Connect with us

La Lacuna della Sala Riunioni: Perché i CISO Lottano per Parlare di Deepfake — e Come Inquadrarli

Leader di pensiero

La Lacuna della Sala Riunioni: Perché i CISO Lottano per Parlare di Deepfake — e Come Inquadrarli

mm
Published
Updated

La sicurezza informatica sta entrando in un momento cruciale, guidato dall’adozione generalizzata dell’intelligenza artificiale da parte di imprese, governi e individui. Con 82% delle aziende negli Stati Uniti che utilizzano o stanno esplorando l’utilizzo dell’IA nelle loro attività, le organizzazioni stanno sbloccando nuove efficienze, ma anche gli attaccanti. Gli stessi strumenti che alimentano l’innovazione stanno anche abilitando gli attori minacciosi a generare contenuti sintetici con facilità e realismo allarmanti. Questa nuova realtà ha introdotto sfide significative, tra cui la capacità di creare contenuti sintetici (immagini, audio e video) e deepfake malintenzionati (audio, video o immagini manipolati per impersonare una persona reale) a una velocità e sofisticazione senza precedenti. In pochi clic, chiunque abbia accesso a un computer e a Internet può manipolare immagini, audio e video, introducendo sfiducia e dubbio nell’etica dell’informazione.

In un’epoca in cui le aziende, i governi e le organizzazioni dei media si affidano alla comunicazione digitale per la loro sopravvivenza, non c’è spazio per l’errore nel sottovalutare i rischi dei deepfake, della frode di identità sintetica e degli attacchi di impersonificazione. Queste minacce non sono più ipotetiche – le perdite finanziarie a causa della frode aziendale abilitata dai deepfake hanno superato 200 milioni di dollari nel solo primo trimestre del 2025, sottolineando la portata e l’urgenza del problema. Un nuovo panorama di minacce richiede un nuovo approccio alla sicurezza informatica, e i CISO devono agire rapidamente per assicurarsi che la loro azienda rimanga sicura. Tuttavia, chiedere nuovi capitali e comunicare chiaramente l’esposizione alla minaccia dell’azienda a un consiglio di amministrazione con livelli di conoscenza variabili della gravità della minaccia dei deepfake può essere scoraggiante. Mentre gli attacchi di deepfake continuano a evolversi e a prendere forma, ogni CISO deve essere in prima linea nel portare questa conversazione nella sala riunioni.

Di seguito è presentata una struttura per i CISO e gli esecutivi per facilitare le conversazioni con gli stakeholder a livello di consiglio di amministrazione, organizzazione e comunità.

Utilizzare Framework Familiari: Deepfake come Ingegneria Sociale Avanzata

I consigli di amministrazione sono stati condizionati a pensare alla sicurezza informatica in termini familiari: email di phishing, attacchi di ransomware e la domanda se la loro azienda sarà violata. Quella mentalità influenza come prioritizzano le minacce e dove allocano i budget di sicurezza. Ma quando si tratta di contenuti generati da IA, in particolare i deepfake, non c’è un punto di riferimento incorporato. Inquadrare i deepfake come una minaccia autonoma e innovativa spesso porta a confusione, scetticismo o inazione.

Per contrastare questo, i CISO dovrebbero ancorare la conversazione a qualcosa che i consigli di amministrazione già capiscono: l’ingegneria sociale. Al suo nucleo, la minaccia dei deepfake non è del tutto nuova; è una forma evoluta e più pericolosa di phishing che esiste nell’industria da anni e continua a essere il principale vettore di attacco di ingegneria sociale. I consigli di amministrazione già riconoscono il phishing come un rischio credibile e sono disposti ad approvare risorse per difendersi contro di esso. In molti aspetti, i deepfake rappresentano una forma più convincente, più scalabile e più capace di ingegneria sociale, che prende di mira sia le organizzazioni che gli individui con precisione devastante.

Inquadrare i deepfake in questo modo consente ai CISO di attingere a un’istruzione esistente, linee di budget e memoria muscolare istituzionale. Piuttosto che chiedere nuove risorse, possono ridefinire la richiesta come un’evoluzione degli investimenti di sicurezza già approvati. Più i CISO possono aderire a questo racconto, più probabilità hanno di ottenere le risorse per affrontare questo problema più ampio e immediato.

Ancorare il Rischio nella Realistica, Non nella Sensazionalizzazione

Indicare esempi del mondo reale è un ottimo modo per far comprendere meglio ai consigli di amministrazione gli impatti che le minacce dei deepfake potrebbero avere sulle organizzazioni. Tuttavia, è importante considerare quali esempi i CISO presentano ai consigli di amministrazione, poiché possono avere l’effetto opposto. Storie famose come l’incidente di frode da 25 milioni di dollari a Hong Kong fanno grandi titoli, ma possono avere l’effetto contrario nella sala riunioni. Questi esempi estremi spesso sembrano remoti o irrealistici, creando la sensazione che “qualcosa di così catastrofico non potrebbe mai accadere a noi”. Il pregiudizio si attiva immediatamente e rimuove il senso di urgenza per investire nella protezione.

Invece, i CISO dovrebbero utilizzare scenari più relazionabili per mostrare come questo rischio potrebbe verificarsi all’interno, come l’impersonificazione degli esecutivi o la frode di colloquio.

In un caso, attori minacciosi nordcoreani hanno creato una falsa chiamata Zoom con esecutivi generati da IA per ingannare un dipendente di criptovaluta a scaricare malware per accedere a informazioni aziendali sensibili con l’intento di rubare criptovaluta. Alla fine, gli hacker non sono riusciti a ottenere l’accesso, ma la minaccia che questi attacchi rappresentano per l’integrità del marchio dovrebbe essere un campanello d’allarme per i consigli di amministrazione all’interno dell’impresa.

Un’altra tattica in crescita coinvolge candidati falsi che utilizzano identità e credenziali generate da IA per infiltrarsi nelle organizzazioni aziendali. Questi individui spesso agiscono per conto di avversari statunitensi come la Russia, la Corea del Nord o la Cina, cercando di accedere a sistemi e dati sensibili. Questa tendenza prosciuga le risorse interne ed espone le organizzazioni a rischi per la sicurezza nazionale e a sfruttamento finanziario.

Spesso, queste minacce volano sotto il radar. Per ogni esempio nei notiziari, decine passano inosservate, rendendo difficile comprendere appieno la portata di questa minaccia. Più l’attacco è banale, più è inquietante – e relazionabile. Condividendo esempi come questi – realistici, relazionabili e più vicini a casa – i CISO possono ancorare la conversazione sui deepfake nella gestione quotidiana dell’azienda e rafforzare il perché questa minaccia in evoluzione richiede un’attenzione seria a livello di consiglio di amministrazione.

Legare la Difesa dei Deepfake ai Metriche di Resilienza Esistenti

I CISO sono continuamente interrogati dai loro consigli di amministrazione: Qual è la nostra probabilità di essere violati? Dove siamo più vulnerabili? Come ridurre il rischio? Mentre il phishing, il ransomware e le violazioni di dati continuano a esistere, è importante mostrare il fondamentale cambiamento che è avvenuto all’interno di queste vulnerabilità e come ora si estendono ben oltre le superfici di attacco tradizionali.

I team di risorse umane, finanza e approvvigionamento – ruoli non tradizionalmente visti come difensori di prima linea – sono ora frequenti bersagli di impersonificazione sintetica, e la capacità media di rilevare queste minacce è estremamente bassa. In effetti, solo 1 persona su 1.000 può rilevare con precisione il contenuto generato da IA. I CISO sono ora incaricati di affrontare la richiesta di istruzione avanzata sull’ingegneria sociale e di una maggiore resilienza informatica in tutta l’organizzazione, poiché tutti all’interno dell’organizzazione devono essere addestrati, testati e resi consapevoli per aiutare con la mitigazione.

La difesa dei deepfake deve diventare un’estensione della resilienza a livello aziendale e richiede un’istruzione continua allo stesso modo in cui i team sono addestrati tramite simulazioni di phishing, istruzione sulla consapevolezza e esercizi di squadra rossa. I CISO dovrebbero utilizzare metriche da addestramenti e simulazioni per aiutare a inquadrare il problema in metriche che il loro consiglio di amministrazione capisce. Se un consiglio di amministrazione ha già acquistato la resilienza come priorità strategica per l’organizzazione, i deepfake diventano una frontiera naturale successiva.

Le minacce generate da IA non stanno arrivando. Sono già qui. È tempo di assicurarsi che la sala riunioni sia pronta ad ascoltare e guidare. Grazie all’adozione dell’IA, la scala e la frequenza degli attacchi di deepfake e di identità hanno trasformato il panorama delle minacce in uno imprevedibile e in continua evoluzione.

Ma i consigli di amministrazione non hanno bisogno di un’introduzione ai deepfake o alla clonazione vocale. Hanno bisogno di un contesto aziendale chiaro e di una maggiore comprensione delle minacce che essi rappresentano per le loro organizzazioni. I CISO dovrebbero ancorare la conversazione nel rischio, nel costo e nella continuità operativa. Coloro che allineano la loro narrazione sui deepfake a paradigmi familiari – phishing, ingegneria sociale, resilienza – danno al loro consiglio di amministrazione un framework e un contesto in cui possono agire, non solo reagire.

mm

Jim è il Chief Product e Technology Officer di GetReal, dove guida tutti gli aspetti della strategia di prodotto, sviluppo e consegna. Porta più di due decenni di esperienza nello sviluppo, gestione e marketing di prodotti e servizi di sicurezza informatica in aziende come BetterCloud, IBM, Dell Secureworks e RedHat. Possiede un diploma di laurea in Ingegneria Meccanica presso il Georgia Institute of Technology e un Master in Business Administration presso la Goizueta Business School dell'Emory University.