L’intelligenza artificiale riveste un ruolo sempre più importante per la società. Questo tipo di tecnologia, infatti, viene utilizzata in una molteplicità di settori, facilitando e rendendo più rapidi alcuni processi, quale quello di decision-making.
Tuttavia, l’AI pone delle grandi sfide in tema di sicurezza. La sua applicazione, infatti, può esporre individui e organizzazioni a nuovi e imprevedibili rischi, aprendo la strada a nuove modalità di attacchi informatici.
Il report pubblicato dall’ENISA lo scorso 15 dicembre ha lo scopo di individuare le principali minacce e rischi di sicurezza informatica legati all’intelligenza artificiale, al fine di prevedere i possibili scenari di attacco e fornire elementi sufficienti per un adeguata valutazione del rischio.
Il ciclo vitale dell’AI
Nell’ambito della digitalizzazione, l’intelligenza artificiale gioca un ruolo chiave. Il suo contributo non si limita a permettere un miglioramento dei processi produttivi o ad una maggiore rapidità dei processi decisionali. Le tecnologie AI, infatti, possono essere utilizzate come strumento per incrementare il livello di cybersecurity, attraverso dei controlli di sicurezza più efficaci (come operazioni automatizzate di cyber threat intelligence) e per rafforzare la capacità delle forze di polizia di rispondere ai cybercrime.
Tuttavia, l’intelligenza artificiale può essere utilizzata per creare attacchi informatici più sofisticati, quali attacchi Ddos o malware potenziati da AI.
Proprio per questo è importante analizzare il ciclo vitale di un sistema AI, al fine di identificare le potenziali minacce legate a una specifica fase. In particolare, il report si concentra sulle fasi che un’organizzazione deve seguire per trarre vantaggio dall’utilizzo di tecnologie AI, nello specifico di modelli di machine learning (ML) utilizzati per incrementare il valore del business dell’azienda.
Tra gli attori coinvolti nel ciclo vitale di un sistema AI, troviamo innanzitutto i progettisti, incaricati della progettazione e della creazione di sistemi AI. Poi, vi sono gli sviluppatori che, oltre a sviluppare e costruire i software e gli algoritmi dei sistemi AI, si occupano del perfezionamento e del rafforzamento degli stessi.
Questi lavorano a stretto contatto con i data scientist, coinvolti nella raccolta e nell’interpretazione dei dati. I data engineer, invece, si occupano di trasformare i dati raccolti, standardizzare e immagazzinare i dati.
I proprietari dei dati svolgono un ruolo molto importante. Essi, infatti, possiedono l’insieme di dati che vengono utilizzati per istruire e convalidare i sistemi AI. I data owner, inoltre, possono essere anche data provider, ovvero terze parti che monetizzano i dati utilizzati dai sistemi AI.
Altri attori del ciclo vitale sono i model provider, i cloud provider e i third-party provider.
Infine, ci sono ci sono gli utenti finali che utilizzano i sistemi AI, tra questi sono comprese le società, molte delle quali utilizzano i modelli AI.
Il ciclo vitale di un sistema AI inizia con la definizione, da parte dell’azienda, dei fini commerciali dello stesso. In base allo scopo, infatti, l’azienda individua il modello AI e quindi i dati utili da impiegare nello sviluppo dell’applicazione o del sistema.
La fase successiva è chiamata data ingestion e consiste nell’importazione di dati da molteplici fonti. A ogni tipologia di dati è attribuita un diverso livello di privacy che viene utilizzato per definire il Service Level Agreement dell’applicazione AI. Il progettatore dell’applicazione deve assicurarsi che l’importazione di dati avvenga rispettando sia le policy sull’uso dei dati dei data provider che le norme europee sulla privacy.
La terza fase è la cosiddetta data exploration, fondamentale per comprendere la tipologia di dati raccolti e verificare se essi rispecchiano le distribuzioni statistiche conosciute.
Segue la fase del data pre-processing, necessaria per pulire, integrare e trasformare i dati. Questo processo è utile per migliorare la prestazione e l’efficienza del sistema AI attraverso il miglioramento dei dati. La pulizia, in particolare, viene utilizzata per eliminare le incongruenze tra i dati e per renderli anonimi.
La fase della feature selection, invece, consiste nell’individuazione dei componenti più significativi e utili di ogni dato, al fine di eliminare gli altri ed ottenere un data set più snello e un modello più comprensibile.
Ad essa segue la fase del model selection, durante la quale viene scelto il modello AI più adatto alla costruzione del sistema, il che implica anche la scelta della strategia di addestramento del modello.
Quindi, vi è la fase del model training. Questa fase è cruciale per applicare l’algoritmo di addestramento scelto per modificare il modello in base ai dati selezionati. La tipologia di addestramento viene testata secondo parametri scelti e, quindi, perfezionata. In questa fase rientra anche il processo di model tuning, durante il quale il modello viene adattato a dei particolari parametri, detti hyper-parameter.
La fase successiva è quella del transfer learning, durante la quale viene creato un modello AI addestrato al fine di individuarne i punti deboli e le imperfezioni e migliorarlo successivamente.
Una delle fasi finali è quella del model deployment, ovvero dello sviluppo del modello AI, che sia esso un software, un firmware o un hardware.
La fase del model mantainance è necessaria a monitorare il corretto funzionamento del modello e, nel caso, intervenire con cambiamenti del concept.
La fase finale è quella del business understanding. Poiché lo sviluppo di un modello AI richiede soldi e tempo, infatti, è necessario valutare accuratamente l’impatto del modello sul business dell’azienda.
Rapporto Enisa: le principali minacce per la sicurezza informatica dei sistemi di AI
Poiché i sistemi di AI sono particolarmente esposti a minacce di sicurezza informatica, è necessario conoscere i potenziali rischi per adottare le adeguate misure di valutazione e gestione del rischio.
Gli attori malevoli che potrebbero corrompere il corretto funzionamento dei sistemi AI sono numerosi.
Innanzitutto, vi sono i cybercriminal, motivati da ragioni economiche. Essi utilizzano l’intelligenza artificiale come strumento per perpetrare un attacco, oppure sfruttano le vulnerabilità dei sistemi AI.
Altri attori potenzialmente pericolosi sono i membri di un’azienda. Essi possono essere agire intenzionalmente, ad esempio per sabotare il dataset utilizzato dal sistema AI dell’azienda o agire involontariamente, corrompendo per errore lo stesso dataset.
I terroristi, invece, rappresentano una minaccia per i cittadini in quanto, ad esempio, potrebbero compromettere il corretto funzionamento di autovetture senza conducente e utilizzarle come arma per ferire o uccidere altre persone.
Infine, vi sono due tipologie di attori potenzialmente meno pericolosi: gli hacktivist, che sono guidati da motivazioni ideologiche, denunciano i pericoli insiti nei sistemi AI e possono hackerarli anche solo per provare che questo può avvenire; gli script kiddies (dilettanti), invece, utilizzano dei codici già prescritti, in quanto non possiedono le capacità tecniche per crearne uno da soli.
Nell’elaborare il modello di classificazione delle minacce, l’Enisa ha seguito cinque step:
- identificare gli obiettivi e le priorità di sicurezza;
- mappare il sistema, i componenti e le interazioni coi sistemi esterni;
- individuare gli asset critici in termini di sicurezza;
- identificare le principali minacce;
- verificare se il sistema è vulnerabile alle minacce individuate.
Da ultimo, il report delinea la tassonomia che è stata utilizzata per mappare l’AI Threat Landscape:
- attività illecite/abusi: azioni malevoli contro sistemi e reti ICT finalizzate a rubare o distruggere un target;
- spionaggio/hijacking: azioni finalizzate a interrompere o prendere il controllo di comunicazioni di terze parti;
- attacchi fisici: distruggere, alterare, disabilitare, rubare o ottenere l’accesso ad asset fisici, quali infrastrutture o hardware;
- danni non intenzionali: azioni involontarie che provocano un danno a cose o a persone;
- guasti/malfunzionamenti
- disservizi: interruzione improvvisa di un servizio
- disastri: un incidente improvviso o una catastrofe naturale che causa un grave danno o addirittura la morte di persone;
- azioni legali di parti terze per compensare le perdite subite.
Conclusioni
La volontà dell’Enisa di analizzare nel dettaglio le minacce di sicurezza informatica legate all’uso di sistemi AI riflette l’importanza che l’intelligenza artificiale riveste nella società.
I diversi settori in cui vengono utilizzati sistemi AI sono interessati da rischi più o meno significativi. È importante, secondo l’Enisa, adottare una linea comune europea di contrasto alle minacce, partendo dal panorama messo in luce dal report.
Il report, inoltre, evidenzia la necessità di adottare nuove misure di controllo delle minacce, il che richiederà un grande lavoro delle forze di polizia.
Data la sempre maggiore compenetrazione tra intelligenza artificiale e sicurezza informatica, è importante promuovere la creazione di gruppi multidisciplinari formati da esperti di cybersecurity in ambito AI, come l’Enisa Ad-Hoc Working Group on Artificial Intelligence Cybersecurity.
Uno degli elementi che assume maggiore rilevanza nel report è l’importanza della supply chain. È necessario, infatti, oltre a monitorare l’intero ciclo vitale del sistema AI, poter fare affidamento su vendors di fiducia, implementando così la security-by-design.
L’Enisa ha, infine, sottolineato come l’ecosistema AI dovrebbe porre al primo posto la cybersecurity e la protezione dei dati e promuovere l’innovazione, l’aumento della consapevolezza e le iniziative di ricerca e sviluppo.
