Interventi di Stefano Bencetti, Dario Pasquali e Alessandra Sciutti
Intervista a Stefano Bencetti, Direttore di Information and Communication Technology Directorate di IIT
La cybersecurity è una protezione essenziale per le organizzazioni, come questa attività viene organizzata in IIT?
Gli interventi sono, da tempo, di tipo tecnico e organizzativo ma l’impegno maggiore lo stiamo profondendo nella formazione degli utenti che mira a renderli consapevoli dei rischi che corrono attraverso un uso poco attento dei vari sistemi di comunicazione elettronica.
Una modalità estremamente diffusa per mettere in difficoltà singoli utenti e organizzazioni è il phishing. Come si concretizza questa azione?
Si tratta di attacchi informatici e cyber che utilizzano l’inganno e la manipolazione psicologica delle persone per ottenere dei benefici di diverso tipo attraverso le risposte che queste aggressioni riescono a produrre. Questi attacchi vengono sferrati attraverso l’utilizzo di tecniche di social engineering. Ma prima di approfondire questo ambito vorrei dare una definizione di phishing: si tratta di un tentativo fraudolento di far compiere azioni od ottenere informazioni sensibili come nome utente, password, dati di carte di credito, talvolta impersonando un’identità affidabile in una comunicazione elettronica. Il phishing mira quasi sempre ad ottenere un risultato economico, eventualmente tramite l’attuazione di un ricatto, può essere usato per creare un disservizio o per realizzare lo spionaggio industriale. Il phishing può essere massivo o mirato. Il primo si concretizza con un invio di mail generiche, ad esempio richieste d’informazioni bancarie, ad un gran numero di persone. Nella massa qualcuno abbocca all’amo e l’attacco ha così successo producendo un ritorno economico per il “pescatore”. L’attacco mirato viene costruito su misura. L’attaccante studia il bersaglio cercando di carpire più informazioni possibili sia dal punto di vista personale sia da quello professionale e quando il quadro è composto lancia delle mail molto dettagliate e insidiose alla persona individuata. Nel conflitto russo ucraino, al quale stiamo assistendo con angoscia, il phishing, evidentemente con fine distruttivo, è stato praticato dai contendenti diverso tempo prima dell’inizio ufficiale della guerra.
Come IIT si difende dal phishing?
Negli anni abbiamo continuato a sviluppare campagne di formazione per i nostri colleghi utilizzando anche degli interventi costruiti su finti phishing per valutare il livello di attenzione su questo fenomeno e evidenziare quali sono gli errori usuali che conducono un utente verso un truffatore e proporre le contromisure fatte di suggerimenti costruiti sugli esempi. Questo programma che viene proposto da tre anni in IIT sta ottenendo buoni risultati evidenziando una maggior sensibilità dei nostri colleghi verso queste problematiche.
Citavi il social engineering. Come viene praticato?
Il social engineering agisce su diversi fattori al fine di condurre con successo la manipolazione delle volontà di un utente. L’attaccante gioca sull’ autorevolezza e sulla fiducia che riesce a carpire dalla persona che riceve le richieste ma gioca anche sui sensi di colpa, creando panico o trasferendo bisogni urgenti, provoca desiderio piuttosto che compassione o induce alla gratitudine. La diffusa disattenzione e l’automatismo sono altre componenti determinanti. Come si evince il social engineering si fonda su leve psicologiche che inducono gli utenti della rete a fornire risposte perniciose ad organizzazioni criminali.
Come possiamo contribuire con la nostra competenza scientifica e tecnologica a ridurre questo problema?
L’attività di IIT è ovviamente molto interessante per chi vive di phishing e noi, oltre a cautelarci, in quanto Istituto di Ricerca, abbiamo anche l’obiettivo di essere innovativi e tecnologicamente avanzati anche in questo ambito. Da qui l’idea di istituire e finanziare, in collaborazione con la linea di ricerca COgNiTive Architecture for Collaborative Technologies, un dottorato che potesse chiarire se si possa sviluppare un sistema di difesa centrato sul profilo umano di attaccanti e attaccati che renda meno perniciose le azioni condotte dal social engineering. In pratica, essendoci rivolti ad una linea di ricerca che lavora con il robot umanoide abbiamo cercato di capire, con il lavoro di Dario Pasquali coordinato da Giulio Sandini e Alessandra Sciutti, come il nostro robot umanoide possa proteggerci dagli attacchi di social engineering, ci siamo quindi chiesti se è possibile sviluppare un sistema tecnologico difensivo che tenga in considerazione parametri fisiologici nell’ interazione uomo-macchina
Intervista a Dario Pasquali, PhD Student Fellow della linea di ricerca COgNiTive Architecture for Collaborative Technologies di IIT
La ricerca è nata grazie alla volontà congiunta dei miei supervisor Stefano Bencetti (ICT) e Francesco Rea, della Robotics Brain and Cognitive Sciences (RBCS) di IIT guidato da Giulio Sandini, di sviluppare innovazione tecnologica unendo esperienze operative e di ricerca. L’idea del progetto è partita da uno studio precedentemente avviato da Alexander M. Aroyo, che mi ha seguito nei primi mesi di dottorato. Alexander ha studiato come nel rapporto di fiducia tra umano e robot quest’ultimo potesse mettere a punto un cyberattacco. Il mio lavoro, invece, l’ho impostato sulla difensiva pensando che se noi riusciamo a simulare una serie di attacchi possiamo comprendere meglio quali reazioni si producono nella psiche di un individuo attaccato quando deve prendere una decisione. Per esempio, cosa si scatena nella nostra mente quando non si pone alcuna attenzione ad un clic su di un link di phishing oppure quando, pur mantenendo altissima l’attenzione, apriamo comunque un messaggio pericoloso.
Tu hai quindi analizzato i processi di ragionamento che conducono molti tra noi a prendere delle decisioni, leggendo la posta elettronica, che si fondano su reazioni scaturite da condizionamenti spesso irrazionali.
Sì, questa è la motivazione di base dello studio che si è rivelato estremamente complesso. Prevedere cosa pensano le persone è una sfida ardua. Ai fini della nostra analisi è determinante riuscire a capire se un soggetto riesce a comprendere che in una richiesta che gli giunge dalla rete c’è qualcosa che non va. Dagli esperimenti che ho condotto quando una persona intravvede una situazione di rischio aumenta la sua capacità di ragionamento. Questa evidenza può essere utilizzata come supporto, per esempio, ai programmi di training. Quanto ho osservato può essere utilizzato come campanello d’allarme per avvisarci che stiamo facendo qualcosa di estremamente pericoloso. Una buona palestra per allenarci a comportamenti più guardinghi è offerta da ICT quando ci invia dei phishing-civetta. L’esperienza in questo ambito insegna che potrebbe essere che stiamo percependo un rischio altissimo ma magari non vi è alcun pericolo oppure che stiamo valutando un rischio limitato mentre le conseguenze di una decisione azzardata sono di ingenti dimensioni.
Quindi hai messo a punto un sistema di allarme estremamente importate per il lavoro di IIT, anche in relazione alle preoccupanti tensioni internazionali che segnalano possibili cyber attacchi. Ma che spiegazione ti dai quando in un sistema evoluto e scientificamente eccellente quale quello della nostra Fondazione molti nostri colleghi cadono nel phishing.
A mio modo di vedere proprio la preparazione e l’abitudine all’utilizzo dei mezzi elettronici ci fa sentire al riparo dagli incidenti dei quali stiamo parlando. Un peccato di presunzione. Ma senza andare troppo lontano e coinvolgere altri colleghi ti cito la mia esperienza. Quando ho iniziato questo dottorato, dopo aver discusso con Bencetti e Rea i contenuti del mio progetto, mi sono messo al lavoro. Il giorno successivo a questa riunione sono caduto su una mail di phishing lanciata da ICT. Quindi, dopo aver promosso le mie idee di difesa sul social engineering, la mia prima mossa è stata quella di cadere nella trappola di ICT. Questa vicenda personale, che nasceva dalla mia idea di essere inattaccabile, mi è stata di grande aiuto perché mi ha permesso di pormi una serie di domande essenziali per riuscire successivamente a mettere a punto il metodo che ho recentemente presentato ai direttori di IIT. Il social engineering si fonda anche su questi presupposti, l’idea di inattaccabilità sostenuta anche dalla considerazione che noi non possiamo essere interessanti per chi vuole estorcere identità e danaro o coinvolgerci in vicende, inizialmente, banali. Ma l’attaccante cerca, con il perdurare dei suoi messaggi, di carpire la nostra fiducia e così lentamente ma progressivamente noi ci fidiamo e cediamo, creando a noi stessi o alla nostra organizzazione un gran danno. Vengono applicate dagli attaccanti delle tecniche di persuasione e influenza che sfruttano le nostre vulnerabilità.
In che modo la robotica ci può aiutare a non cadere in queste trappole?
Nel mio dottorato ho separato la ricerca in due filoni. Il primo riguarda l’affiancamento del robot all’umano aumentando le capacità percettive della macchina. Un esempio può essere l’utilizzo del robot nel front end di un ospedale. Esso, oltre a gestire le richieste degli utenti, può essere in grado di segnalare dei tentativi obliqui che possono produrre danni reputazionali o economici a quell’organizzazione. Oppure, sempre in questo caso, stabilire il livello di stress dell’utente che dipinge uno scenario di estrema gravità del suo stato di salute quando in realtà non lo è. Nella seconda linea di ricerca ho osservato, invece, come il robot possa interagire con le persone, aiutandoci nella difesa da attacchi di social engineering. In questo caso, ho utilizzato il robot da tavolo Furhat pensato solo per interagire con l’uomo. Questa linea di ricerca ha studiato come il robot può supportare le nostre decisioni quando percepisce un forte carico cognitivo. Questo è l’obiettivo ideale della ricerca che ovviamente procede per step. Il primo riguarda la messa a punto di un sistema che misura la percezione del rischio, il secondo come il robot interviene, non per fornirti la risposta giusto o sbagliato, ma solamente per modificare le tue scelte. Il prossimo step sarà quello di fare in modo che il robot suggerisca la soluzione giusta.
Intervista ad Alessandra Sciutti, Principal Investigator della linea di ricerca COgNiTive Architecture for Collaborative Technologies di IIT
Qual è il raggio d’azione della ricerca promossa da ICT?
Il perimetro della ricerca, che Dario ha svolto sotto la supervisione congiunta di Stefano Bencetti (ICT), Francesco Rea e Giulio Sandini (RBCS), è molto ampio e mira ad individuare una tecnologia che sia in grado di essere consapevole dell’essere umano. Nel vissuto di tanti tra noi c’è la telefonata ad un centro di assistenza clienti. La nostra richiesta di aiuto viene ascoltata da un sistema spesso automatizzato che non tiene conto del nostro stato di difficoltà e non accetta richieste che non siano in linea con un processo di domande e risposte preordinato. La reazione dell’utente a questa comunicazione meccanica e impersonale è lo sconforto, condito dalla sfiducia nei confronti della tecnologia. Con la nostra ricerca vogliamo superare questa impasse. Con la tecnologia, potrebbe essere un robot ma anche il nostro computer, dobbiamo creare un sistema in grado di recepire o almeno di essere consapevole del nostro stato interiore dalle problematiche legate alla sfera affettiva piuttosto che alla tensione creata dalla percezione di un rischio oppure una situazione nella quale si verifica un carico cognitivo elevato. Se noi poniamo lo stesso quesito ad un essere umano quest’ultimo capirà, quasi sempre, il nostro stato emotivo e ci fornirà una risposta o una spiegazione che tiene conto delle modalità con le quali ci siamo proposti. Noi vogliamo quindi studiare una tecnologia che sia in grado di fornire, come per l’umano, risposte, indicazioni, consigli che prevedano e si adattino allo stato emotivo della persona che chiede un intervento. In particolare, questo nostro studio è pensato per offrire ausilio all’umano in situazioni di rischio.
Il primo passo per costruire questo percorso è stato mosso nell’analisi dell’umano, cercando di capire come quest’ultimo percepisce il rischio e come in questo frangente reagisca. I risultati di questa analisi ci permetteranno di produrre delle guide più efficaci e personalizzate. Oltre lo sviluppo tecnologico è importante sottolineare il lavoro che viene svolto in ambito istruttivo-educazionale. L’analisi dei comportamenti di una persona in una situazione di rischio permette, infatti, di elaborare una serie di valutazioni che divengono elementi sostanziali per un’azione di formazione per la modifica di comportamenti sbagliati che si adottano in questa occasione. Nella nostra Fondazione la Direzione Information and Communication Technologies sta proponendo diverse e preziose campagne di formazione in questo ambito. Altro elemento sostanziale dei nostri studi è la ricerca della risposta alla domanda su come l’umano contemporaneo si pone di fronte alla tecnologia. Per esempio, la fiducia che si ripone nei confronti di un computer piuttosto che un robot è diversa. Cerchiamo di capire come riusciamo a relazionarci con l’umano e anche come egli si rapporta con macchine e tecnologie varie verso le quali spesso nutre aspettative irrealistiche. Quindi ci confrontiamo con due tipi di analisi: quella dell’umano con la sua attitudine più o meno spinta verso le tecnologie e il loro utilizzo e queste ultime, per modellarle rendendole trasparenti ed evitando che divengano esse stesse veicolo di rischio.
Ascoltando le tue riflessioni e quelle di Stefano e Dario ho avuto spesso l’impressione dinanzi alla valutazione di nostri comportamenti indotti dalla tecnologia che siamo un po’ stupidi. Cosa ne pensi?
No, non sono d’accordo e credo che invece le macchine siano purtroppo ancora molto stupide. I phishing dei quali parliamo o in generale i tentativi di truffa che subiamo sono ingegnerizzati dall’uomo, la macchina è, per ora, solamente un terminale. È molto più facile rintuzzare un attacco automatizzato piuttosto che battere un intervento di social engineering, dietro al quale agiscono persone che, valutando le tue caratteristiche, cercano di farti fare la scelta sbagliata. La macchina è, quindi, ancora molto meno capace dell’umano. Non ha ancora una visione così ricca e multidimensionale della realtà quale quella che noi abbiamo. Il rischio viene dall’uomo che sta dietro la macchina, la nostra ambizione è quella di trovare soluzioni affinché la macchina possa proteggerci dalle invasioni criminose dell’umano
La frustrazione prodotta da un raggiro creato da un’attività di social engineering può condurre in particolare nei giovani ad un atteggiamento di chiusura. Per non sbagliare non agisco. Pensi che sia questa un’ipotesi realistica?
Va ricordato che questo tentativo di distacco dalle relazioni sociali lo abbiamo recentemente vissuto non a causa del social engineering ma per la pandemia che ci ha obbligato a relazioni asociali inimmaginabili. La tecnologia però ci è stata di grande aiuto per non interrompere completamente il nostro sistema relazionale ed in particolare quello di ragazze e ragazzi che hanno però continuato a parlare tra loro attraverso la rete e, per quanto possibile, hanno continuato, seppur con difficoltà, a seguire i loro studi. In questo uso massiccio delle tecnologie è chiaro che si inseriscono nuovi pericoli. Per evitare traumi e chiusure verso queste forme di comunicazione è necessario lavorare molto sulla formazione. Come si dice ricordando un vecchio consiglio “non accettare caramelle dagli sconosciuti” oggi non dobbiamo farci ingolosire, giovani e adulti, dalle offerte che ci giungono dalla rete. Ma per evitare questo rischio dobbiamo investire tempo e ricerca nella formazione e nella creazione di sistemi tecnologici di tutela.
La fusione tra tecnologia e sociologia sembra essere l’elemento fondante di questa ricerca che ha profonde implicazioni in ambito comportamentale e relazionale. Questi elementi possono convivere?
Si tratta di una relazione essenziale. Se noi alla fine del nostro percorso di ricerca definiremo una tecnologia efficace e innovativa che si porrà come scudo per gli utenti verso i peggiori attacchi ma troveremo ancora l’umano che, nonostante gli strumenti che ha a disposizione, continuerà ad agire secondo sue personalissime considerazioni, avremo fallito. Allora, ancora una volta dobbiamo agire sul fronte educazionale per continuare a sviluppare campagne d’informazione che chiariscano il valore delle nuove forme di comunicazione e ne evidenzino i rischi che possono essere evitati con comportamenti evoluti e consapevoli. La nostra ricerca deve servire anche a definire modelli formativi ispirati a questi principi. Vedo nei giovani, in mia figlia, ma anche in generale in questa parte della popolazione un grande e positivo interesse verso le tecnologie di comunicazione, sento la loro richiesta di partecipazione e di proattività. Naturalmente, in questi interessi intravvedo anche i rischi e proprio per questo credo al ruolo che la ricerca debba svolgere, assumendosi la responsabilità di offrire strumenti e cultura a chi ha tra le mani il futuro di questo mondo che sta attraversando uno dei suoi peggiori momenti.
In questo sistema che tutti ci auguriamo in evoluzione positiva come vedi la presenza delle donne?
IIT ha intrapreso un percorso estremamente interessante che cerca di normalizzare la presenza della donna nelle posizioni apicali della ricerca, anche in domini tradizionalmente considerati maschili. . In particolare, ritengo positive le azioni che vengono realizzate all’esterno del nostro Istituto, come gli eventi dedicati alle scuole o il Festival della Scienza e altre iniziative che sono lo specchio di un cammino dove tutti, donne e uomini di IIT, convergono con coralità d’intenti sia nel percorso scientifico sia in quello manageriale. In termini generali, usando una metafora, siamo passate dal soffitto di cemento a quello di cristallo per giungere ora ad un percorso più terreno che e’ stato definito un “labirinto”. Con ciò voglio significare che vi sono sempre più donne che raggiungono posizioni apicali ma ancora con grandi difficoltà. Non vi è ancora una normalizzazione dei percorsi di carriera che sono influenzati quasi sempre da elementi straordinari. Ecco, questo è il labirinto, speriamo che in fretta si tramuti in una strada ad alta percorrenza.