Cybersecurity e Metaverso: quali rischi e come difendersi
A cura di Marco Fanuli, Security Engineer Team Leader di Check Point Software
Dalle riunioni virtuali, alle customer experience immersive in 3D, fino ai tour panoramici di proprietà immobiliari, il Metaverso è destinato a trasformare il modo in cui le aziende operano. Secondo Gartner, entro il 2026, una persona su quattro passerà almeno un’ora del suo tempo nel Metaverso, per le motivazioni più diverse: lavoro, fare shopping, formazione, attività sui social media o semplice intrattenimento. Alcuni brand, come Nike e Coca-Cola, son già presenti e utilizzano il Metaverso per migliorare la brand awareness e per spingere l’acquisto dei propri prodotti nel mondo reale.
Questo tema fa decisamente tendenza ed è facile capire perché sempre più aziende inizieranno a considerare il Metaverso come un nuovo canale per sviluppare il business. Ma le stesse aziende si staranno preoccupando dei rischi? In un mondo virtuale avremo senza dubbio bisogno di un approccio alla sicurezza diverso rispetto a quello che adottiamo nel mondo fisico, ma che cosa comporterà in termini di strategia di cyber sicurezza? E’ giunto il momento di capire quali sono i rischi a cui andremo incontro e come iniziare a prepararci.
Possiamo affermare che l’ostacolo più grande che impedisce al Metaverso di essere un ambiente sicuro risiede nelle sue stesse fondamenta. Costruito utilizzando la tecnologia blockchain, di cui abbiamo già avuto modo di constatare gravi falle di sicurezza nei marketplace NFT e nelle piattaforme blockchain come OpenSea, ed Everscale, il Metaverso pone inevitabilmente problemi di privacy e di sicurezza. A causa dell’enorme quantità di attività malevola già capace di trarre vantaggio da servizi basati su blockchain, crediamo che non dovremo aspettare molto prima di iniziare a vedere attacchi anche nel Metaverso. Con ogni probabilità, gli attacchi informatici saranno legati alle identità digitali con violazione degli account degli utenti e la relativa compromissione di dati sensibili.
Tuttavia, a complicare le cose ci sarà il fatto che le persone potrebbero avere più di una identità nel Metaverso, per esempio un avatar per le conversazioni sul lavoro e un altro per lo shopping e/o l’intrattenimento. Ciò aggiunge ulteriori elementi di rischio per la sicurezza, quali l’impersonificazione e il furto di identità. Se è difficile avere un‘identità univoca capace di accertare con precisione che quella persona siamo davvero noi, come possiamo esserne certi? La risposta potrebbe trovarsi nella gestione dell’identità basata su blockchain? La blockchain ci aiuterà a capire dove stiamo effettuando una transazione e con chi? Si tratta di una grande sfida. E, dato che le tecnologie blockchain sono decentralizzate e non regolamentate, attività come il controllo di eventuali furti di risorse virtuali o la prevenzione di riciclaggio del denaro diventano operazioni davvero molto difficili.
Ridefinire la realtà
Un’altra sfida importantissima per la sicurezza sono gli spazi sicuri necessari per fare business. Immaginate di essere in una call su Zoom o Teams: vi trovate in uno spazio per le riunioni privato, corretto? Ma come sarà nel Metaverso? Come potremo essere certi che una delle identità dei partecipanti non sia in realtà un avatar e di non avere quindi un impostore tra i partecipanti? Potete pensare che non succederà mai, ma è un mondo virtuale e senza dubbio potrebbe accadere. Dobbiamo imparare a capire che cosa è reale e che cosa non lo è, e sarebbe importantissimo disporre di uno spazio sicuro in cui incontrarsi ed effettuare transazioni.
Quando Internet è comparso per la prima volta sulla scena, i criminali sfruttavano a loro vantaggio la mancanza di familiarità delle persone con la tecnologia, creando siti malevoli che fingevano di essere banche al fine di ottenere informazioni finanziarie. Azioni di phishing come queste accadono ancora, anche se assistiamo oggi a forme di social engineering molto più sofisticate. Il Metaverso è come un Internet tutto nuovo e potete star certi che la mancanza di familiarità con esso, sia da parte dei privati che delle aziende, sarà sicuramente sfruttata.
La cosa interessante è che ogni transazione su blockchain è completamente tracciabile e questo diventerà sempre più importante, soprattutto quando si tratta di avere una traccia di controllo di quanto discusso e di ogni decisione presa in un contesto di business. Resta però la questione relativa a come quel tipo di informazione possa essere traslata dal mondo virtuale a quello reale. I contratti stipulati nel Metaverso saranno legalmente vincolanti? O dovranno essere portati nel mondo fisico per essere firmati e poi restituiti al Metaverso? E come si potrà fare tutto questo in maniera sicura?
I ricercatori hanno scoperto falle di scurezza all’interno di progetti blockchain e crypto che sono parte del Metaverso. Le vulnerabilità sfruttate dagli attaccanti sono relative a contratti smart e permettono loro di sfruttare e prosciugare le crypto-piattaforme, oppure sono vulnerabilità applicative interne alle piattaforme di blockchain che permettono di attaccare e rubare il saldo del wallet degli utenti. C’è il rischio di correre verso il Metaverso senza considerare questo tipo di implicazioni.
Molte delle preoccupazioni relative alla sicurezza nel Metaverso vengono esacerbate dalla significativa mancanza di competenze nel settore della sicurezza informatica. Secondo il report di 2021 (ISC)² Cybersecurity Workforce Study, mancano almeno 3 milioni di professionisti e l’attuale forza lavoro del settore deve crescere del 65% per riuscire a difendere in modo efficace le risorse critiche delle aziende. Una percentuale che è probabilmente molto più alta, se consideriamo anche il nuovo mondo virtuale.
Ne vale la pena?
Non mancano altri rischi legati alla cybersecurity all’interno del Metaverso, come per esempio attacchi attraverso l’uso di dispositivi AR/VR vulnerabili come porta di ingresso per malware in evoluzione e data breach. Questi dispositivi raccolgono per loro natura grandi quantità di dati e informazioni relative agli utenti, tra cui i dati biometrici, diventando così interessanti per gli attaccanti. Anche la data privacy è un motivo di preoccupazione, sempre più diffuso tra gli scettici sul Metaverso, con altri dati raccolti in luoghi come Second Life, violando potenzialmente la privacy dell’utente.
Leggendo tutto questo potreste pensare: ma perché disturbarsi per stare nel Metaverso se i rischi sono così tanti? In realtà vale assolutamente la pena muoversi ora per essere pronti nel prossimo futuro. Purtroppo, qualsiasi azienda decida di non farlo (indipendentemente dalle dimensioni) può finire per mettersi nelle condizioni di dover inseguire gli altri per recuperare terreno, perdendo occasioni di business o finendo in processi che mettono a rischio il business stesso. Potete invece effettuare la transizione lentamente, come già hanno fatto altri con la migrazione verso il cloud.
Le aziende dovranno fare molto più affidamento sui propri partner in tutto il mondo per mitigare il rischio, perché abbiamo a che fare con un problema globale. Ma se qualche rischio ci sarà sempre, per coloro che decidono di affrontarli nel modo giusto ci saranno anche grandi ricompense. In ogni caso, le aziende non potranno agire da sole, servirà piuttosto una grande collaborazione tra organizzazioni che lavorano in quello spazio. Il Metaverso riguarda tutti e non si può negare che verranno commessi degli errori, proprio come agli albori di Internet e come, purtroppo, accade ancora oggi.
Le principali considerazioni sulla sicurezza legata al Metaverso
- È qui per rimanere. I leader d’azienda e i professionisti della sicurezza devono parlarne per capire che cosa può significare per loro e analizzare il contesto, guardando che cosa stanno facendo i competitor in quello spazio.
- Valutare il settore in cui si erogano i servizi, e cercare di capire se possono essere mappati in qualche modo nel Metaverso. Si potrebbero scoprire che alcuni mercati non sono idonei e hanno problemi di sicurezza anche nel mondo fisico, come dispositivi mobile, tablet, cloud e multi-cloud.
- Capire come eseguire correttamente il processo di identificazione e autenticazione. Non si tratta di avere semplicemente una password o un processo di autenticazione a due fattori. Le aziende devono iniziare ad alzare il livello di sicurezza su questi due problemi. Le persone tendono ad agire senza considerare i rischi legati alla sicurezza, invece dovrebbe essere la loro priorità.