Connect with us

La Lacuna della Sala Riunioni: Perché i CISO Lottano per Parlare di Deepfake — e Come Inquadrarlo

Leader di pensiero

La Lacuna della Sala Riunioni: Perché i CISO Lottano per Parlare di Deepfake — e Come Inquadrarlo

mm
Published
Updated

La sicurezza informatica sta entrando in un momento cruciale, guidato dall’adozione generalizzata dell’AI da parte di imprese, governi e individui. Con 82% delle aziende negli Stati Uniti che utilizzano o stanno esplorando l’uso dell’AI nel loro business, le organizzazioni stanno sbloccando nuove efficienze, ma anche gli attaccanti. Gli stessi strumenti che alimentano l’innovazione stanno anche consentendo agli attori minacciosi di generare contenuti sintetici con una facilità e una realismo allarmanti. Questa nuova realtà ha introdotto sfide significative, tra cui la capacità di creare contenuti sintetici (immagini, audio e video) e deepfake malintenzionati (audio, video o immagini manipolati utilizzati per impersonare una persona reale) a una velocità e una sofisticazione senza precedenti. In pochi clic, chiunque abbia accesso a un computer e a Internet può manipolare immagini, audio e video, introducendo sfiducia e dubbio nell’etica dell’informazione. 

In un’epoca in cui le aziende, i governi e le organizzazioni dei media si affidano alla comunicazione digitale per la loro sussistenza, non c’è spazio per l’errore nel sottovalutare i rischi dei deepfake, della frode di identità sintetica e degli attacchi di impersonificazione. Queste minacce non sono più ipotetiche – le perdite finanziarie a causa della frode aziendale abilitata dai deepfake hanno superato i 200 milioni di dollari solo nel primo trimestre del 2025, sottolineando la portata e l’urgenza del problema. Un nuovo panorama di minacce richiede un nuovo approccio alla sicurezza informatica, e i CISO devono agire rapidamente per garantire che la loro azienda rimanga sicura. Tuttavia, chiedere nuovi capitali e comunicare chiaramente l’esposizione alle minacce di un’azienda a un consiglio di amministrazione con livelli di conoscenza variabili della gravità della minaccia dei deepfake può essere scoraggiante. Mentre gli attacchi di deepfake continuano a evolversi e a prendere forma, ogni CISO deve essere in prima linea nel portare questa conversazione nella sala riunioni. 

Di seguito è riportato un quadro per i CISO e gli esecutivi per facilitare le conversazioni con gli stakeholder a livello di consiglio di amministrazione, organizzazione e comunità. 

Utilizzare Framework Familiari: Deepfake come Ingegneria Sociale Avanzata

I consigli di amministrazione sono stati condizionati a pensare alla sicurezza informatica in termini familiari: e-mail di phishing, attacchi di ransomware e la domanda se la loro azienda sarà violata. Quella mentalità influenza come prioritizzano le minacce e dove allocano i budget di sicurezza. Ma quando si tratta di contenuti generati da AI, in particolare i deepfake, non c’è un punto di riferimento incorporato. Inquadrare i deepfake come una minaccia autonoma e innovativa spesso conduce a confusione, scetticismo o inazione.

Per contrastare ciò, i CISO dovrebbero ancorare la conversazione a qualcosa che i consigli di amministrazione già capiscono: l’ingegneria sociale. Nella sua essenza, la minaccia dei deepfake non è del tutto nuova; è una forma evoluta, più pericolosa di phishing che esiste nell’industria da anni e continua a essere il principale vettore di attacco dell’ingegneria sociale. I consigli di amministrazione già riconoscono il phishing come un rischio credibile e sono disposti ad approvare risorse per difendersi contro di esso. In molti sensi, i deepfake rappresentano una forma più convincente, più scalabile e più capace di ingegneria sociale, che colpisce sia le organizzazioni che gli individui con una precisione devastante. 

Inquadrare i deepfake in questo modo consente ai CISO di sfruttare l’istruzione esistente, le linee di budget e la memoria muscolare istituzionale. Piuttosto che chiedere nuove risorse, possono ridefinire la richiesta come un’evoluzione degli investimenti di sicurezza già approvati. Più i CISO possono aderire a questa narrazione, più è probabile che ricevano le risorse per affrontare questo problema più ampio e immediato. 

Ancorare il Rischio nella Realismo, Non nel Sensazionalismo

Indicare esempi del mondo reale è un ottimo modo per far comprendere meglio ai consigli di amministrazione gli impatti che le minacce dei deepfake potrebbero avere sulle organizzazioni. Tuttavia, è importante considerare quali esempi i CISO mettono di fronte ai consigli di amministrazione, poiché possono avere l’effetto contrario. Storie famose come l’incidente di frode da 25 milioni di dollari a Hong Kong fanno grandi titoli, ma possono avere l’effetto contrario nella sala riunioni. Questi esempi estremi spesso sembrano remoti o irrealistici, creando la sensazione che “qualcosa di così catastrofico non potrebbe mai accadere a noi”. Il pregiudizio si attiva immediatamente e rimuove il senso di urgenza per investire nella protezione. 

Invece, i CISO dovrebbero utilizzare scenari più relazionabili per mostrare come questo rischio potrebbe verificarsi all’interno, come l’impersonificazione degli esecutivi o la frode di colloquio.

In un caso, attori minacciosi nordcoreani hanno creato una falsa chiamata Zoom con esecutivi generati da AI per ingannare un dipendente di criptovaluta a scaricare malware per accedere a informazioni aziendali sensibili con l’intento di rubare criptovaluta. Alla fine, gli hacker non sono riusciti a ottenere l’accesso, ma la minaccia che questi attacchi pongono all’integrità del marchio dovrebbe essere un campanello d’allarme per i consigli di amministrazione all’interno dell’impresa. 

Un’altra tattica in crescita coinvolge candidati di lavoro falsi che utilizzano identità e credenziali generate da AI per infiltrarsi nelle organizzazioni aziendali. Questi individui agiscono spesso per conto di avversari degli Stati Uniti come Russia, Corea del Nord o Cina, cercando di accedere a sistemi e dati sensibili. Questa tendenza prosciuga le risorse interne ed espone le organizzazioni a rischi per la sicurezza nazionale e a sfruttamento finanziario. 

Spesso, queste minacce volano sotto il radar. Per ogni esempio nei notiziari, decine rimangono inosservate, rendendo difficile comprendere appieno la portata di questa minaccia. Quanto più l’attacco è banale, tanto più inquietante – e relazionabile – diventa. Condividendo esempi come questi – realistici, relazionabili e più vicini a casa – i CISO possono radicare la conversazione sui deepfake nelle operazioni aziendali quotidiane e rafforzare il motivo per cui questa minaccia in evoluzione richiede una seria attenzione a livello di consiglio di amministrazione.

Legare la Difesa dei Deepfake ai Metriche di Resilienza Esistenti

I CISO sono continuamente interrogati dai loro consigli di amministrazione: Qual è la nostra probabilità di essere violati? Dove siamo più vulnerabili? Come possiamo ridurre il rischio? Mentre il phishing, il ransomware e le violazioni di dati continuano a esistere, è importante mostrare il fondamentale cambiamento che si è verificato all’interno di queste vulnerabilità e come ora si estendono ben oltre le superfici di attacco tradizionali. 

Le squadre di HR, finanza e acquisti – ruoli non tradizionalmente visti come difensori di prima linea – sono ora frequenti bersagli di impersonificazione sintetica, e la capacità media umana di rilevare queste minacce è estremamente bassa. In effetti, solo 1 persona su 1.000 può rilevare con precisione il contenuto generato da AI. I CISO sono ora incaricati di affrontare la richiesta di istruzione avanzata sull’ingegneria sociale e di una maggiore resilienza informatica in tutta l’organizzazione, poiché tutti all’interno dell’organizzazione devono essere addestrati, testati e resi consapevoli per aiutare con la mitigazione. 

La difesa dei deepfake deve diventare un’estensione della resilienza a livello aziendale e richiede un’istruzione continua allo stesso modo in cui le squadre sono addestrate tramite simulazioni di phishing, formazione sulla consapevolezza e esercizi di squadra rossa. I CISO dovrebbero utilizzare metriche da formazioni e simulazioni per aiutare a inquadrare il problema in metriche che il loro consiglio di amministrazione capisce. Se un consiglio di amministrazione ha già accettato la resilienza come priorità strategica per l’organizzazione, i deepfake diventano una frontiera naturale successiva.

Le minacce generate da AI non stanno arrivando. Sono già qui. È tempo di assicurarsi che la sala riunioni sia pronta ad ascoltare e guidare. Grazie all’adozione dell’AI, la portata e la frequenza degli attacchi di deepfake e di identità hanno trasformato il panorama di minacce in uno imprevedibile e in continua evoluzione. 

Ma i consigli di amministrazione non hanno bisogno di un’introduzione ai deepfake o al cloning vocale. Hanno bisogno di un contesto aziendale chiaro e di una maggiore comprensione delle minacce che pongono alle loro organizzazioni. I CISO dovrebbero radicare la loro conversazione nel rischio, nel costo e nella continuità operativa. Coloro che allineano la loro narrazione sui deepfake a paradigmi familiari – phishing, ingegneria sociale, resilienza – danno al loro consiglio di amministrazione un quadro e un contesto in cui possono agire, non solo reagire. 

mm

Jim è il Chief Product e Technology Officer di GetReal, dove guida tutti gli aspetti della strategia di prodotto, sviluppo e consegna. Porta più di due decenni di esperienza nello sviluppo, gestione e marketing di prodotti e servizi di sicurezza informatica in aziende come BetterCloud, IBM, Dell Secureworks e RedHat. Possiede un diploma di laurea in Ingegneria Meccanica presso il Georgia Institute of Technology e un Master in Business Administration presso la Goizueta Business School dell'Emory University.