Parlare di cybersecurity oggi vuol dire toccare un tema sensibilissimo, alla luce del volume crescente delle minacce che vengono giornalmente portate, attraverso la rete Internet, ai nostri sistemi.
Principali minacce alla sicurezza delle nostre informazioni in rete
Minacce rivolte a violare i tre requisiti essenziali per la protezione delle nostre informazioni in rete: la riservatezza, l’integrità e la disponibilità dei dati. Ognuno di questi tre aspetti è messo in discussione continuamente, da ogni tipologia di violazione: dai malware che ci arrivano attraverso mail di phishing (o anche sms o messaggi vocali), con l’obiettivo di farci cliccare link malevoli per carpire le credenziali di accesso ai nostri dati personali, fino a quelle minacce che utilizzano la rete per bloccare l’accesso a servizi essenziali, a creare danni e disagi di ogni tipo.
È tutta una casistica di attacchi che vengono portati al nostro “Corpo digitale”, costituito dai nostri dati, dalla nostra “identità” digitale. E attacchi continui vengono portati anche alle banche dati pubbliche, ai server dei fornitori di servizi, delle aziende e delle pubbliche amministrazioni, o anche alle infrastrutture critiche, come le centrali energetiche, gli acquedotti, le reti di trasporto, ecc.
È il panorama che gli esperti di cybersecurity si trovano a fronteggiare continuamente, minuto per minuto, 24 ore al giorno, sette giorni a settimana, senza interruzioni di sorta. E una notevole criticità è rappresentata anche dal fenomeno della disinformazione, con la diffusione di notizie false (“fake”) o manipolate, per condizionare la pubblica opinione, e per influenzarne i comportamenti, particolarmente in occasione di importanti appuntamenti politici ed elettorali.
Chi sono gli attori malevoli che attentano alla nostra sicurezza
Chi sono gli attori malevoli, protagonisti di questi attacchi? È bene chiarire che non siamo più in presenza di ragazzini nerd incappucciati, che agiscono per curiosità o divertimento dalla cantina di casa, come nel classico cinematografico di John Badham “Wargames”, del 1983, o la serie televisiva statunitense “Mr. Robot”, del 2015, e non sono più gli attori principali neanche degli attivisti politici, o pseudopolitici, alla “Anonymous”. Queste tipologie di attori non si annoverano più, ormai, tra le maggiori minacce, anche se, naturalmente, questa tipologia di attaccanti esiste sempre. Oggi ci troviamo di fronte a vere e proprie “organizzazioni” di cyber criminali, con strutture organizzative che nulla hanno da invidiare alle più efficienti organizzazioni multinazionali.
Si tratta in gran parte di organizzazioni criminali a scopo di lucro (vedi tutta la filiera degli attacchi “Ransomware”), o di terrorismo, e anche di strutture organizzate guidate da attori occulti, di tipo parastatale o fiancheggiatori, che conducono le loro guerre ibride ad ampio spettro. Inutile citare i casi specifici ed i protagonisti, fin troppo noti, che agiscono in questi ultimi tempi.
Difesa dai cyberattacchi: l’importanza della consapevolezza
Questo è il quadro, piuttosto allarmante, in cui ci troviamo attualmente ad operare, con il numero e la complessità delle minacce in costante aumento.
Sul fronte difensivo si fa sempre fatica a rincorrere le minacce, a risolvere le situazioni critiche, e a rimediare alle conseguenze di quegli attacchi andati inevitabilmente a segno. Molti passi in avanti si stanno compiendo, per aumentare la consapevolezza, la “awareness”, degli utenti della rete, educandoli a mantenere una corretta postura di sicurezza: dall’attenzione al phishing, ad una corretta politica delle password, all’utilizzo di fattori di autenticazione multipli, alle procedure di backup e aggiornamento dei sistemi, e così via. Così come anche la competenza delle strutture aziendali si va gradualmente evolvendo, e si passa gradualmente da un atteggiamento verso la Cybersecurity vista come un costo, a quello di considerarla una componente essenziale nella protezione dell’azienda, del proprio business o fornitura di servizi.
Tutte queste forme di vulnerabilità pervadono ogni tipo di sistema e di applicazione connesso alla rete internet. I mondi virtuali, anch’essi basati su internet, non fanno eccezione. Una piattaforma di gestione di un Mondo Virtuale, qualunque essa sia tra le circa duecento esistenti, deve fare i conti con tutte queste problematiche, deve adottare adeguate policies di sicurezza, e deve definire una Governance di cybersecurity adeguata, attraverso una costante attività di Gestione dei Rischi, di continuo aggiornamento e verifica dei processi.
Gestione dell’identità e privacy degli Avatar
Ma un Mondo Virtuale non è soltanto un’applicazione web basata su internet, è anche molto di più. Una piattaforma di gestione di un Mondo Virtuale determina infatti la creazione di una infrastruttura di scambio sociale, di un “luogo” vero e proprio, in cui le persone, per il tramite del proprio “Avatar”, interagiscono tra loro, costruiscono ambienti, sviluppano attività economiche, lavorano e partecipano ad eventi, svolgono molteplici attività di ogni genere, di lavoro o di svago. In un “luogo” del genere, un vero e proprio continente digitale, in cui gente di ogni parte del mondo interagisce e lavora, si devono affrontare nuove e più avanzate minacce, alcune delle quali di tipo completamente nuovo, più vicine a quelle del mondo fisico di tutti i giorni che a quelle tipiche delle applicazioni in rete.
Il modello a più layer per la cybersecurity dei mondi virtuali
Questo è il motivo per cui la cybersecurity nei mondi virtuali deve essere vista nel suo insieme, affrontando allo stesso tempo tutte queste tipologie di minacce, per rendere questi ambienti sicuri, e favorevoli allo sviluppo delle attività personali o di business.
Ho elaborato quindi un Modello Concettuale complessivo, che ci aiuta a classificare e gestire questa complessità: il Modello a più Layers per la “Cybersecurity dei Mondi Virtuali”. Questa rappresentazione definisce un modello di “Defence in Depth” indispensabile per affrontare questi livelli di complessità in modo strutturato. Ho illustrato dettagliatamente questo modello, così come pure sinteticamente la storia dei Mondi Virtuali e una disamina delle principali piattaforme attuali, nel mio lavoro: “La Cybersecurity nel “Metaverso” – Eurilink University Press – Giugno 2024.
Possiamo vedere la cybersecurity nei mondi virtuali come composta da quattro layers, concentrici e interdipendenti, ognuno con le proprie caratteristiche, a partire dal primo layer, quello più esterno della rete internet. È il layer che conosciamo bene, delle attività quotidiane di contrasto e di difesa dai cyber attacchi. Sono le problematiche descritte all’inizio di questo articolo, quelle conosciute e quelle in continua evoluzione.
L‘identità dell’Avatar
Il secondo layer è quello che riguarda l’identità dell’Avatar, il nostro alter ego virtuale, qualunque sia la forma di presenza che intendiamo utilizzare nei mondi virtuali, che sia anonima o chiaramente identificabile. Le criticità da gestire riguardano l’integrità e la riservatezza dei dati personali, con le problematiche che conosciamo, ma riguardano anche la notevolissima mole di dati che possono essere raccolti all’interno di un Mondo Virtuale, sulla base delle interazioni con gli altri utenti, dei comportamenti, degli acquisti, delle molteplici attività che vi si svolgono, o anche dei movimenti stessi dell’Avatar nell’ambiente, persino la sua postura.
La protezione della proprietà intellettuale degli asset digitali e delle transazioni economiche
Il terzo layer riguarda l’Economia, la protezione della proprietà intellettuale degli asset digitali e delle transazioni economiche che si sviluppano sulle varie piattaforme, derivanti dalle molteplici attività, di produzione e commercializzazione di manufatti e di accessori, o anche di opere artistiche e intellettuali, che vengono prodotte in quest’ambiente virtuale. Sono le attività imprenditoriali, di ricerca e di produzione artistica, che qui si svolgono, e che trainano la crescita dei mondi virtuali.
Il tema della protezione della proprietà intellettuale si pone da sempre, non solo nei mondi virtuali, basti pensare anche, negli ultimi tempi, allo “scraping” delle Intelligenze Artificiali in rete, per il loro addestramento, o all’enorme mercato della contraffazione di prodotti di ogni genere. Ma la produzione di opere virtuali in ambiente 3D rappresenta una delle componenti essenziali dell’economia virtuale, e ad oggi non è tutelata a sufficienza.
L’uso della blockchain nella cybersecurity dei mondi virtuali
È questo, quindi, il layer in cui la tecnologia della blockchain può dare un grande contributo, indipendentemente dall’uso o meno delle Criptovalute, perché è la tecnologia stessa della Blockchain a fornire un modello affidabile, protetto e distribuito, per la registrazione e la salvaguardia degli asset digitali. È il mondo degli Smart Contract e degli NFT, con l’enorme sviluppo avuto negli ultimi anni, e che molto hanno fatto discutere, per la presenza su questo mercato di avventati cripto speculatori, in cerca di facili guadagni. Si tratta di una tecnologia ancora giovane, tuttora in fase di studio e di sperimentazione anche da parte delle grandi organizzazioni finanziarie, che si spera venga attentamente valutata e sviluppata in futuro, indipendentemente dai preconcetti e dalle speculazioni legate alla sua nascita. È una opportunità già sfruttata in alcuni settori, non solo per gestire criptovalute, ma da tutto un mondo di attività e di applicazioni decentralizzate.
Utilizzare o meno la tecnologia della blockchain fa parte delle scelte e delle policies delle varie piattaforme: alcune la utilizzano (Decentraland, The Sandbox, Spatial, ecc.), altre ne fanno a meno per motivi di impostazione aziendale, ma tutte hanno una propria valuta interna di comune utilizzo (dal Mana, al Linden Dollar al Robux, ecc.), acquistabile e scambiabile direttamente.
Cyberpsicologia: proteggere l’utente da interazioni nocive
Il quarto layer, quello della Cyberpsycology, riguarda la protezione della persona stessa, nelle sue interazioni con gli altri utenti del mondo virtuale, con l’esposizione a minacce di nuovo tipo, come quelle derivanti dai comportamenti aggressivi, dal cyberbullismo, dalle truffe economiche e sentimentali, e dagli attacchi di tipo psicologico portati alle persone che frequentano questi ambienti.
Impatto delle AI e gestione dei bot nei mondii virtuali
L’entrata in scena delle AI ha inoltre allargato ulteriormente il perimetro di sicurezza, comprendendo i nuovi rischi derivanti dalla necessità di una corretta identificazione dei bot controllati dalle AI, per potervi interagire senza confonderli con Avatar umani, e valutare al meglio le loro interazioni. Anche la protezione della proprietà intellettuale e dei dati è messa a dura prova da questi nuovi attori.
Sono tematiche di cybersecurity per molti aspetti nuove, che richiedono il contributo di diverse professionalità per essere gestite, con competenze sia di tipo tecnico, che psicologico, che manageriale. Su molti di questi fronti le giurisdizioni stesse nei vari contesti nazionali, e le diverse regolamentazioni sovranazionali (come il GDPR e l’AI-Act europeo), devono compiere dei passi in avanti ulteriori per affrontare queste nuove esigenze.
Conclusioni
Dal modo in cui verrà gestita la cybersecurity nei mondi virtuali dipenderà anche il futuro sviluppo di queste piattaforme, per poter mettere a disposizione degli operatori degli ambienti in cui la dignità e i diritti degli individui vengano sempre messi al primo posto, così come anche la sicurezza delle attività economiche e progettuali che in questi ambienti si sviluppano.
È un mondo in continua evoluzione, che superato l’hype creato dall’annuncio di Meta, a fine 2011, si avvia a rappresentare, secondo tutte le ricerche, una delle prospettive più promettenti del cosiddetto “Web 3.0”, in cui la Realtà Virtuale, come quella Aumentata, diventeranno parte integrante della nostra vita quotidiana, delle nostre interazioni sociali e della nostra economia.
