Cybersecurity
Come l'intelligenza artificiale migliora l'analisi forense digitale
I professionisti della medicina legale digitale possono utilizzare l'intelligenza artificiale per accelerare e migliorare i processi attuali, riducendo i tempi di indagine e migliorando l'efficienza. Tuttavia, sebbene il suo impatto sia per lo più positivo, esistono alcuni problemi. L’intelligenza artificiale può sostituire gli analisti forensi? Ancora più importante, le scoperte basate sull’intelligenza artificiale reggeranno anche in tribunale?
Che cos'è la scienza forense digitale?
La scienza forense digitale, precedentemente nota come informatica forense, è una branca della scienza forense che si occupa esclusivamente di dispositivi elettronici. Il lavoro di un analista forense è indagare sui crimini informatici e recuperare dati per produrre prove.
I professionisti del settore utilizzano tecniche informatiche e di indagine per scoprire dati su computer, telefoni, unità flash e tablet. Mirano a trovare, preservare, esaminare e analizzare i dati rilevanti per il loro caso.
Come funziona l'analisi forense digitale?
La scienza forense digitale segue generalmente un processo in più fasi.
1. Sequestro
Le squadre devono prima sequestrare i media in questione al loro sospettato. A questo punto, avviano una catena di custodia – una traccia elettronica cronologica – per tracciare dove si trovano le prove e come vengono utilizzate. Questo passaggio è fondamentale se vanno in tribunale.
2. Conservazione
Gli investigatori devono preservare l'integrità dei dati originali, quindi iniziano l'esame facendo delle copie. Mirano a decrittografare o recuperare quante più informazioni nascoste o cancellate possibile. Essi deve anche assicurarlo da accessi non autorizzati rimuovendo la sua connessione Internet e collocandolo in un archivio sicuro.
3. Analisi
Gli esaminatori forensi analizzano i dati con vari metodi e strumenti. Poiché i dispositivi memorizzano informazioni ogni volta che l'utente scarica qualcosa, visita un sito Web o crea un post, viene creata una sorta di traccia cartacea elettronica. Gli esperti possono controllare dischi rigidi, metadati, pacchetti di dati, registri di accesso alla rete o scambi di e-mail per trovare, raccogliere ed elaborare informazioni.
4. Segnalazione
Gli analisti devono documentare ogni azione intrapresa per garantire che le loro prove siano valide in un tribunale penale o civile in seguito. Una volta concluse le indagini, riferiscono i risultati alle forze dell’ordine, al tribunale o all’azienda che li ha assunti.
Chi utilizza la medicina legale digitale?
La medicina legale digitale indaga sulle attività illecite legate ai dispositivi elettronici, quindi le forze dell'ordine la utilizzano spesso. È interessante notare che non perseguono esclusivamente la criminalità informatica. Qualsiasi condotta illecita, che si tratti di un crimine violento, di un reato civile o di un crimine dei colletti bianchi, che possa essere collegata a un telefono, un computer o una chiavetta USB è un gioco leale.
Le aziende spesso assumono analisti forensi dopo aver subito una violazione dei dati o essere diventate vittime di crimini informatici. Considerare che gli attacchi ransomware possono costare caro 30% del reddito operativo di un'organizzazione, non è raro che i leader assumano investigatori esperti per cercare di recuperare parte delle perdite.
Il ruolo dell'intelligenza artificiale nella scienza forense digitale
Un'indagine forense digitale è in genere un processo complesso e prolungato. A seconda del tipo e della gravità del reato – e del numero di investigatori di Megabtyes che devono vagliare – un singolo caso può richiedere settimane, mesi o addirittura anni. La velocità e la versatilità senza pari dell'intelligenza artificiale la rendono una delle migliori soluzioni.
Gli analisti forensi possono utilizzare l’intelligenza artificiale in diversi modi. Possono utilizzare l'apprendimento automatico (ML), l'elaborazione del linguaggio naturale (NLP) e modelli generativi per il riconoscimento di modelli, l'analisi predittiva, la ricerca di informazioni o il brainstorming collaborativo. Può gestire i loro compiti quotidiani banali o analisi avanzate.
Modi in cui l’intelligenza artificiale potrebbe migliorare l’analisi forense digitale
L’intelligenza artificiale potrebbe migliorare sostanzialmente molteplici aspetti della scienza forense digitale, cambiando in modo permanente il modo in cui gli investigatori svolgono il loro lavoro.
Automatizzare i processi
L’automazione è una delle più grandi capacità dell’intelligenza artificiale. Poiché può funzionare in modo autonomo, senza intervento umano, gli analisti possono lasciargli gestire il lavoro ripetitivo e dispendioso in termini di tempo mentre danno priorità alle responsabilità critiche e ad alta priorità.
Da allora, anche gli esperti assunti dai marchi ne traggono vantaggio Il 51% dei decisori in materia di sicurezza concordano sul fatto che i volumi di allerta sul posto di lavoro sono enormi, con il 55% che ammette di non avere fiducia nella capacità del proprio team di stabilire le priorità e di rispondere in tempo. Possono utilizzare l’automazione dell’intelligenza artificiale per rivedere i registri passati, rendendo più gestibile l’identificazione della criminalità informatica, delle violazioni della rete e delle fughe di dati.
Fornire informazioni vitali
Un modello ML può registrare continuamente eventi di criminalità informatica nel mondo reale ed esplorare il dark web, consentendogli di rilevare le minacce informatiche emergenti prima che gli investigatori umani ne vengano a conoscenza. In alternativa, può imparare a scansionare il codice alla ricerca di malware nascosto in modo che i team possano trovare più rapidamente la fonte degli attacchi informatici o delle violazioni.
Accelerare i processi
Gli investigatori possono utilizzare l’intelligenza artificiale per accelerare in modo significativo l’esame, l’analisi e la reportistica poiché questi algoritmi possono analizzare rapidamente grandi quantità di dati. Ad esempio, possono usarlo per forzare una password su un telefono bloccato, scrivere una bozza di un rapporto o riassumere uno scambio di e-mail durato settimane.
La velocità dell'intelligenza artificiale sarebbe particolarmente utile per gli esperti assunti dalle aziende poiché molti dipartimenti IT si muovono troppo lentamente. Ad esempio, nel 2023, le aziende ha impiegato in media 277 giorni per rispondere a una violazione dei dati. Un modello ML può elaborare, analizzare e generare output più velocemente di qualsiasi essere umano, quindi è ideale per applicazioni sensibili al fattore tempo.
Trova prove critiche
Un modello dotato di PNL può scansionare le comunicazioni per identificare e segnalare attività sospette. Gli investigatori possono addestrarlo o spingerlo a cercare informazioni specifiche sul caso. Ad esempio, se gli chiedessero di cercare parole relative all'appropriazione indebita, potrebbe indirizzarli verso testi in cui il sospettato ammette di essersi appropriato di fondi aziendali.
Le sfide che l’intelligenza artificiale deve superare
Anche se l’intelligenza artificiale potrebbe essere un potente strumento forense, in grado di accelerare i casi di settimane, il suo utilizzo non è privo di svantaggi. Come la maggior parte delle soluzioni incentrate sulla tecnologia, presenta numerosi problemi di privacy, sicurezza ed etici.
Il problema della “scatola nera” – in cui gli algoritmi non riescono a spiegare il loro processo decisionale – è il più urgente. La trasparenza è vitale nelle aule di tribunale, dove gli analisti forniscono testimonianze di esperti per cause penali e civili.
Se non riescono a descrivere come la loro intelligenza artificiale ha analizzato i dati, non possono utilizzare i risultati in tribunale. Secondo le Federal Rules of Evidence – standard che regolano quali prove sono ammissibili nei tribunali statunitensi – uno strumento forense digitale basato sull’intelligenza artificiale è accettabile solo se il testimone dimostra una conoscenza personale delle sue funzioni, spiega con perizia come è giunto alle sue conclusioni e dimostra che le sue conclusioni sono esatte.
Se gli algoritmi fossero sempre accurati, il problema della scatola nera non sarebbe un problema. Sfortunatamente, spesso hanno allucinazioni, soprattutto quando è coinvolta un'ingegneria tempestiva involontaria. Un investigatore che chiede a un modello di PNL di mostrare casi in cui il sospettato ha rubato dati aziendali potrebbe sembrare innocuo ma può portare a una risposta falsa per soddisfare la query.
Gli errori non sono rari poiché gli algoritmi non possono ragionare, comprendere il contesto o interpretare le situazioni in modo completo. In definitiva, uno strumento di intelligenza artificiale addestrato in modo improprio può dare agli investigatori più lavoro poiché dovranno selezionare falsi negativi e positivi.
Pregiudizi e difetti possono rendere questi problemi più pronunciati. Ad esempio, un’intelligenza artificiale a cui viene chiesto di trovare prove di criminalità informatica potrebbe trascurare alcuni tipi di attacchi informatici in base ai pregiudizi sviluppati durante l’addestramento. In alternativa, potrebbe ignorare i segni di reati associati, ritenendo di dover dare priorità eccessiva a un tipo specifico di prova.
L’intelligenza artificiale sostituirà gli esperti investigativi?
Le funzionalità di automazione e di elaborazione rapida dell'intelligenza artificiale potrebbero comprimere casi che durano mesi in poche settimane, aiutando i team a mettere dietro le sbarre gli autori di crimini informatici. Sfortunatamente, questa tecnologia è ancora relativamente nuova e i tribunali statunitensi non amano le tecnologie non provate e all’avanguardia.
Per ora – e probabilmente per i decenni a venire – l’intelligenza artificiale non sostituirà gli analisti forensi digitali. Li assisterà invece nelle attività quotidiane, li aiuterà a guidare i loro processi decisionali e ad automatizzare le responsabilità ripetitive. La supervisione umana rimarrà necessaria fino a quando non si risolverà definitivamente il problema della scatola nera e il sistema legale non troverà un posto permanente per l’intelligenza artificiale.