fbpx
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Metaidentità: l’identità digitale ai tempi del Metaverso

Mauro Montineri : 25 Maggio 2022 07:00

Autore: Mauro Montineri
Data Pubblicazione: 20/05/2022

Lo spostamento di parte della nostra vita e delle nostre interazioni sempre più verso il mondo digitale fa sì che il dato diventi sempre più pervasivo, si può pertanto senza alcun dubbio affermare che ormai il dato è tutto e tutto è dato.

Basti infatti pensare all’incremento di digitalizzazione che si è avuto nel quotidiano con la pandemia (smart working, didattica a distanza, maggiore uso delle piattaforme di intrattenimento, aumentata interazione con gli shop online) o a quello che si sta avendo con l’introduzione del 5G che permette, tra le altre cose, di gestire in un km2 fino ad 1 milione di dispositivi IoT in grado di raccogliere e gestire dati.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Una conseguenza di tutto ciò è l’aumento delle dimensioni della nostra impronta digitale da intendersi non tanto, e non solo, nell’accezione classica di quantità di dati ma piuttosto come le dimensioni della nostra identità digitale – ossia delle rappresentazioni digitali di noi stessi – che possono essere molteplici e mutare nello spazio e nel tempo, a seconda del momento e del servizio che stiamo utilizzando.

Il concetto di Metaidentità

Tutto questo si può sintetizzare introducendo il concetto di metaidentità, intesa come multidimensionalità dell’identità digitale.

Un perfetto esempio di questa multidimensionalità è la virtualità del metaverso, che diventerà sempre più parte della nostra quotidianità (giusto dei primi di aprile l’apertura a Milano del primo metabar del mondo[1], di inizio maggio la prima partita al mondo trasmessa da Lega Serie A nel metaverso), popolato dai nostri gemelli virtuali e da avatar, con tutte le implicazioni e le problematiche non solo di cybersecurity o safety ma anche di natura etica che stanno pian piano emergendo.

Questa nuova forma di multidimensionalità, prendendo in prestito il concetto di network slicing[2] dal 5G, potrebbe essere rappresentata graficamente associando ogni identità ad una slice spazio-temporale dinamica che muta nello spazio e nel tempo. La metaidentità di ciascun individuo è quindi da intendersi come l’unione di tutte le slice ad esso associate.

In questo scenario, accanto alla formazione, diventa sempre più importante la consapevolezza, che in un contesto di multidimensionalità dell’identità digitale può essere assimilato alla consapevolezza del sé di Platone, affinché si sia edotti sulle opportunità, i rischi e le possibili contromisure applicabili ad ogni dimensione del sé.

Con queste premesse diventa facile comprendere perché il dato è tutto e tutto è dato. Infatti, lato utente tutto è dato, perché ogni oggetto o servizio che viene acquistato o utilizzato genera dati collegati ad una o più dimensioni dell’identità digitale; lato fornitori di servizi il dato è tutto, in quanto è l’asset di maggior valore per un’azienda, correlato alle identità digitali dei propri clienti e, come tale, deve essere protetto.

Per proteggere questo asset, al momento ci vengono sicuramente in aiuto i vari standard o le linee guida che si occupano della gestione della sicurezza delle informazioni, come appunto quelli della famiglia ISO/IEC 27K nelle sue varie declinazioni [telco (27011), cloud (27017), energy (27019), medical device (27779)] o anche la ISO/IEC 22301 (strettamente connessa alla ISO 55000 per l’asset management).

Poiché al variare della nostra identità digitale nel tempo e nello spazio variano i profili di rischio associati ed associabili, quindi varia la superficie di attacco, diventa fondamentale valutare se e quanto questi standard siano sufficienti o sia forse necessario integrarli o definirne di nuovi per colmare eventuali gap e così indirizzare le contromisure di sicurezza sulle nuove dimensioni associate all’identità dell’utente.

Le contromisure di sicurezza nei processi di Compliance

Alla metaidentità sono associabili nuove minacce, nuovi profili di rischio che portano ad una multidimensionalità delle superfici di attacco.

Per essere più chiari, in una dimensione del metaverso potrei avere un mio gemello digitale che possiede il dato del mio patrimonio genetico e partecipa a sperimentazioni mediche, mentre in un’altra potrei avere un altro gemello digitale che frequenta coffee shop.

Di sicuro entrambi hanno un senso qui ed ora, ossia sono dimensioni della mia identità delle quali, nel momento in cui le creo, ho volontà e consapevolezza ma che, proprio per la loro natura multiforme, devono essere assolutamente separate e protette in quanto potrebbero comportare dei problemi qualora queste dimensioni dovessero collidere o ci fosse una violazione nello spazio e nel tempo presente e/o futuro.

In questo mutato contesto di riferimento la Compliance ha il compito di definire nuove politiche, regole e modelli e verificare la conformità dei processi e delle tecnologie rispetto alle norme applicabili. A tale scopo verrà in aiuto la nuova ISO/IEC 27002 che raccoglie l’esigenza delle organizzazioni pubbliche e private di disporre, in un unico testo, di tutti i controlli da mettere in atto in tre diverse aree di rischio: sicurezza delle informazioni, protezione dei dati personali e cybersecurity.

Nel dettaglio, rispetto alla versione precedente, si passa da una suddivisione in 14 capitoli a una categorizzazione dei controlli in 4 gruppi (controlli relativi alle persone, controlli di tipo fisico, controlli di tipo tecnologico, controlli organizzativi) con associati 5 attributi (Tipo di controllo[3], Proprietà di sicurezza delle informazioni[4], Concetti del framework di cybersecurity – ISO/IEC 27110[5], Capacità operative[6], Domini di sicurezza[7]) tramite i quali è possibile filtrare, ordinare e presentare i controlli da diversi punti di osservazione a seconda degli interlocutori interessati alla loro analisi.

Questo approccio è ovviamente applicabile a quelle che sono le dimensioni spazio-temporali della nostra identità digitale finora conosciute. Per quelle che verranno introdotte nel medio e lungo orizzonte temporale si potrebbe cercare di anticiparle, sia in termini di minacce sia di possibili contromisure, facendo ricorso alle metodologie di horizon scanning e di analisi dei segnali deboli, ossia quelle metodologie che – attraverso un esame sistematico delle potenziali minacce ed opportunità – hanno come scopo quello di identificare fattori di rischio ed aspetti che saranno strategici ed importanti nel futuro (cfr. BS 11204:2014, in particolare fase 4.4 “Anticipate and assess”).            


[1]http://www.ansa.it/canale_terraegusto/notizie/postit/Heineken/2022/03/17/a-milano-inaugurato-primo-metabar-del-mondo_83325cf0-ec76-4628-90b0-b368b0a93c73.html

[2] Tecnica per segmentare la rete in sottoreti logicamente separate tra loro, indipendenti e con misure di protezione specifiche

[3] preventivo, di rilevazione, correttivo

[4] confidenzialità, integrità, disponibilità

[5] Identificare, Proteggere, Rilevare, Rispondere, Ripristinare

[6] Governo, Gestione degli asset, Protezione delle informazioni, Sicurezza nelle risorse umane, Sicurezza fisica, Sicurezza di reti e sistemi, Sicurezza delle applicazioni, Configurazione sicura, Gestione delle identità e degli accessi, Gestione di minacce e vulnerabilità, Continuità, Sicurezza nelle relazioni con fornitori, Legale e Conformità, Gestione degli eventi di sicurezza delle informazioni e Garantire la sicurezza delle informazioni

[7] Governo e Ecosistema, Protezione, Difesa e Resilienza

Mauro Montineri
Ingegnere elettronico, Executive master in Privacy e Cyber Security, ha iniziato il proprio percorso professionale sviluppando codice per elicotteri per atterrare poi nel mondo delle telecomunicazioni occupandosi prima di ingegneria del software e di governance ed ora di audit di sicurezza e compliance

Articoli in evidenza

Ivanti Nel Mirino: La Vulnerabilità Con CVSS 9.9 Potrebbe Essere Sfruttata A Breve!

Martedì Ivanti ha rilasciato le correzioni per quattro vulnerabilità critiche nei suoi prodotti Connect Secure, Policy Secure e Cloud Services Application (CSA) , tra cui una falla con punte...

Fortinet CVE-2025-24472: Gli Hacker Criminali Cercano Informazioni Per Il Suo Sfruttamento

Sul noto forum underground un utente dallo pseudonimo Anon141234 riporta la CVE-2025-24472, che affligge i prodotti Fortinet. Oltre a chiedere informazioni è interessato ad un Proof Of Concept. Q...

Grave vulnerabilità in OpenSSL: aggiorna subito per evitare attacchi MITM se usi RPK!

OpenSSL ha emesso un avviso di sicurezza invitando gli utenti ad effettuare immediatamente l’aggiornamento per mitigare il rischio critico di una vulnerabilità di sicurezza di elevata grav...

Hacker, Finti Broker e Call Center Truffaldini: Ecco Come Rubano i Tuoi Soldi

Art. 640 ter C.P. (Frode Informatica) Oggi basta scrivere all’interno del proprio browser di ricerca, la parola Trading per essere indirizzati su centinaia di siti, che promettono  guadagn...

Zero-day su iOS: scoperto un exploit avanzato, Apple rilascia un fix immediato!

Spesso parliamo degli spyware come Paragon, Pegasus e Karma. Ma alla fine , cosa consente a questi spyware di infettare i device e quindi fornire accesso e il controllo completo ad eventuale aggressor...