La sicurezza dell'AI è un tema su cui prevale ancora una grande distanza tra percezione e realtà. Le aziende integrano l'AI nei propri processi per beneficiare degli indubbi vantaggi che questa tecnologia apporta, ma non si preoccupano (abbastanza o per nulla) di quello che succede ai dati: gli sviluppatori interni collegano API e agent senza coinvolgere il CISO; le PMI caricano documenti riservati su strumenti cloud senza tenere conto della privacy e della criticità dei dati stessi; le linee di produzione si connettono a Internet senza informare l’IT. Questa fragilità si manifesta poi nella pratica quotidiana, e spesso impone di essere affrontata quando ormai è troppo tardi, come ricorda Alessandro Donelli, Chief Technology Officer di SimpleCyb, vendor italiano che si rivolge alle PMI e ai partner di canale medio-piccoli con una combinazione di tecnologia XDR, servizi MDR e un approccio volutamente diretto.

Il dato è il valore

Donelli parte evidenziando che "negli ultimi due anni abbiamo visto sempre più aziende con sviluppatori interni che integrano l'AI mediante API, usano prompt per la scrittura di script, senza nessun controllo. Il motivo è che allo sviluppatore interessa solo il risultato finale, non pensa di coinvolgere il team di sicurezza interno, quindi il suo CISO, oppure la proprietà". Siamo di fronte a un circolo vizioso che si ripete da vent'anni: il dato è il valore dell'azienda, ma l’azienda non lo protegge come dovrebbe. "Incontriamo clienti che comprano infrastrutture nuove, le integrano con l'AI, ma non hanno un backup, non prestano attenzione a che cosa non si può rendere pubblico". L'esempio più concreto portato da Donelli è quello di applicazioni in cui gli sviluppatori hanno condiviso documenti medici con l’anagrafica dei pazienti in chiaro.

Chi segue il settore riconosce la dinamica simile a quella vista durante la pandemia, con la migrazione frettolosa al cloud: si implementava la tecnologia, si rimandava la sicurezza. "Il problema era culturale - spiega Donelli – perché ci si convinceva che, usando un servizio esterno di Microsoft, Google o Amazon, si delegasse loro anche la sicurezza. Il punto è che l'AI è di fatto un servizio cloud su cui si possono caricare file e con cui l’utente può interagire. E, analogamente al cloud, la sicurezza è a carico del proprietario del dato, quindi di chi sottoscrive il servizio". Il momento giusto per mettere in sicurezza i dati è quello dell’implementazione del servizio stesso, non dopo, perché “nel dopo c’è già qualcuno che ha letto i dati, li ha esfiltrati, ha rubato delle credenziali" sottolinea Donelli.

Alessandro Donelli, Chief Technology Officer di SimpleCyb

Il manager individua anche una causa primaria di questo approccio: l'abbandono delle pratiche di sviluppo consolidate: "anni fa, spesso nelle grandi multinazionali era d’abitudine partire con la ricerca e sviluppo, condurre test, fare tutte le verifiche del caso, e solo alla fine mettere in produzione. Oggi i tempi devono essere veloci e il prodotto sviluppato in casa viene messo direttamente in produzione". Il risultato è che i sistemi AI aziendali vengono attivati senza essere mai stati testati sotto il profilo della sicurezza, dimenticando che la fase di test non consiste sono nel verificare se il clic porta al risultato desiderato, ma dovrebbe sincerarsi che lo strumento acceda solo ai dati necessari e verificati. La mancanza di questo passaggio agevola gli attacchi perché quando un sistema AI è configurato male, l'attaccante non ha nemmeno bisogno di strumenti sofisticati. Non solo: "con l’AI c’è un problema ulteriore: può rispondere rivelando codici, può dare informazioni che non sono idonee o conformi alla pubblicazione. Se un attacco di jailbreak va a buon fine, anche chatbot aziendali che sembrano innocui possono diventare vettori di informazioni verso chi li interroga con le domande giuste”. Per esempio, Donelli racconta di avere visto chatbot attivi che non fornivano servizi ad alto valore, ma che erano vulnerabili e una volta bucati potevano fornire dati critici all'attaccante.

Come riconoscere il rischio? La parola chiave è contestualizzazione. Un tempo si parlava solo di virus, malware e cryptolocker. Oggi gli attaccanti per lo più strumenti legittimi già presenti in rete per leggere i dati con lo scopo di estrapolarli, e l’AI può essere uno di questi strumenti. Per esempio, la funzione protettiva di un ottimo XDR può essere invalidata mettendo nella whitelist una serie di azioni apparentemente innocue che, in condizioni e momenti differenti, possono creare un problema di sicurezza serio.
SimpleCyb: la scelta di restare italiani

SimpleCyb opera sul mercato con la propria soluzione Simple Defence, un XDR evoluto che controlla il traffico in uscita e in ingresso, la posta elettronica, gli accessi ai portali cloud. Integra un SIEM, playbook personalizzati e definisce azioni ben precise: "siamo molto proattivi, in caso di un'anomalia sospetta, prima di tutto la blocchiamo, poi magari la sblocchiamo dopo tre o cinque minuti dopo esserci sincerati che non costituisce un pericolo, ma preferiamo procedere così perché arrivare tardi aumenta il rischio di esfiltrazione del dato".

I tecnici del servizio MDR H24 di SimpleCyb

Il servizio è veicolato attraverso il canale: i partner non comprano una licenza, "ma un pacchetto integrato con servizio MDR H24 in italiano e con un team che segue procedure solide. Il nostro valore è dato dalla combinazione fra tecnologia e servizio" sottolinea Donelli. I partner hanno accesso a una console personalizzata e possono aprire ticket a qualsiasi ora; se e quando necessario, SimpleCyb contatta direttamente il cliente finale, di comune accordo con il partner, che magari è un'azienda piccola con personale ridotto o non attivo di notte. La scelta di operare interamente in italiano e di puntare sulla semplicità del linguaggio non è casuale: "con certi partner e certi clienti, dieci righe di tecnicismi non riescono a spiegare quello che una frase chiara riesce a chiarire. Quando il cliente capisce cos’è successo e come si è rimediato, capisce anche il valore di quello che sta comprando" conclude Donelli.

Prima di acquisire un cliente, SimpleCyb svolge una fase di assessment e attività di red teaming sulle integrazioni AI insieme a un partner tecnologico del cliente, con l’obiettivo di verificare, per esempio, se l'AI ha accesso agli strumenti aziendali tipo CRM o ticketing, e se è vulnerabile ad attacchi di tipo jailbreak.

La copertura di SimpleCyb si estende anche all'OT, con Simple Defence OT specificatamente pensato per il mondo industriale. Come noto, in ambito OT il blocco automatico dei processi non è praticabile per diversi motivi di sicurezza fisica e produttiva, per questo l'approccio è di monitoraggio continuo, asset inventory, analisi dei protocolli di comunicazione tra macchinari. "Se vediamo un protocollo anomalo, qualcosa che sta interrogando una macchina di produzione in maniera inedita, approfondiamo che cosa sta accadendo e un caso di sospetto attacco definiamo le procedure di remediation con il responsabile di produzione" spiega Donelli. Dove sono presenti macchine Windows, viene installato l'XDR, che supporta anche Windows XP per garantire compatibilità con sistemi obsoleti ma ancora in attività.

Sul fronte della compliance normativa e in particolare della NIS2, "in questo momento il nostro lavoro maggiore è rendere consapevole il cliente di essere soggetto a questa normativa", soprattutto se il cliente è una piccola realtà manifatturiera, dove la transizione verso Industry 4.0 ha portato a connettere a Internet macchinari che prima erano in ambienti chiusi, senza che l’IT ne fosse informato. "Troviamo macchine senza antivirus e che sono collegate a Internet, clienti che dichiarano di avere una sola macchina connessa e invece ne scopriamo tre, con sensori di cui non si conosce né la provenienza né l’anno di produzione".

Tra i servizi di SimpleCyb figura inoltre Simple Check, un pacchetto che si occupa di monitoraggio del backup. "Controlliamo che il backup sia attivo e definiamo con il partner un test di restore ogni tre mesi, perché ci troviamo spesso con clienti che hanno impostato il processo backup, ma nel momento del bisogno il ripristino non funziona perché lo spazio di archiviazione era esaurito da tempo, perché il NAS era guasto, perché sono state aggiunte macchine senza essere incluse nel piano di backup, eccetera”.

Il filo conduttore di tutti i problemi descritti finora è il gap culturale, motivo per il quale SimpleCyb sta valutando di allestire corsi di awareness per i partner, di modo da renderlo consapevole (e a cascata l’utente finale) che si può sfruttare l'AI, ma a fronte di una protezione di sicurezza e di adeguati atteggiamenti da parte dell’utente.