La formazione contro il phishing è ancora utile nell'era dell'intelligenza artificiale?

Dobbiamo smettere di scaricare la colpa. Anche se è impopolare, la protezione dell'azienda rimane una responsabilità del dipartimento di sicurezza informatica. Gli altri dipendenti possono svolgere un ruolo di supporto solo riconoscendo per tempo le e-mail pericolose. Questo non può essere dato per scontato e in futuro accadrà sempre meno, nonostante la formazione, come dimostra un recente studio. La sicurezza informatica deve funzionare anche se una persona causa un incidente, proprio come in un'automobile. Perché se si verifica un incidente e l'uomo non è più in grado di intervenire, i sistemi automatici come le cinture di sicurezza o gli airbag assumono l'importante compito di ridurre al minimo l'impatto del danno, proprio come in un'automobile.

Cosa significa questo di fronte all'IA?

Le IA, in particolare gli LLM (Large Language Models), sono ottimizzate per la comunicazione macchina-uomo. Sono in grado non solo di mettere insieme le parole in modo significativo, ma anche di imitare lo stile di scrittura e di conversazione. Utilizzando la cosiddetta "ingegneria del prompt", ossia la programmazione tramite l'immissione di comandi, praticamente qualsiasi utente può dire alla macchina come comportarsi. Ciò rende sempre più difficile per le vittime riconoscere la differenza tra una comunicazione normale e una fraudolenta, mentre l'IA riduce i costi e aumenta la produttività.

Nel settore delle frodi, lo sforzo maggiore è rivolto agli attacchi mirati. L'autore del reato si confronta con la vittima e cerca di creare un attacco irresistibile a partire dalle informazioni disponibili. Con lo spear phishing non si tratta di incidenti, perché non avvengono per caso. Si tratta di attacchi in senso lato, e il loro tasso di successo, secondo un altro studioè superiore al 50%, anche tra gli esperti puramente umani. Questo tipo di attacco si è verificato raramente nella realtà. Questo perché la quantità di lavoro richiesta è notevole. Ma cosa succede quando l'intelligenza artificiale prende il sopravvento? L'analisi dei dati e la creazione di un profilo di attacco verrebbero automatizzati. Secondo lo studio, ciò avrebbe portato a risultati ragionevoli nell'88% dei casi. Il contenuto generato non può più essere distinto dalla normale comunicazione.

Più le soluzioni di intelligenza artificiale diventano veloci ed efficaci, più frequentemente verranno utilizzate anche nella criminalità informatica e meno spesso gli esseri umani riconosceranno questa componente della sicurezza, indipendentemente dal livello di formazione.

Cosa possiamo fare adesso?

La tecnologia è sempre stata la controparte dell'errore umano ed è progettata per evitarlo o almeno per ridurre al minimo i danni che ne derivano. Nella sicurezza informatica, gli elementi costitutivi di Zero Trust, Cyber Risk Exposure Management (CREM) e Detection and Response sono ben noti. Questi elementi riducono il rischio di accadimento e l'impatto degli incidenti. Per queste tecnologie e strategie, è irrilevante la provenienza dell'attacco e il motivo per cui non è stato possibile evitarlo. Metaforicamente parlando, sono le cinture di sicurezza e gli airbag a garantire la sopravvivenza in caso di danni. Se un dipendente che clicca su un link è responsabile del fatto che un'azienda sia completamente criptata, il problema non è il dipendente, ma l'infrastruttura di sicurezza dell'azienda stessa.

Conclusione: la formazione è necessaria? Quando hanno senso?

La formazione è costosa. Non solo i costi di introduzione dei processi, ma anche il carico di lavoro di ogni singolo dipendente devono essere presi in considerazione. È quindi legittimo esaminare il valore aggiunto. Questo consiste nel ridurre la probabilità che si verifichino attacchi informatici. La formazione è sempre stata una parte importante delle strategie di sicurezza. Ma come tutto ciò che riguarda la sicurezza, anche questa perde efficacia con il passare del tempo. Tuttavia, ciò non significa che questa componente diventi immediatamente inutile. Finché la sicurezza informatica è sfruttata al massimo dal numero di eventi individuali da controllare, la formazione è necessaria per ridurli.

La formazione contro il phishing è particolarmente importante quando si tratta della frode in sé e del riconoscimento delle bandiere rosse, come la richiesta di denaro o di accesso ai dati aziendali. I dipendenti devono anche capire perché devono seguire i processi di sicurezza, come l'autenticazione a più fattori quando accedono ai dati, e come gli aggressori cercano di superarli. Sì, la formazione rimane importante. Ma non sono una scusa per gli incidenti di sicurezza. Lo stigma della colpa se un dipendente non l'ha riconosciuta non è utile, perché in futuro accadrà più spesso. Le aziende devono prendere precauzioni per garantire che, anche se dovesse accadere il peggio, l'impatto rimanga limitato.

Fonte: Trend Micro