Agentic AI Espande la Superficie di Attacco delle Infrastrutture Critiche Oltre la Governance
Verso la fine dell’inverno, sono emersi due sviluppi significativi a poche settimane di distanza l’uno dall’altro. Un sistema AI sanitario è stato integrato con un’ampia rete di utenti, conferendo all’agente AI l’autorità autonoma di interpretare risultati di laboratorio, gestire appuntamenti e supportare prescrizioni senza la necessità di un clinico in ogni interazione di routine. Nella stessa settimana, un rapporto sui rischi ha rivelato che il tempo medio per un attaccante di ottenere accesso iniziale e iniziare a muoversi lateralmente attraverso una rete è sceso sotto i 30 minuti, con casi misurati in secondi.
Questi due sviluppi rappresentano curve che si sono incrociate, lasciando uno spazio ampio e in gran parte non governato tra di esse. Gli agenti AI, software che non rispondono solo a domande ma intraprendono azioni autonome, prendono decisioni e avviano processi a nome delle organizzazioni, sono passati da programmi pilota a infrastrutture operative in poco più di un anno.
Integrazione degli Agenti AI nelle Infrastrutture Critiche
Negli ambiti sanitari, gli agenti AI sono integrati nel supporto alle decisioni cliniche, nel routing dei pazienti, nell’interpretazione dei risultati di laboratorio e nella gestione dei farmaci. Nei servizi finanziari, gestiscono la rilevazione delle frodi, le approvazioni per l’origine dei prestiti e le decisioni di trading in tempo reale. Negli ambienti industriali e tecnologici, i sistemi AI gestiscono la distribuzione dell’energia, i controlli dei processi di produzione e le operazioni delle strutture. Quando gli agenti AI diventano parte integrante del livello operativo delle infrastrutture critiche, il modello di sicurezza cambia in modi che i quadri attuali stanno ancora cercando di assorbire.
Rischi Legati agli Agenti AI
Un agente AI compromesso all’interno di un flusso di lavoro clinico non rappresenta un incidente tradizionale di malware. È un decisore corrotto che opera all’interno delle infrastrutture critiche. Un attaccante non deve necessariamente compromettere la rete sottostante; deve semplicemente accedere all’agente. In alcuni casi, non è nemmeno necessario raggiungerlo: attraverso tecniche come l’iniezione di prompt, possono indurre l’agente a intraprendere azioni dannose in modo autonomo.
Un attacco su larga scala documentato ha visto un sistema AI eseguire autonomamente la maggior parte delle operazioni. Gli attaccanti hanno manipolato un agente AI mascherando l’operazione come un legittimo test di sicurezza informatica, inducendo l’agente a mappare la topologia di rete, identificare sistemi ad alto valore e condurre movimenti laterali senza un impegno umano sostenuto.
Implicazioni per la Sicurezza
Le operazioni difensive continuano a dipendere da tempistiche umane: giorni per rilevare, giorni per rimediare, settimane per patchare. Quando l’obiettivo è un sistema IT tradizionale, quel divario è grave ma gestibile. Quando l’obiettivo è un agente AI con accesso a registri pazienti o parametri di controllo industriale, le conseguenze vanno oltre la perdita di dati ai risultati fisici. Le vulnerabilità specifiche degli agenti non si mappano facilmente sui quadri di rilevazione delle intrusioni esistenti.
Raccomandazioni per Migliorare la Sicurezza
Il governo sta affrontando seriamente questo problema. Una raccomandazione chiave è che le agenzie di gestione del rischio settoriali dovrebbero ricevere risorse dedicate per valutare i rischi degli agenti AI all’interno dei loro settori e stabilire standard di sicurezza appropriati.
Le misure necessarie includono requisiti di sicurezza minimi obbligatori per gli agenti AI nelle infrastrutture critiche, valutazioni di rischio specifiche per l’AI e l’autorità esplicita per le agenzie di gestione del rischio di ciascun settore di infrastruttura critica.
Conclusione
Il settore privato non sta aspettando. Le risposte del mercato stanno superando le aspettative normative, indicando che il rischio è reale. La governance in corso è significativa e deve muoversi più rapidamente. La domanda è se le basi vengano stabilite prima che un avversario dimostri, su larga scala, cosa succede quando non sono ancora presenti.
