Alla Scoperta della Frontiera Immersiva: Ricerca Preliminare NIST su Standard di Sicurezza e Privacy per le Tecnologie Immersive

Le parole "metaverso" e "realtà aumentata" potrebbero far venire in mente immagini di amici con visori che impugnano spade virtuali o persone che si aggirano per le strade di notte alla ricerca di PokéStop. Le tecnologie di realtà virtuale, aumentata e mista ("tecnologie immersive") sono entrate nella coscienza popolare grazie al successo dei videogiochi, ma le loro applicazioni vanno ben oltre nuove esperienze nell'intrattenimento. Già oggi vengono utilizzate per aumentare l'accesso all'istruzione, migliorare la produzione, garantire l'accessibilità e formare forze lavoro nei settori della salute e del commercio al dettaglio.

Applicazioni Potenziali e Benefici

Le tecnologie immersive hanno il potenziale per trasformare il nostro modo di interagire con gli altri e con il mondo. In futuro, i lavoratori delle aziende elettriche potrebbero utilizzare tecnologie di realtà aumentata collegate all'infrastruttura delle smart cities per individuare la posizione di attrezzature difettose sulla rete, mentre amici e familiari potrebbero esplorare virtualmente nuove città o ammirare meraviglie naturali.

Rischi di Sicurezza e Privacy

Tuttavia, con questi entusiasmanti benefici potrebbero emergere nuove vulnerabilità per la sicurezza informatica e la privacy, che se trascurate, potrebbero causare danni economici e sociali. In ambito di sicurezza informatica, le tecnologie digitali che si estendono in nuovi domini attraverso interfacce e protocolli innovativi possono aumentare la superficie di attacco e compromettere gli equilibri di fiducia esistenti. Queste nuove tecnologie presentano anche un elemento umano, introducendo considerazioni legate ai fattori umani in materia di sicurezza informatica.

Considerazioni sulla Sicurezza Informatica e la Privacy

Per funzionare, queste tecnologie si basano su dati spaziali e corporei sugli individui, creando significativi rischi per la privacy. Ciò include l'integrazione di dati comportamentali sugli stati emotivi/psicologici con dati biometrici utilizzati oltre la verifica dell'identità. Le tecnologie immersive possono anche limitare l'applicazione dei principi tradizionali di privacy. Ad esempio, i dati fisici necessari per la funzionalità possono essere generati involontariamente e misurati con tecniche complesse, limitando la capacità delle persone di comprendere e controllare la raccolta e l'uso dei loro dati.

Considerazioni

Uno degli aspetti critici legati all'implementazione delle tecnologie immersive riguarda le considerazioni sulla sicurezza informatica e la privacy. Questi aspetti sono centrali, poiché l'integrazione di tecnologie come realtà virtuale e aumentata richiede la raccolta e l'elaborazione di dati sensibili e personali.

In termini di sicurezza informatica, l'espansione delle tecnologie digitali in nuovi ambiti tramite interfacce innovative può comportare un aumento della superficie di attacco. In altre parole, l'accesso a nuovi domini tramite protocolli e interfacce inediti crea nuove opportunità per gli attacchi informatici. Questo fenomeno può rompere gli equilibri di fiducia preesistenti, richiedendo una revisione delle strategie di mitigazione del rischio.

Le tecnologie immersive introducono anche una componente umana significativa nel contesto della sicurezza informatica. Ad esempio, mentre un tradizionale attacco di phishing può compromettere la sicurezza dei dati, un attacco simile utilizzando un codice QR con occhiali di realtà aumentata potrebbe causare danni più gravi a coloro che dipendono da questa tecnologia. La comprensione e la gestione di questi fattori umani diventano, quindi, essenziali per una strategia di sicurezza efficace.

Parallelamente, il tema della privacy assume un ruolo centrale. Le tecnologie immersive operano attraverso la raccolta di dati spaziali e corporei sugli individui, che, se non adeguatamente gestiti, possono costituire un rischio significativo per la privacy. L'integrazione di dati comportamentali legati agli stati emotivi e psicologici con dati biometrici utilizzati oltre la semplice verifica dell'identità amplifica ulteriormente questi rischi.

Inoltre, le tecnologie immersive possono introdurre limitazioni nell'applicazione dei principi tradizionali di privacy. Ad esempio, la generazione involontaria di dati fisici necessari per il funzionamento della tecnologia, misurata attraverso complesse tecniche, riduce la capacità individuale di comprendere e controllare la raccolta e l'utilizzo dei propri dati personali.

In definitiva, l'implementazione delle tecnologie immersive richiede un approccio attento e ponderato alla sicurezza informatica e alla privacy. È fondamentale che le organizzazioni e gli sviluppatori comprendano appieno i rischi associati a queste tecnologie e adottino misure adeguate per proteggere i dati sensibili, garantendo al contempo la fiducia degli utenti. Solo attraverso un approccio responsabile e consapevole potremo sfruttare appieno il potenziale trasformativo delle tecnologie immersive senza compromettere la sicurezza e la privacy delle persone.

Prossime Fasi della Ricerca NIST

Nei prossimi mesi, il NIST condurrà una ricerca sullo stato attuale delle tecnologie immersive, raccogliendo informazioni e feedback sulla sicurezza informatica e le considerazioni sulla privacy dalla comunità interessata. Questo lavoro includerà la raccolta di feedback attraverso un appello per contributi, l'organizzazione di un workshop e la pubblicazione di un rapporto finale che illustrerà le conclusioni e fornirà raccomandazioni per i prossimi passi.

Conclusioni e Invito alla Partecipazione

Invitiamo tutti a contribuire con la propria esperienza mentre ci impegniamo con la comunità per approfondire la comprensione di queste tecnologie. Accogliamo con favore ogni feedback da parte dei soggetti interessati. Commenti, feedback e domande possono essere inviati a immersivetech@nist.gov. Continuate a seguirci per ulteriori aggiornamenti dal NIST sulle tecnologie immersive!

Fonti: NIST, Dylan Gilbert¹, Mike Fagan²

Glossario Tecnico

• Metaverso: Un ambiente virtuale interattivo tridimensionale generato da computer, spesso abitato da avatar umani e non umani, con cui gli utenti possono interagire in tempo reale.
• Realtà Aumentata (AR): Una tecnologia che sovrappone elementi digitali al mondo reale, offrendo un'esperienza migliorata o arricchita attraverso dispositivi come occhiali o smartphone.
• Realtà Virtuale (VR): Un ambiente simulato al computer che riproduce un'esperienza realistica, solitamente attraverso l'uso di visori e cuffie immersivi.
• Tecnologie Immersive: Un termine ombrello che include realtà virtuale, realtà aumentata e altre tecnologie che coinvolgono gli utenti in esperienze coinvolgenti e interattive.
• Superficie di Attacco: L'insieme di punti, interfacce e protocolli attraverso i quali un sistema o una tecnologia possono essere vulnerabili agli attacchi informatici.
• Equilibri di Fiducia: La gestione bilanciata dei rischi e delle misure di sicurezza per mantenere la fiducia degli utenti in un sistema o un'applicazione.
• Fattori Umani in Sicurezza Informatica: Considerazioni legate al comportamento umano, alla consapevolezza e alla formazione necessarie per garantire la sicurezza delle tecnologie informatiche.
• Dati Biometrici: Informazioni uniche e misurabili legate alle caratteristiche fisiche o comportamentali di un individuo, spesso utilizzate per l'identificazione.
• Principi Tradizionali di Privacy: Fondamenti etici e legali che regolano la raccolta, l'elaborazione e l'uso dei dati personali, solitamente basati su consenso, trasparenza e controllo dell'individuo.
• Rischi Emergenti: Potenziali minacce alla sicurezza e alla privacy che sorgono da nuove tecnologie e scenari, richiedendo una costante valutazione e adattamento delle strategie di sicurezza.

1) Dylan Gilbert è un Consulente di Politiche sulla Privacy presso il Programma di Ingegneria della Privacy presso l'Istituto Nazionale di Standard e Tecnologia, Dipartimento del Commercio degli Stati Uniti.

2) Mike Fagan è un informatico che lavora con il Programma di Sicurezza Informatica per l'Internet delle Cose, mirato a sviluppare linee guida per migliorare la sicurezza informatica dei dispositivi e sistemi IoT. Ha conseguito un dottorato in informatica.