La sicurezza delle informazioni è una disciplina che si occupa di proteggere i dati sensibili di un'organizzazione dalle minacce esterne e interne. Uno degli standard più noti a livello internazionale in materia di sicurezza delle informazioni è l'ISO 27001, che fornisce una serie di linee guida e requisiti per la gestione della sicurezza dei dati.

L'ingegneria sociale è una tecnica utilizzata da coloro che cercano di ottenere informazioni riservate o di accedere a sistemi protetti, ingannando le persone coinvolte. Gli attacchi di ingegneria sociale possono assumere diverse forme, come il phishing, il baiting o il pretexting.

Uno dei casi più noti di ingegneria sociale è quello di Kevin Mitnick, un hacker che è riuscito a eludere la sicurezza di numerose aziende e istituzioni utilizzando principalmente tecniche di ingegneria sociale. Mitnick è diventato famoso negli anni '90 per aver violato i sistemi di sicurezza di aziende come Motorola e Sun Microsystems, oltre ad aver ottenuto illegalmente informazioni riservate dal Department of Defense e dalla National Security Agency.

Grazie alla sua abilità nell'ingannare le persone e nel persuaderle a rivelare informazioni riservate, Mitnick è stato in grado di ottenere accesso a sistemi protetti e di rubare dati sensibili. È stato infine catturato dall'FBI nel 1995 e ha trascorso cinque anni in prigione.

Oggi, Mitnick è un consulente di sicurezza informatica e lavora con aziende e organizzazioni per aiutarle a proteggere i loro sistemi dalle minacce informatiche. Tuttavia, la sua storia rappresenta un importante monito sulla necessità di proteggere le informazioni sensibili e di essere vigili contro le tecniche di ingegneria sociale.

L'adozione di standard come l'ISO 27001 può aiutare le organizzazioni a proteggere i loro dati sensibili, ma è altrettanto importante sensibilizzare i dipendenti sui rischi dell'ingegneria sociale e fornire loro gli strumenti per riconoscere e prevenire questo tipo di attacchi.

Inoltre, è fondamentale avere una solida strategia di sicurezza delle informazioni in atto, che includa la protezione dei dati in tutte le fasi del loro ciclo di vita, dalla raccolta alla conservazione e alla distruzione. Solo in questo modo le organizzazioni possono proteggersi dalle minacce informatiche e garantire la sicurezza delle informazioni.

Oltre all'adozione di standard di sicurezza e alla sensibilizzazione dei dipendenti, ci sono altre misure che le organizzazioni possono prendere per proteggere i loro dati sensibili. Ad esempio, è importante utilizzare software di sicurezza aggiornato per proteggere i sistemi da malware e virus, nonché utilizzare password forti e cambiarle regolarmente.

Inoltre, le organizzazioni dovrebbero limitare l'accesso ai dati sensibili solo ai dipendenti che ne hanno effettivo bisogno per svolgere le loro attività lavorative, e implementare procedure di monitoraggio per rilevare eventuali attività sospette o irregolari.

Infine, è importante essere preparati per affrontare eventuali violazioni della sicurezza, avendo in atto piani di risposta alle emergenze che prevedano la notifica tempestiva alle autorità competenti e la comunicazione ai clienti e agli stakeholder.

In conclusione, la sicurezza delle informazioni è una disciplina cruciale per le organizzazioni di oggi, che devono affrontare sempre nuove e complesse minacce informatiche. Adottare standard come l'ISO 27001, sensibilizzare i dipendenti sui rischi dell'ingegneria sociale e implementare misure di sicurezza efficaci sono tutti passi importanti per proteggere i dati sensibili e garantire la sicurezza delle informazioni.

Questo articolo in verità contiene una nota d'autore (N.d.A.) o, per i più nerd, l'evoluzione di un easter-egg; il testo che avete appena letto è stato infatti generato dalla discussa intelligenza artificiale GPT-3, già descritta dal collega Marco qui. Con questo articolo abbiamo voluto testare con un'applicazione concreta la capacità del software di scrivere testo con senso compiuto.

Il testo generato può essere considerato accettabile nel contenuto, qualora rimanessimo nel perimetro della divulgazione. Nessuna parte dello scritto è stata corretta e, come avrete notato, contiene alcune imprecisioni lessicali; in particolare la sintesi del significato di ingegneria sociale risulta perfettibile.

Doveroso porre rimedio citando il Glossario intelligence edito dal Sistema di informazione per la Sicurezza della Repubblica[1] nel quale alla voce Ingegneria sociale (social engineering), troviamo:

Tecniche di manipolazione psicologica impiegate online (ma non solo) per indurre gli utenti a compiere determinate azioni o a rivelare informazioni confidenziali, come le credenziali di accesso a sistemi informatici.  

Le evoluzioni dei sistemi di intelligenza artificiale ci spingono a riflettere in merito all'impatto sulla sicurezza delle informazioni e su come possano essere utilizzati per migliorare gli attacchi di ingegneria sociale.

Prendiamo ad esempio il phishing, la generazione di testi sgrammaticati resta la prima discriminante che l'utente utilizza per non cliccare su un link malevolo contenuto all'interno di una mail fraudolenta. Ora immaginiamo che i messaggi di phishing creati allo scopo di ingannare l'utente vengano invece recapitati con una semantica corretta, utilizzando GPT-3 o altri sistemi di AI aumenteremmo la qualità e la quantità di messaggi inviati.

Per chi abbia interesse ad approfondire il funzionamento di GPT-3, di come il sistema è stato addestrato e le fonti che vengono utilizzate, vi consigliamo un video approfondimento di Matteo Flora: (Durata 38 min. https://www.youtube.com/watch?v=sVvGZDoEEeQ)

[1] Nuova edizione del Glossario di intelligence - Sicurezza Nazionale