC, che monitora endpoint, server e macchine virtuali e svolge attività di threat intelligence, incluso il controllo della pubblicazione di dati riservati sul dark web.

“Effettuiamo uno studio costante delle minacce”, sottolinea Bano. “Il panorama è in continua evoluzione, per questo collaboriamo anche con esperti esterni che ci aiutano a individuare nuove vulnerabilità e patch disponibili”.

L’intelligenza artificiale cambia, ma non sconvolge, la cybersicurezza

Il progresso della tecnologia dell’intelligenza artificiale, sia tradizionale che generativa, è la grande novità recente nel panorama della cybersicurezza: ora gli attaccanti hanno nuovi strumenti a disposizione.Ma i CIO non sono in allarme: l’AI, infatti, è anche una preziosa arma di difesa.

“L’AI ha due facce”, dichiara Bano. “Da un lato ha aiutato gli hacker a generare codice malevolo più velocemente, dall’altro offre strumenti predittivi molto efficaci. Analizza gli scostamenti dalle abitudini degli utenti, rileva spam, phishing, traffico anomalo e altre minacce. Noi utilizziamo diversi strumenti basati su AI e sono certo che ne arriveranno altri ancora più evoluti”.

Anche Macario ha incorporato le tecnologie all’avanguardia nelle cyber-difese, e sempre più lo farà.

“L’intelligenza artificiale ha i suoi pro e i suoi contro”, evidenzia il CIO di EMERGENCY: “può registrare molti falsi positivi, ma spesso è preziosa nel rilevare comportamenti sospetti. L’AI aiuta a valutare tanti eventi che prima non si riuscivano a rilevare. Potremmo dire che con l’AI nelle cyber-difese c’è più rumore, ma, con un opportuno fine-tuning, questa tecnologia ci garantisce un tempo di reazione più rapido e un livello di protezione aumentato”.

Giacomo Morelli, CIO e CISO di Enegan (fornitore di energia elettrica e gas con un forte focus sulle fonti green e sulle imprese ed operatore telefonico), condivide questa visione di un’AI che è, sì, una minaccia per la cybersicurezza, ma anche un’alleata.

“L’AI, da un lato, ha peggiorato il quadro, perché gli attaccanti sono i primi a sfruttare queste tecnologie e la difesa spesso rincorre”, spiega Morelli. “L’AI ha anche abbassato il livello di competenze necessarie per un cybercriminale, allarga il bacino degli attaccanti e mette nelle loro mani più strumenti più precisi. D’altro lato, per le imprese l’AI è un’arma di difesa potente, soprattutto per le capacità di analisi dei dati ed elaborazione di previsioni, anche se è difficile stare al passo e nessuno può dire di sentirsi del tutto al sicuro. Al tempo stesso, qualunque sia lo stato della tecnologia, il fattore umano è determinante nella strategia di sicurezza”.

I CIO temono il comportamento umano e puntano sull’awareness

Anche questo è un punto di vista che i CIO condividono: le tecnologie contano poco se manca la cyber-consapevolezza. I comportamenti poco responsabili sono tanti, in particolare quando si mettono a rischio le password di accesso o si usano vettori che consentono ingressi non legittimi, come le chiavette Usb. E poi c’è il phishing via email, incubo di tutti i CIO.

“In sanità l’AI è ancora poco diffusa per il supporto alle attività sanitarie, ma sappiamo bene che il mondo del cyber-crimine la usa sempre di più. Di conseguenza anche i nostri prodotti per la cybersicurezza la devono sfruttare”, afferma Marco Foracchia, CIO di AUSL Reggio Emilia e Vice Presidente AISIS (Associazione Italiana Sistemi Informativi in Sanità, Chime International –ì- Italian Chapter). “Nel panorama della cybersecurity l’AI aggiunge complessità, sia in termini di modalità di attacco, sia come strategie e modalità di difesa. Il rischio maggiore resta comunque il social engineering, che sfrutta le vulnerabilità dal punto di vista organizzativo e umano”.

Come nota il manager, le backdoor e le vulnerabilità tecniche, seppur pericolosi, si rimediano con gli appropriati tool, ma “l’errore umano non ha una correzione tecnica ed è quello che ci tiene svegli”.

Foracchia ha agito per sanare le vulnerabilità sia introducendo la MFA (Multi-Factor Authentication) sia bloccando la navigazione dall’estero dei dipendenti, in modo da proteggere le credenziali aziendali dai comportamenti impropri e dal loro sfruttamento. 

“La minaccia più impattante rimane il phishing”, conferma Morelli di Enegan. “Se i colleghi non sono ben informati e formati sulle modalità di difesa si rischiano danni ingenti. Il phishing è ancora la metodologia d’attacco che più riesce a minacciare le imprese, perché ha un ampio bacino di utenti attaccabili e può essere la porta d’accesso per ulteriore malware e ransomware”.

Enegan svolge da alcuni anni campagne di awareness in modo da elevare la consapevolezza del personale, mentre, a livello tecnico, la base della strategia di Morelli è la metodologia Zero Trust. La diffusione dell’intelligenza artificiale, che permette agli attaccanti di creare testi, audio e video fake, conferma questo approccio.

“L’intelligenza artificiale è uno strumento potente che può supportare i tecnici e rendere più efficaci i controlli, ma la cybersecurity non si riduce alla tecnologia: è soprattutto un approccio culturale, fatto di comportamenti corretti e di formazione continua”, ribadisce Macario.

La cultura della cybersicurezza come sistema integrato

In tante imprese italiane, questa consapevolezza deve ancora maturare. L’ICT Manager di un gruppo manifatturiero ci ha raccontato che, nel settore produttivo, pur di mandare avanti l’attività di fabbrica, si tende a trascurare la cybersicurezza, per esempio, dando ai fornitori accesso ai sistemi interni, se ne hanno bisogno, come per un allacciamento in fibra o l’intervento su una macchina.

“Quando sono entrato in azienda questa era la prassi e la prima cosa che ho fatto è stato sanare quella che per me era una falla inaccettabile”, ci ha detto il manager. “Non è stato facile far capire che dare l’accesso a un fornitore esterno era un rischio e che la supply chainè il vero anello debole della catena: hackerare un elemento vuol dire contagiare tutti. Per non creare uno strato di protezione aggiuntiva si finisce col causare il fermo dell’intera attività produttiva, e noi abbiamo diversi stabilimenti. La difficoltà sta nel far cambiare la mentalità, persino dell’IT, in un’azienda abituata da anni a seguire semplicemente le direttive della proprietà senza suggerire cambiamenti o innovazioni. Si era indietro a tal punto da lasciare invariate le credenziali quando un dipendente lasciava l’azienda o un fornitore terminava il suo contratto. È incredibile quante password restino immodificate per pura negligenza”.

“Sembra impossibile, ma tante aziende non investono in cybersecurity”, ci ha svelato un ex CIO dall’esperienza più che trentennale. “In questi casi bisogna andare dal CEO, o dalla proprietà, e mettere sul tavolo dei numeri, ovvero i soldi che si perdono se i sistemi IT restano bloccati da un incidente cyber. Di solito vedere gli impatti in euro funziona”.

In questo contesto si inserisce la campagna di sensibilizzazione “Accendiamo la cybersicurezza. Proteggiamo le nostre imprese” lanciata dall’Agenzia per la Cybersicurezza Nazionale (ACN). Si tratta di un vademecum di iniziative che possono aiutare le aziende, soprattutto le PMI, a gettare le basi dell’implementazione di un sistema integrato di misure che unisce strumenti tecnologici (sì, anche l’AI), processi operativi, ruoli chiari e competenze.