I sostenitori della privacy premono per l’applicazione di restrizioni sulle modalità di condivisione e archiviazione della realtà aumentata L’acquisizione di Oculus Rift da parte di Facebook nel 2014 lasciava presagire l’esplosione della realtà virtuale (VR), ma tre anni dopo stiamo ancora aspettando la diffusione della tecnologia su larga scala. La realtà aumentata (AR), invece, è già pronta. Il grande pubblico ne ha avuto un assaggio con la pazzia scatenata da PokemonGo nel 2016 e l’adozione di massa è già una realtà grazie al rilascio di ARKit da parte di Apple, e anche Google non è da meno e sta per rilasciare ARCore. La realtà aumentata aggiunge un contenuto virtuale su un’immagine del mondo reale. Ci sono anche numerose piattaforme AR indipendenti come ARToolKit, Wikitude e Vuforia. Anche se Microsoft spera di farlo con i visori (HoloLens), per ora dovremo accontentarci di utilizzare i nostri smartphone.
Perché questo è un rischio per la privacy? Al fine di determinare quali immagini digitali aggiungere e dove, il telefono cattura i dettagli dell’ambiente circostante e li invia a un motore di intelligenza artificiale basato su cloud affinché siano analizzate. Le aziende che si occupano di AR sono anche motivate nell’incoraggiare gli utenti a condividere i dati AR acquisiti dai loro dispositivi, al fine di migliorare l’esperienza per tutti gli altri utenti, nello stesso modo in cui Waze ha costruito mappe del traffico grazie al contributo degli utenti. Questa volta però si tratta di una mappa dell’ambiente fisico dell’utente, non solo di coordinate GPS.
Le sanzioni pecuniarie significative in arrivo per chi non è conforme – con l’entrata in vigore del GDPR – costringono le aziende a correre per recuperare il ritardo Se non avete familiarità con il regolamento generale UE sulla protezione dei dati personali (GDPR), toccherà alla vostra azienda. Il GDPR è un regolamento sulla riservatezza dei dati sancito dall’Unione europea che sostituisce la direttiva UE sulla protezione dei dati. L’obiettivo del GDPR è quello di “armonizzare le leggi sulla privacy dei dati in tutta Europa, per proteggere e responsabilizzare tutti i cittadini dell’UE sulla privacy dei dati e per riorganizzare il modo in cui le aziende europee affrontano la privacy dei dati”. In quanto regolamento, si applica a tutti gli Stati membri dell’UE senza una legislazione nazionale separata e comporta sanzioni finanziarie significative in caso di inosservanza. Sappiamo da un po’ di tempo che sarebbe arrivato, ma ora siamo nel 2018, e non è più possibile procrastinare.
Il GDPR è stato proposto per la prima volta nel gennaio 2012 e adottato formalmente dal Parlamento Europeo nell’aprile 2016. Da allora, le aziende hanno avuto un periodo di due anni di transizione durante il quale le normative non sono state applicate, ma tutto cambierà il 25 maggio 2018. Il GDPR ha una portata molto ampia e avrà ripercussioni sulle imprese di tutto il mondo. La normativa si applica a tutte le società che raccolgono o elaborano dati su una persona basata nell’UE e la conformità richiede l’attuazione e la documentazione di una serie di controlli di sicurezza. Ma perché il GDPR è più importante della moltitudine di leggi/norme sulla privacy già esistenti a livello nazionale, locale e di settore?
In primo luogo, il campo di applicazione è significativo. Se sei un’azienda che fa affari in Europa, ne sarai toccato, indipendentemente da dove hai la sede principale. Inoltre, le sanzioni pecuniarie possono essere ingenti. Le aziende sono pronte per il GDPR? Le imprese con sede nell’UE si concentrano su questo aspetto da un po’ di tempo, ma molte imprese straniere non rispetteranno la scadenza. Provate a fare acquisti con una carta di credito negli Stati Uniti e contate il numero di volte che non è possibile usare il chip e la funzionalità PIN perché i commercianti non sono ancora in regola con una normativa dell’ottobre 2015 e capirete che le scadenze per la conformità non sono altro che un memorandum sul calendario. Molte aziende non saranno pronte. E la penale per il mancato rispetto della normativa sarà pesante – una multa fino a 20 milioni di euro o fino al 4% del fatturato annuo dell’esercizio precedente. Aspettatevi che queste multe siano reali. Entro la fine dell’anno, qualcuno sarà il prossimo caso esemplare del rischio di NON essere conformi.
Le fake news sono il nuovo strumento preferito per le elezioni e la propaganda Abbiamo trascorso molto tempo a discutere dell’impatto che le notizie false (fake news) potrebbero o meno aver avuto sulle elezioni presidenziali del 2016, ma poco è cambiato. Non importa quale sia la vostra posizione sull’argomento, è difficile sostenere che le notizie false non siano reali con Facebook che ha rivelato che circa 126 milioni di utenti Facebook USA hanno visualizzato contenuti dell’Internet Research Agency, il governo russo ha sostenuto vere e proprie ‘fabbriche di troll’, nel corso degli ultimi due anni. I contenuti provenivano da migliaia di account Facebook russi, ma ancor più affascinante è il fatto che solo 11,4 milioni di utenti hanno visto direttamente i contenuti. Il resto li ha osservati quando i contenuti sono stati condivisi da qualcun altro. In breve: funzionano anche le fake news. Postate una storia interessante e sarà condivisa, indipendentemente dal fatto che sia reale o meno, e la portata è potenzialmente enorme.
Gli appelli dei legislatori statunitensi affinché i social network mettano al bando le inserzioni pubblicitarie politiche pagate in valuta estera sono rimasti del tutto inascoltati. Non si tratta solo di una questione politica. Provare a proibire a un governo straniero di comprare spazi pubblicitari per annunci politici è come combattere un ammasso di cavallette con una mosca. Sarà possibile in alcuni casi, ma qual è il punto. Non solo tali regole verrebbero facilmente eluse, ma dovremmo preoccuparci di tutte le decisioni influenzate dal potere dei social media per diffondere informazioni false, indipendentemente dalla fonte.
Mentre le sfide tra i candidati alle elezioni americane sono state le più ampiamente seguite e discusse, le ‘fake news’ hanno giocato un ruolo negli avvenimenti politici di tutto il mondo, anche in Francia, Germania, Filippine, Myanmar e Kenya. Ora che il mondo è stato testimone della loro efficacia, non ci sono più limiti. Aspettatevi che lobbisti, stranieri e nazionali supportino e diffondano notizie false per promuovere i loro obiettivi. Aspettatevi che i criminali facciano lo stesso per ottenere un profitto influenzando decisioni come l’acquisto di azioni montando il loro valore con schemi “pump and dump”. Si tratta di un problema enorme che non ha una soluzione semplice. Facebook deve trovare un giusto equilibrio tra fare la cosa giusta ed essere fratello maggiore, decidere cosa possiamo e cosa non possiamo vedere. Ma Facebook rimane una piattaforma di comunicazione per un gran numero di persone. E questo problema deve essere regolamentato con interventi legislativi, giudiziari e del mercato. Se servisse un promemoria su quanto poco è stato fatto per affrontare il problema, stanno arrivando le elezioni di medio termine negli Stati Uniti che si terranno a novembre 2018. La Russia ha aperto la strada, ma tutti parteciperanno alla gran corsa.
Il primo attacco malware progettato con l’intelligenza artificiale Nelle mie previsioni di sicurezza del 2017, discutevo di come gli hacker avrebbero sfruttato il machine learning per scalare e analizzare in modo più efficiente le enormi quantità di dati coinvolti negli attacchi informatici. Anche se gli hacker tendono a non condividere le loro metodologie, abbiamo già avuto prove che l’apprendimento automatico sta effettivamente aiutando a raggiungere gli obiettivi prefissati nelle truffe Business Email Compromise (BEC), per cui ai dirigenti aziendali vengono inviati messaggi email mirati con metodi di social engineering. Intelligenza artificiale e machine learning stanno rapidamente diventando accessibili ad una vasta gamma di sviluppatori grazie alla disponibilità di numerose piattaforme AI/ML basate su cloud. L’utilizzo del machine learning per l’elaborazione pre o post attacco di enormi serie di dati è il primo passo. La prossima evoluzione richiederà di far leva sull’IA per condurre un attacco su larga scala capace di adattare e modificare le proprie tattiche in tutto il mondo. L’intelligenza artificiale permetterà anche di scalare gli attacchi ben oltre le capacità umane, come hanno dimostrato i ricercatori di ZeroFox al BlackHat 2016 mettendo un essere umano di fronte a un bot Twitter guidato dall’intelligenza artificiale. Il vincitore di questa competizione uomo/macchina sarebbe stato il concorrente sarebbe stato in grado di indurre il maggior numero di follower di Twitter a cliccare su una URL tramite tecniche di social engineering. Naturalmente ha vinto il bot a mani basse.
L’intelligenza artificiale si è evoluta al punto da essere utilizzata negli attacchi informatici per attività più complesse di una semplice elaborazione di dati. Il 2017 è stato caratterizzato da una serie di importanti campagne malware. Dal ritorno di Locky a NotPetya e BadRabbit, il ransomware ancora una volta ha dominato la scena, ma in gran parte ha seguito le tecniche di propagazione tradizionali, sfruttando exploit noti e messaggi email basati su social engineering statici. Anche questo cambierà nel 2018 quando osserveremo la prima campagna malware di massa perpetrata sfruttando il social engineering guidata non da un essere umano, ma da un motore di intelligenza artificiale.
