Come l'intelligenza artificiale sta cambiando il nostro mondo
La tecnologia che avanza desta stupore. Se cerchiamo la parola “drone swarm” (sciame di droni) possiamo trovare video dove migliaia di droni si muovono in modo sincronizzato. Magari vediamo “Happy New Year” nel cielo senza scoppi assordanti, senza isteria negli animali, senza feriti per maneggiamento di sostanze esplosive e senza inquinamento da sostanze combuste o parti residue. Però vediamo anche sciami di droni militari impegnati nella sorveglianza attiva e negli scenari bellici. Nel primo caso lo scenario è statico, l’obiettivo è ben definito dall’azione che vogliamo compiere (comporre una parola), mentre nel secondo lo scenario è dinamico, l’obiettivo può reagire in modo imprevedibile ed è necessaria una maggior capacità di controllo. Il fattore comune in questi scenari è la tecnologia impiegata, l’intelligenza artificiale, che non rappresenta un punto di arrivo ma l’inizio di una nuova evoluzione da gestire.
Una possibile definizione di “drone swarm” è “a large group of multiple unmanned aerial vehicles (UAVs), or drones, flying together as a unified and coordinated entity” (un grande gruppo di più veicoli aerei senza pilota (UAV), o droni, che volano insieme come un'entità unificata e coordinata).
L’attenzione non deve essere posta sulla sigla UAV che oggi ha sostituito, peraltro a ragione, la precedente e più nota sigla UFO (Unidentified Flying Object), che i romanzi di fantascienza ci avevano oramai abituati a riconoscere in ogni fenomeno anomalo. L’attenzione va posta su due attributi, “large” e “unmanned”, ossia questi oggetti sono tanti ed hanno un controllo artificiale, non umano. Il primo attributo è importante perché rende chiaro quanto il secondo sia il punto di partenza per una nuova evoluzione. La numerosità degli oggetti è il fattore che rende impossibile all’umano l’azione di gestirli contemporaneamente in modo coordinato. Il secondo attributo rappresenta il primo passo dell’evoluzione verso delle capacità superiori a quelle umane. Non nel senso di sostituire l’umano ma di potenziarne alcune sue capacità o affiancarlo per crearne di nuove.
L’intelligenza artificiale ed i robot
L’elemento che governa tanti oggetti oltre le normali capacità umane è l’intelligenza artificiale (AI). Benché il grado attuale di intelligenza artificiale sia ancora abbastanza basso, la generative artificial intelligence sta dando risultati sorprendenti. Senza entrare nel merito delle differenze delle varie sfumature dell’intelligenza artificiale, è già sufficiente lo stato attuale per alcune riflessioni sul cambiamento in atto e su come affrontarlo. Il “drone swarm” è solo una delle tante applicazioni che cercano di superare i limiti di controllo umano e rappresentano oggetti con capacità di volo autonomo e supervisione umana. In generale, quando costruiamo oggetti che fanno autonomamente funzioni specifiche, anche complesse, pensiamo al termine “robot”. Il senso etimologico della parola “robot” richiama al lavoro servile. La capacità di fare l’essenziale, qualitativamente bene, senza distrazioni e (perché no?) anche a costo ridotto.
Questo idea di robot si lega molto bene all’uso dei droni dove il numero è la componente primaria dell’obiettivo. Per disegnare parole in aria ho necessità di tanti punti, per superare le difese nemiche devo saturare la loro capacità di offesa. Per questi usi, il numero è più importante del grado di intelligenza dell’apparato, anzi maggior intelligenza è uguale a maggior costo. L’attuale grado di capacità raggiunto dall’AI è sufficiente a gestire numeri elevati di oggetti, ciascuno con funzioni proprie ed autonome.
I robot non sono solo oggetti hardware con logiche software ma possono essere sistemi software con logiche di controllo sull’hardware. Generalmente i robot hardware possono essere macchine stupide e ripetitive nei movimenti, come alcuni robot industriali, oppure dotati di un’intelligenza artificiale avanzata con capacità di apprendere e adattarsi alle diverse situazioni ambientali in tempo reale. A volte anche antropomorfi con comportamenti simil-umani ed il termine è spesso quello di androide. I robot software sono sistemi in grado di “mimare” azioni spesso tediose per gli umani ma svolte velocemente, in modo ripetuto e soprattutto efficace. Un esempio di una ben conosciuta classe di tali software sono i Robotic Process Automation (RPA) che automatizzano i controlli umani, per esempio, nei processi di compliance, con diversi gradi di autonomia e capacità di prendere decisioni. Gli RPA sono l’equivalente software del robot industriale per l’hardware, ma ci sono robot software molto più complessi come i traduttori istantanei. In tutti questi ambiti dove è richiesta una qualche capacità decisionale autonoma, la presenza dell’AI è sempre più pervasiva.
L’intelligenza artificiale e la cybersecurity
La presenza di un sempre maggior numero di software che eseguono attività automatizzate, ripetitive, predefinite od anche, che imitano o sostituiscono il comportamento di utenti umani ha un duplice aspetto. Questi robot digitali aiutano e sono spesso indispensabili, ma altre volte hanno un lato oscuro ed operano furtivamente contro gli interessi di qualcuno con beneficio illecito di altri. L’AI purtroppo gioca un ruolo fondamentale nell’esasperare le conseguenze del lato oscuro. Possiamo addirittura enunciare un paradosso per i robot:
“Mandando in guerra 10˙000 robot reali (HW), è possibile che ne rimangano solo 100, mandando in guerra 100 robot digitali (SW), è possibile che siano aumentati a 10˙000”.
È un paradosso apparente perché entrano in gioco le vulnerabilità di ambo le parti, attaccante ed attaccato. Nel caso dell’hw abbiamo il concetto di “perdita” ossia le nostre vulnerabilità ci portano a ridurre la nostra capacità di avanzare aumentando la perdita delle risorse possedute. Nel caso del sw abbiamo il concetto di “replica” ossia le vulnerabilità dell’avversario ci portano ad aumentare la nostra capacità di espansione sfruttando a nostro vantaggio le risorse della parte avverse. Le capacità di calcolo e di comunicazione della parte attaccata diventano oggetto di rafforzamento dell’attaccante che può replicare il proprio sistema malevolo. Sembra lo scenario di un videogioco ma purtroppo è un gioco reale (etica a parte). Lo scenario non è nuovo ma nuova è la forza dell’attacco se aiutata dall’AI.
Poco cambia per le grosse organizzazioni, per quelle più in vista già sottoposte al rispetto di leggi e standard sulla sicurezza. Hanno sistemi di difesa pronti a fronteggiare le migliori capacità di attacco. Di contro, la capacità di agire dell’attaccante non è più orientata solo su pochi soggetti ben selezionati ma su tutti, indifferentemente dalle dimensioni, dalla tipologia di business o dalla visibilità mediatica. Ogni entità di un ecosistema digitale può diventare una centrale di intelligence per un attaccante perché tramite l’AI è possibile organizzare il controllo autonomo di innumerevoli entità, che a loro volta cercano di replicare lo schema.
L’organizzazione della difesa informatica
La forza dell’attaccante si basa sul numero di elementi controllati che possono essere di ascolto, di attacco, o semplicemente dormienti. La capacità di difesa informatica deve contrastare tale numero di entità potenziali e questo è possibile solo tramite una baseline di sicurezza comune a tutto l’ecosistema. Il numero di sorgenti offensive possedute è un fattore fondamentale per la resilienza dell’attaccante. Come detto, leggi, regolamenti, direttive, standard o framework internazionali sulla sicurezza sono oramai un patrimonio consolidato nella cultura delle grosse organizzazioni. Le piccole e medie organizzazioni non hanno la stessa capacità di contrasto alle potenziali azioni di un attaccante supportato dall’AI, che può interagire con molte entità contemporaneamente, costantemente e su tempi lunghi.
Un elevato numero di entità compromesse renderà le direzioni dell’attacco sarà sempre più imprevedibili se non vengono attuate misure efficaci e sostenibili, estese a tutti in modo prescrittivo. L’attenzione della difesa deve concentrarsi sull’intero perimetro dell’ecosistema. Azioni di difesa mirate solo alle entità ritenute critiche, lascia scoperto un fronte di possibile attacco molto più esteso di quanto ci si possa aspettare.
Il concetto di difesa comune deve essere concretizzato con pragmatismo e per questo non può limitarsi a suggerire misure generiche ma deve agire in modo che le misure di protezione siano sostenibili anche per le piccole e medie aziende. Una soluzione “one-size-fits-all” non è efficace perché anche se lo fosse per un’azienda non significa che il suo costo o la complessità sia ammissibile per un’altra. Per questo, un tema interessante è quello della “reasonable cybersecurity”, ossia un framework che prova a descrivere delle misure graduali, di buon senso, dei principi di uso comune, aggiornati all’evolversi della tecnologia, e che possano essere adottati e adattati concretamente ad ogni realtà produttiva, ma anche individualmente. Visto che le attività di protezione sono intese per il bene comune, qualche forma di aiuto a livello pubblico sarebbe coerente con gli obiettivi di difesa, in particolare per le piccole realtà.
Conclusioni
L’evoluzione della tecnologia rende disponibili soluzioni di controllo autonomo con buona qualità e costi sempre più convenienti. Il lato negativo è un proporzionale aumento di potenziali azioni illecite su scenari più ampi di possibili entità coinvolte e di migliore qualità di attacco. Il contrasto richiede la partecipazione dell’intero dell’ecosistema che significa coinvolgere tutte le entità aderenti, comprese le piccole aziende che notoriamente non hanno sempre le capacità di disporre di competenze e mezzi adeguati al cambiamento tecnologico.
Un aiuto può arrivare con uno sforzo congiunto sia dal settore pubblico per un coordinamento e sostegno alle iniziative di miglioramento della cultura di difesa informatica, in quanto rappresenta una necessità comune, sia dalle associazioni di settore che possono agire per rendere i framework di protezione adeguati alle sfide anche della piccola attività.