Quasi la metà degli esperti di sicurezza ha concordato che l’IA è il rischio più grande che esiste nella loro organizzazione. Sono preoccupati in modo specifico per:
- Perdita di dati di formazione (35%)
- Shadow AI: l’uso non autorizzato dell’intelligenza artificiale all’interno delle proprie organizzazioni senza l’approvazione dell’IT (33%)
- I criminali informatici hackerano i modelli di intelligenza artificiale (32%)
Raul Morales , Security Architect presso IBM , ha parlato di quelli che ritiene siano i maggiori rischi dell’IA. Di tutti i rischi citati nelle prime scoperte di HackerOne, Morales ha affermato che l’hacking dei modelli di IA da parte di soggetti esterni rappresenta il rischio maggiore.
“Una volta che un modello di intelligenza artificiale viene compromesso, può essere manipolato per generare output dannosi o aggirare completamente i meccanismi di sicurezza”.
Anche Toon Segers , co-fondatore di Roseman Labs , un fornitore di crittografia e sicurezza dei dati, è d’accordo con i risultati del sondaggio. “La fuga di dati di training è particolarmente rilevante quando i servizi SaaS aggiornano i loro termini di servizio per includere i dati degli utenti per scopi di training del modello”, ha affermato Segers, citando esempi comuni come Google Workspace, OpenAI o Salesforce.
Se i clienti di questi servizi SaaS non rinunciano all’utilizzo dei propri dati per scopi di formazione, la proprietà intellettuale dell’azienda potrebbe trapelare”. Segers ha affermato che questo è collegato ad altri rischi.
Come far sì che l’intelligenza artificiale diventi la soluzione e non il problema?
Lo studio HackerOne si concentra tanto sulle soluzioni quanto sui grandi problemi dell’IA. Oltre due terzi dei professionisti della sicurezza (68%) hanno concordato che il modo più efficace per gestire le sfide di sicurezza e protezione che l’IA presenta è una revisione esterna e imparziale delle implementazioni dell’IA. Ciò significa coinvolgere esperti per esaminare nel dettaglio il sistema e l’IA di un’organizzazione.
Mentre in passato le aziende erano riluttanti a dare questo tipo di accesso ai penetration tester o agli hacker etici , il settore ha da tempo risolto il dibattito sul valore unico che questi esperti forniscono. Tuttavia, rimane un altro problema: l’ampia integrazione dell’IA nella superficie di attacco digitale di un’organizzazione.
“I modelli di intelligenza artificiale sono spesso al centro di processi decisionali critici, che vanno dal rilevamento delle frodi alle difese automatizzate della sicurezza informatica”, ha affermato Morales di IBM.
“Se gli avversari riescono a prendere il controllo di questi modelli, potrebbero avvelenare i dati per distorcere i risultati a loro favore o sfruttare le vulnerabilità del modello per lanciare attacchi più sofisticati.
“Inoltre, i sistemi di intelligenza artificiale, una volta violati, possono essere sfruttati per causare danni estesi, tra cui l’automazione di attacchi informatici, la creazione di disinformazione o la manipolazione di sistemi sensibili. Questo rischio è amplificato man mano che l’intelligenza artificiale diventa più integrata nelle infrastrutture essenziali”.
Morales ha convenuto che una revisione esterna e imparziale delle implementazioni AI è essenziale. Internamente, le organizzazioni potrebbero avere punti ciechi o pregiudizi che impediscono loro di riconoscere le vulnerabilità nei loro sistemi AI.
“La complessità dell’intelligenza artificiale richiede spesso conoscenze specialistiche per comprenderne appieno i rischi”.
“I revisori esterni portano nuove prospettive e un occhio critico, non influenzato dalle dinamiche organizzative”, ha affermato Morales. Gli audit esterni possono anche aggiungere valore a un’azienda assicurando che i sistemi di intelligenza artificiale soddisfino le complesse e mutevoli richieste di normative e standard etici.
Chi sta vincendo l’attuale corsa agli armamenti, le squadre di sicurezza o i criminali?
HackerOne ha evidenziato il rapporto del SANS Institute, sponsorizzato dall’azienda per comprendere meglio cosa pensano i professionisti della sicurezza dell’attuale corsa agli armamenti dell’intelligenza artificiale tra professionisti della sicurezza e criminali informatici, hacker di stati nazionali e hacktivisti.
Sebbene gli intervistati si siano dichiarati ottimisti sul potenziale dell’intelligenza artificiale nel migliorare la produttività dei team di sicurezza, con il 71% che ha dichiarato soddisfazione nell’implementazione dell’intelligenza artificiale per automatizzare attività noiose , la maggior parte ritiene ancora che l’aumento della produttività possa avvantaggiare i malintenzionati.
Tra le preoccupazioni rientrano le campagne di phishing basate sull’intelligenza artificiale (79%) e lo sfruttamento automatizzato delle vulnerabilità (74%) .
Morales di IBM ha affermato che i criminali informatici stanno guadagnando terreno nella corsa agli armamenti dell’intelligenza artificiale; utilizzano l’intelligenza artificiale per automatizzare il phishing e il credential stuffing , deepfake e potenziare gli sforzi di ingegneria sociale, rendendo gli attacchi più scalabili e convincenti, ha affermato Morales.
“I team di sicurezza, pur adottando l’intelligenza artificiale per migliorare i tempi di rilevamento e risposta delle minacce, devono ancora recuperare terreno rispetto a questi attacchi sempre più automatizzati e sofisticati”.
Secondo Morales, i criminali informatici sono avvantaggiati perché operano con meno vincoli rispetto ai professionisti della sicurezza. Ciò consente loro di iterare e distribuire rapidamente strumenti basati sull’intelligenza artificiale.
“Tuttavia, man mano che le soluzioni di sicurezza informatica assistite dall’intelligenza artificiale diventano più solide e integrate con le competenze umane, potremmo assistere a un livellamento del campo di gioco”, ha affermato Morales.
Anche Jay Bavisi , presidente, CEO e co-fondatore di EC-Council , una delle più grandi aziende al mondo di formazione e certificazione sulla sicurezza informatica, ci ha parlato della corsa agli armamenti dell’intelligenza artificiale.
Bavisi ha condiviso i risultati del Threat Report 2024 dell’EC-Council , da cui emerge che l’83% degli hacker etici ha segnalato modifiche tangibili nelle metodologie di attacco nel contesto della rivoluzione dell’intelligenza artificiale.
“Il rapporto ha anche evidenziato che oltre il 70% degli intervistati sta riscontrando un nuovo livello di sofisticatezza, che consente agli aggressori di ingannare anche i sistemi più sicuri”, ha affermato Bavisi.
Tuttavia, Bavisi ha aggiunto che i team di sicurezza stanno già facendo passi da gigante, utilizzando l’intelligenza artificiale per rilevare, rispondere e persino prevedere gli attacchi. Gli strumenti di sicurezza basati sull’intelligenza artificiale stanno anche diventando più efficaci nell’identificare anomalie e riconoscere modelli che indicano potenziali minacce.
Bavisi, come innumerevoli professionisti della sicurezza, ritiene che, sebbene l’intelligenza artificiale svolga un ruolo sempre più importante nella sicurezza informatica, l’elemento umano resti insostituibile.
I professionisti informatici certificati, come gli hacker etici, i penetration tester e i programmi bug bounty , offrono capacità di risoluzione creativa dei problemi, adattabilità e un livello di intuizione che l’intelligenza artificiale semplicemente non può replicare.
“Questi professionisti sanno pensare fuori dagli schemi, affrontando i problemi da angolazioni inaspettate che i sistemi automatizzati potrebbero non cogliere”.
La conclusione
Uno studio di HackerOne rivela una svolta nel mondo IT, poiché i professionisti della sicurezza ora si concentrano tanto sulle soluzioni di sicurezza informatica basate sull’intelligenza artificiale quanto sull’analisi o gli alert sui rischi che l’intelligenza artificiale comporta.
Questo approccio consente al mondo di andare avanti e iniziare a implementare soluzioni efficaci. Oggi, l’IA è solo una pericolosa arma a doppio taglio se le organizzazioni danno priorità ai vantaggi economici prima della vera sicurezza dell’IA.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ