Como es habitual, continuamos la serie de entrevistas con empresas italianas que operan en el mundo de la cibernética y, en general, de las nuevas tecnologías, protagonistas del escenario italiano. Hoy entrevistamos al ingeniero Davide Ariu, cofundador de la empresa Pluribús Uno.
Antes de hablar de ciberseguridad e Inteligencia Artificial, ¿puedes hablarnos brevemente sobre ti, tu rol en Pluribus One y la empresa que representas?
Yo empezaría por Pluribus One., empresa que ayudé a fundar y que dirijo desde hace unos años. Nació como una empresa de tecnología, con la intención de traer al mercado soluciones para la seguridad de aplicaciones y servicios web desde Italia, lo hace a partir de una sólida formación tecnológica, considerando que nació como una spin-off. de la Universidad de Cagliari, de la que venimos tanto yo como los demás miembros fundadores.
Si bien el contexto en el que operamos no es el de investigación sino un contexto empresarial donde el objetivo evidentemente es ofrecer soluciones a nuestros clientes, al construir la empresa decidimos hacerlo manteniendo ese espíritu de investigación que nos lleva a ir al raíz de los problemas. Nos hemos marcado como objetivo construir una oferta de valor basada en soluciones comerciales íntegramente desarrolladas por nosotros. En este caso, el área en la que operamos es la de la seguridad de aplicaciones y servicios Web, donde hemos desarrollado una solución que permite la gestión de extremo a extremo de las vulnerabilidades de las aplicaciones: desde el descubrimiento hasta la mitigación.
Hace unos días leí un artículo que hablaba sobre Adversarial Machine Learning y los desafíos que surgen para las empresas que se ocupan de la Inteligencia Artificial. ¿Puedes explicarnos en palabras sencillas qué significa esto?
En sí misma, la definición de Adversarial Machine Learning o más genéricamente Adversarial AI es simple y describe el conjunto de técnicas que tienen como objetivo invalidar y subvertir el comportamiento de los algoritmos de IA y Machine Learning, con el fin último de comprometer el normal funcionamiento de los objetos. y soluciones que los utilizan. Este resultado se logra proporcionando a los algoritmos entradas deliberadamente hostiles (de ahí el adjetivo adversarial) construidas teniendo en cuenta factores como el tipo de algoritmos a atacar, el momento en el que se puede llevar a cabo el ataque y la intención detrás del ataque. Se pretende procesar el ataque.
Dos de los ejemplos más clásicos son, por un lado, los ataques que empujan a los sistemas a tomar una decisión incorrecta y, por otro, aquellos que pretenden socavar el proceso de aprendizaje durante el cual los algoritmos aprenden de los datos, también conocido como fase de aprendizaje (o aprendizaje o formación). Se ha hablado mucho de lo primero y se sigue hablando, por ejemplo, en relación con los vehículos autónomos: en Internet existen numerosos ejemplos de coches autónomos cuyo sistema de control ha sido engañado modificando las señales de tráfico con las debidas indicaciones. pegatinas posicionadas. De esto último podríamos poner un ejemplo en el campo de la detección de malware, suponiendo que tengamos un algoritmo diseñado para reconocer malware. Si el atacante tuviera la posibilidad de manipular muestras de malware hasta el punto de ocultar o modificar algunas de las características que distinguen su comportamiento malicioso y luego asegurarse de que estas muestras fueran procesadas durante la fase de aprendizaje, esas mismas muestras serían procesadas durante la fase de clasificación. las muestras u otros equivalentes no serían reconocidos como tales, evadiendo así el algoritmo.
Cabe señalar que la existencia de estos problemas no representa una novedad absoluta, al menos para el mundo de la investigación, que empezó a planteárselos y abordarlos hace unos 20 años, aunque no a una escala tan generalizada como ha ocurrido en los últimos años. últimos 5-6 años años. En el que, entre otras cosas, ha cambiado radicalmente la perspectiva del uso de la IA en contextos reales y a gran escala, aspecto que evidentemente nos sitúa directamente frente a las posibles consecuencias y plantea una necesidad acuciante de gestionarlas.
Pluribus One lleva años ocupándose de la aplicación de la investigación de la Inteligencia Artificial en el campo de la ciberseguridad. Este es un campo de aplicación en el que siempre debemos estar atentos a nuevos estudios. ¿Cuáles son las relaciones de su empresa con el mundo de la investigación?
Siempre he sostenido y sigo haciéndolo hoy más que nunca que el cibernético es uno de los sectores donde la frontera entre la investigación, incluso al más alto nivel, y la industria es más difusa. Porque la investigación aplicada que se alimenta de datos a menudo sólo puede realizarse gracias a datos reales que la academia la mayor parte del tiempo no tiene y que la industria, por el contrario, recopila naturalmente para llevar a cabo su negocio. Y viceversa, la ciberindustria no puede permanecer en el mercado a largo plazo a menos que se actualice e innove y, por tanto, se aproveche continuamente del mundo de la investigación.
Tengo a mis espaldas 15 años de investigación universitaria y, firme en esta convicción, siempre he querido que la investigación y el desarrollo sean una de las actividades clave de Pluribus One. Dentro de la empresa llevamos a cabo mucha investigación y desarrollo dentro de proyectos de investigación europeos, dentro de los cuales tenemos la posibilidad de hacer crecer y madurar nuestras soluciones comparándonos en un contexto internacional formado por decenas y decenas de socios de toda Europa. desde Portugal hasta Rumania. Significa trabajar conjuntamente con la universidad para abordar y resolver también los problemas prácticos de nuestros clientes. Problemas sobre los que hemos llevado a cabo en el pasado - y seguimos llevando a cabo hoy - tanto actividades de investigación, que cuando es posible publicamos en contextos internacionales, como la parte de ingeniería y desarrollo para incorporar las mejoras resultantes a nuestras soluciones. Queremos demostrar que esto también es viable en Italia y, aunque con las debidas proporciones, no sólo dentro de los gigantes mundiales de TI.
Para lograr este objetivo, la empresa siempre ha invertido importantes recursos y mantiene un continuo intercambio de personal con el mundo universitario. Hasta el punto de que a partir de este 2023 también financiará una beca de doctorado de tres años en la Universidad de Cagliari.
¿Qué opinas de la necesidad de la difusión del conocimiento en el campo de la Inteligencia Artificial y la Ciberseguridad? ¿Qué estáis haciendo para aumentar la difusión del conocimiento en este sector? ¿Cuál es la situación en Italia?
Creo que es una actividad fundamental en el proceso de transformación digital de nuestra sociedad. La IA y las tecnologías digitales en general nos ofrecen oportunidades extraordinarias. Pero pueden proyectar nuestras vidas, al menos en parte, hacia escenarios que, en el mejor de los casos, no hemos experimentado hasta ahora, y que, en el peor, tenemos serias dificultades para imaginar debido a la evolución y las posibles implicaciones, también, pero no sólo, desde un perfil cibernético. Para evitar que como sociedad caminemos hacia lo desconocido, es por tanto importante que estos temas encuentren cada vez más espacio en la comunicación de masas, considerando los posibles impactos sociales y dado que nos conciernen a todos de alguna manera. En los últimos años, las cosas ya han cambiado: nunca hubiera pensado, ni siquiera hace cinco años, escuchar hablar de ciberseguridad en las noticias de la noche. Afortunadamente esto sucede ahora y ciertamente es algo bueno.
Pero lanzo una provocación. Creo que sería apropiado pensar a nivel institucional en una campaña de alfabetización masiva sobre estos temas, un poco como lo que se hizo en la posguerra para difundir la formación básica. Sería una acción de sentido común, considerando el ritmo al que se desarrollan y se afianzan estas tecnologías, que no es muy humano.
Por nuestra parte, quizás también un poco por antecedentes, siempre hemos preferido una comunicación no comercial a una orientada a la difusión de competencias: en un momento en el que somos objeto de campañas de comunicación y marketing de todo tipo, creemos que la mejor manera de llegar a las personas es aportando valor y conocimiento.
Por eso, por ejemplo, durante 2023 creamos nuestro propio formato de información, al que llamamos Cyber Journey (https://cyberjourney.it/). Se trata de un evento presencial que concebimos como una forma de recorrido por los temas del panorama cibernético, que tiene un objetivo puramente divulgativo y dentro del cual permitimos al público de Cagliari, de forma gratuita, conocer e interactuar. oradores que representan la frontera internacional de la investigación y la industria cibernéticas. En las dos ediciones de 2023 contamos con ponentes de ENISA, MICROSOFT, SAP, TRELLIX, CHECKMARX y de algunas de las universidades europeas más prestigiosas, como la Carlos III de Madrid y la Universidad de Amsterdam.
Al mismo tiempo, también hemos lanzado una comunidad en línea, "Unboxed AppSec", donde abordamos los problemas de seguridad de las aplicaciones semanalmente, intentando que sean accesibles. Se trata de un contenedor online, que me he comprometido a alimentar personalmente con artículos y posts que van desde el mundo de la investigación hasta la descripción de los frameworks y herramientas de trabajo que utilizamos a diario para garantizar la seguridad del software.
En una empresa como la vuestra imagino que es necesario contar siempre con gente nueva con la que desarrollar nuevos proyectos. ¿Es difícil encontrar personal capacitado? ¿Qué haces para tenerlo contigo?
Una empresa como la nuestra vive del conocimiento y por ello las personas son uno de los pilares fundamentales sobre los que se sustenta la empresa. Piensa en lo que significa traer, como lo hacemos en el caso de nuestra Seer Box (http://seerbox.it), una solución de ciberseguridad del mercado.
Necesitamos excelentes ingenieros de software para garantizar que nuestra solución sea eficiente y escalable, que pueda instalarse con la misma eficiencia y de manera indiferente en una variedad de entornos, desde los más tradicionales en las instalaciones hasta los modernos nativos de la nube basados en contenedores. Necesitamos habilidades de seguridad ofensivas para entender cómo se pueden atacar las aplicaciones web y API que tendremos que proteger con Seer Box. Y en el frente opuesto, necesitamos ciencia de datos, análisis de datos y aprendizaje automático, y habilidades de seguridad defensiva para almacenar, analizar y procesar de manera rápida y eficiente los datos útiles para detectar y bloquear ataques. A esto le sumamos que proponemos una solución que los clientes deben instalar en casa, y al ser un producto de ciberseguridad, es el primer objeto de evaluación y escrutinio por parte de nuestros clientes antes de decidir instalarlo en su infraestructura. De ello se deduce que debemos prestar la máxima atención a los aspectos de Garantía de Calidad, Pruebas y DevSecOps.
Finalmente, considerando que la solución debe ser de fácil acceso y usabilidad, y además permitir su funcionamiento a personal técnico que no tenga formación específica en seguridad Web, debemos prestar la máxima atención a todos los aspectos de User-Interface, User-Experience y presentación de la página. salidas.
Por lo tanto, el estándar de partida para nuestro equipo técnico es muy alto y no es fácil encontrar figuras listas en el mercado, especialmente en un mercado italiano donde las empresas que desarrollan software no están muy orientadas a la creación de soluciones "listas para usar" e incluso aquellas que El mantenimiento de sus soluciones suele estar en el mundo SaaS, que es completamente diferente al nuestro.
Pero podría repetir lo mismo para todas las competencias relacionadas con los proyectos europeos de I+D.
Por tanto, si durante los procesos de selección siempre buscamos perfiles que puedan aportar experiencias y conocimientos complementarios a los nuestros, por otro lado intentamos fomentar al máximo el crecimiento de las personas y garantizar la máxima calidad del trabajo. ambiente Trabajo.
Hemos previsto que el 10% del tiempo de trabajo semanal debe destinarse a actividades de estudio, realizamos formación al menos quincenalmente en soft-skills y tenemos una gestión de recursos humanos que sería obsesiva incluso en empresas mucho más grandes que la nuestra.
Esto se debe a que, como siempre le digo a la gente de nuestro equipo: “Queremos que te quedes con nosotros el mayor tiempo posible. Pero mientras tanto queremos que puedas formarte y crecer para que si decides dejar Pluribus One mañana por la mañana no tengas problemas para encontrar una empresa aún más grande y prestigiosa que pueda darte la bienvenida." Por supuesto, siempre espero que no suceda.
Finalmente, ¿cuáles son los planes de Pluribus One para 2024?
Son muchos y ambiciosos, pero intentaré nombrar tres.
Comenzaremos a principios de este año poniendo a disposición una versión pública y gratuita de nuestra solución Seer Box. Queremos darle a todos la oportunidad de probarlo fácilmente, conocerlo y utilizarlo para proteger sus aplicaciones y servicios web. Creemos firmemente en la calidad del trabajo que hemos realizado durante todos estos años y queremos que sea apreciado.
Entonces nacerá un proyecto europeo de 4 millones de euros, el proyecto APPTake, que nos sitúa al frente de un consorcio de 14 empresas de 7 países diferentes y que tiene como objetivo desarrollar soluciones made in Europe para DevSecOps. Dado el papel de coordinadores que tenemos, es un proyecto que nos sitúa ante una responsabilidad importante y nos abrirá al escenario del mercado europeo. Entonces una gran oportunidad.
Y luego, en 2024, repetiremos nuestro evento Cyber Journey con una fórmula aún más ambiciosa.
Los lectores de Difesa Online están invitados a Cagliari en junio.
