La sicurezza informatica nel metaverso
“The metaverse is here, and it’s not only transforming how we see the world but how we participate in it – from the factory floor to the meeting room.” Satya Nadella
Metaverso o anche mondo virtuale è un concetto coniato da Neal Stephenson nel libro “Snow Crash” (1992), nato dall’unione dei termini “meta” (dentro) e “verso” (universo), in cui l’autore descrive questo mondo come una sorta di realtà virtuale condivisa tramite internet.
Il metaverso è quindi un universo digitale, frutto di elementi quali la realtà aumentata e la realtà virtuale, in continua evoluzione grazie ai contributi di chi condivide questa esperienza, e tramite cui gli utenti accedono con un visore e vivono delle vere e proprie esperienze virtuali totalmente immersive.
Secondo un report di Accenture, il 71% delle imprese ha affermato che il metaverso avrà sicuramente un impatto positivo per il loro business; di queste, il 28% parla di vera e propria rivoluzione.
Basti pensare che nel metaverso “vivono” già 350 milioni di persone, ed esistono circa 43 mondi digitali. In Italia siamo ancora in una fase inziale, anche se le aziende più innovative stanno già cercando di relazionarsi con i consumatori sperimentandone l’utilizzo.
Rischi nel metaverso
Nonostante questo mondo attiri l’attenzione di molti utenti, esistono alcuni pericoli che possono nascere in questo contesto e che, in particolare, riguardano:
- Il furto di informazioni: la condivisione di informazioni sensibili, anche in modo inconsapevole, porta i cyber criminali a sentirsi al sicuro nel rubare questo genere di dati, mettendo a rischio le proprietà virtuali e non degli utenti anche nella vita reale;
- La personificazione: la reperibilità delle informazioni sensibili online permette ai cyber criminali di impersonare terze parti e ottenere informazioni personali con l’inganno;
- Il furto d’identità: nel caso di furto d’identità, il cyber criminale sarebbe libero di compiere diverse azioni per conto della vittima che ne risponderebbe nella vita ”fisica”.
Se da un lato già esistono rischi per gli utenti privati, dall’altro inizieranno a nascere anche per quelle aziende che vogliono esplorare nuove strategie digitali, per questo motivo è importante cercare di limitare sin dall’inizio le possibili vulnerabilità.
Esistono alcuni settori che si prestano in particolar modo all’esplorazione del metaverso, poiché permettono la scoperta di ambienti virtuali ai propri consumatori per far vivere esperienze diverse ed uniche:
- Media ed intrattenimento: eventi, concerti e celebrazioni virtuali sono solo alcune delle esperienze già organizzate in ambienti come Minecraft. Il metaverso può essere una realtà estremamente interessante per molti organizzatori di eventi, poiché permetterebbe di connettere individui in situazioni in cui gli eventi di persona nonsono possibili. Garantirebbe inoltre accesso a delle esperienze uniche, come la partecipazione a partite di basketball o football viste da bordo campo.
- Settore fashion ed e-commerce: l’utilizzo di questi strumenti può permettere a clienti dall’altra parte del mondo di navigare e fare acquisti in versione digitale, come se fossero effettivamente nel negozio. È il caso di Burberry che ha collaborato con Elle Digital in Giappone per ricreare una versione virtuale del negozio situato a Ginza, con l’obiettivo di superare i limiti fisici e creare una nuova esperienza digitale accessibile a tutti. I clienti da tutto il mondo hanno avuto la possibilità di “entrare” nel negozio e fare acquisti comodamente da casa.
Questi sono solo alcuni degli esempi dei settori maggiormente coinvolti nel metaverso nell’attuale momento storico.
Metaverso e sicurezza informatica
Nel metaverso, così come nel mondo fisico, bisogna però confrontarsi con un problema sempre più comune: la sicurezza informatica.
Furti di identità (o di avatar) o deepfake, ossia figure digitali manipolate per sembrare qualcun altro, sono solo alcuni dei problemi che potranno riscontrarsi.
A livello aziendale, in questo universo parallelo sarà quindi fondamentale essere in grado di proteggere il proprio perimetro e garantire un adeguato livello di controllo degli accessi, considerato come la prima forma di difesa dai pericoli di questa nuova dimensione digitale.
Il metaverso poi si presta anche per quella categoria di attacchi anche nota come Man in the Room, ossia l’evoluzione di Man in the Middle. Questo tipo di attacco consiste nella creazione di avatar malevoli che si inseriscono in conversazioni e riunioni virtuali con il fine ultimo di esfiltrare informazioni personali; in questo caso il problema riguarda anche il futuro utilizzo di questi dati per attacchi ben più complessi e sofisticati.
Inoltre, è il terreno perfetto per la creazione di future campagne phishing che potrebbero raggiungere livelli mai visti prima: il coinvolgimento e l’aumento dell’interattività tra partecipanti può far diminuire il livello di guardia degli utenti, permettendo così ai cyber criminali di operare indisturbati.
Considerato questo aspetto, per le aziende sarà fondamentale abbracciare un approccio umano-centrico, insistendo su temi quali l’alfabetizzazione digitale e la pianificazione di corsi di awareness, cioè formazione dei propri dipendenti per insegnare loro a riconoscere gli elementi comuni delle campagne phishing e truffe, valutando ogni caso in maniera critica ed indipendente. La prevenzione risulta essere il modo migliore per le persone e le organizzazioni di rimanere al sicuro, in generale su internet ed in particolar modo nel metaverso.
Last but not least, il ransomware: minaccia informatica responsabile di perdite per decine di milioni di euro in tutto il mondo. Per questo, così come nel mondo reale, anche in quello del metaverso sarà fondamentale applicare protocolli di sicurezza ad hoc in modo da instaurare una relazione di fiducia da parte degli utenti nell’utilizzo del metaverso.
Monitorare la propria azienda e i relativi sistemi permetterà di rilevare ogni tentativo di accesso o infezione in tempo reale. Vi sono alcuni tool che possono essere utilizzati dalle aziende per riconoscere eventuali anomalie tra gli accessi dei dipendenti, uno di questi è l’Active Directory Audit (AD Audit): una soluzione per il controllo delle password delle diverse utenze dei propri dipendenti, in un unico repository. Il cliente avrà così tutte le informazioni vitali sulle risorse della rete e la visibilità su quelle maggiormente critiche, così da poter controllare e, in caso di necessità, agire tempestivamente sulle utenze più a rischio.
A fronte di questi riscontri vengono consigliate poi alcune azioni di remediation o mitigation, come il cambio di policy di dominio o la revisione dei permessi.
Infine, considerando come le tecnologie siano in continua evoluzione, per far si che la propria azienda sia al sicuro bisognerà investire in sicurezza informatica e in tutte quelle nuove tecnologie e nuovi strumenti che permettono una protezione da attacchi informatici di ogni genere. La sicurezza fai da te non è più contemplata, diventerà quindi fondamentale affidarsi ad esperti del settore.