Mitigare le intenzioni malevole con la modellazione delle minacce MISUSE
Il framework del modello di thread MISUSE può aiutare i tecnici a creare applicazioni e dispositivi sicuri e a identificare in che modo i malintenzionati possono manipolare la tecnologia per danneggiare individui vulnerabili.
La tecnologia è intrecciata con quasi tutti gli aspetti della società, con un'influenza bidirezionale. Mentre le persone e la società guidano il cambiamento tecnologico, le tecnologie in evoluzione possono a loro volta plasmare la società e l'individuo, e questi cambiamenti possono essere incredibilmente veloci.
Ad alimentare questo rapido ritmo di cambiamento c'è una maggiore attenzione da parte del settore all'accelerazione delle scoperte tecnologiche. Ciò ha portato i tecnici a realizzare nuove applicazioni e dispositivi entusiasmanti che trasformano letteralmente il nostro modo di lavorare e vivere. Eppure, a volte, la spinta verso il nuovo e l'enfasi sul positivo possono, almeno all'inizio, far sì che eventuali aspetti negativi di un'invenzione non vengano riconosciuti.
Sebbene sia vero che le tecnologie non sono né intrinsecamente buone né intrinsecamente cattive, il loro utilizzo può portare a risultati positivi e negativi. Nella migliore delle ipotesi, la tecnologia supporta iniziative di ogni genere. Nel peggiore dei casi, si verificano conseguenze impreviste o addirittura usi malevoli.
Un ambito in cui questa natura contrastante della tecnologia è particolarmente evidente è il controllo coercitivo, ovvero un modello di comportamento dominante volto a instillare paura e obbedienza. La tecnologia può essere fondamentale per supportare le persone vulnerabili, permettendo loro di registrare prove, trovare informazioni utili e accedere a supporti. Tuttavia, anche le tecnologie più ben intenzionate possono essere utilizzate dagli autori di reati per facilitare obiettivi malevoli, come il controllo, le molestie e lo stalking.
Riconoscendo questo problema in crescita, nel maggio 2020 l'IBM® Policy Lab ha pubblicato i nostri Cinque principi di progettazione tecnologica per combattere gli abusi domestici, che hanno sia aumentato la consapevolezza del problema degli abusi facilitati dalla tecnologia sia proposto un modo per resistervi attraverso il design. Tuttavia, sebbene molti tecnologi abbiano un desiderio fondamentale di costruire applicazioni e dispositivi sicuri, identificare come i responsabili possano manipolare la tecnologia per danneggiare individui vulnerabili e ideare misure per ridurre tali manipolazioni non è affatto facile.
Un tipo di metodologia spesso utilizzata per scoprire e minimizzare vulnerabilità di sicurezza è la modellizzazione delle minacce, che è un framework per comprendere, identificare, dare priorità e mitigare i rischi. Tuttavia, molti metodi tradizionali di modellazione delle minacce hanno un punto di vista rivolto all'interno, considerando le minacce contro gli asset aziendali. A causa di questo punto di vista, può essere difficile applicare questi framework quando si pensa alle minacce alle persone, in quanto gli obiettivi di un autore di controllo coercitivo saranno diversi da quelli degli hacker.
Per spostare il pensiero verso un approccio rivolto all'esterno che tenga conto del rischio nei confronti dell'individuo, un team IBM ha creato il framework del modello di minaccia MISUSE. Questo framework introduce una prospettiva diversa di modellazione delle minacce, aiutando i tecnologi a riconoscere l'intera gamma di danni che le loro tecnologie potrebbero causare agli individui.
MISUSE è un acronimo utilizzato per identificare possibili intenti malevoli di un autore di abusi facilitati dalla tecnologia. Mette in evidenza sei dimensioni di minaccia, che racchiudono potenziali obiettivi per sfruttare la tecnologia in modo malizioso contro una persona vulnerabile.
MANIPULATE (Manipolare) - guidare, controllare o influenzare persone vulnerabili.
ISOLATE (Isolare) – controllare i contatti per isolare le persone vulnerabili dal loro sistema di supporto.
SPY (Spiare) – monitorare e tracciare attività, conversazioni e spostamenti.
UNDERMINE (Sottomettere) - indebolire l'autostima di una persona vulnerabile o diminuire la sua percezione da parte degli altri.
SCARE (Spaventare) – inquietare, preoccupare o spaventare individui vulnerabili.
EMBARRASS (Imbarazzare) - provocare in una persona vulnerabile un senso di ansia o vergogna.
Con queste sei dimensioni di minaccia al centro della modellazione delle minacce MISUSE, i tecnici possono guadagnare insight in come le loro creazioni potrebbero essere riutilizzate per arrecare danno. Con questa comprensione possono lavorare per mitigare tali intenzioni malevole migliorando la sicurezza, la privacy e l'usabilità delle loro tecnologie.
Mitigare ogni bias di ottimismo e riconoscere che la tecnologia può essere (e viene) manipolata per danni non significa che non dovremmo continuare a essere entusiasti e speranzosi riguardo al potenziale delle nuove tecnologie. Infatti, adottando il framework MISUSE per pensare in modo più ampio su come integrare la sicurezza nel progetto, i benefici della tecnologia diventeranno più evidenti. I tecnologi non solo miglioreranno la vita di alcune delle persone più vulnerabili della società, ma potenzieranno le tecnologie digitali per tutti.