La violazione della sicurezza, in ambito informatico, è definita nel rapporto “The Effect of Internet Security Breach Announcements on Market Value” Tentativi di questo tipo sono in forte aumento nel corso degli ultimi anni, tanto d’assumere la dimensione di “problema” per il sistema di governo nazionale e d’impresa. Le aziende possiedono grandi quantità d’informazioni sensibili e i governi classificate come “segreto”. motivo per cui la sicurezza informatica (si pensi anche ai conti correnti bancari per le banche e i clienti) assume la veste di sicurezza nazionale. Da un problema di così vaste proporzioni, quasi ad ironia della sorte, si cerca di trarre vantaggio da parte delle aziende che offrono sistemi di sicurezza virtuale. Per dare una dimensione al problema, nel solo periodo 1996-2001 si è passati da 2.573 a 52.658 incidenti di sicurezza comunicati dal CERT [2] per non conteggiare tutti quegli eventi accaduti, ma non certificati perché “risolti in casa” con risorse e personale interno all’impresa. Sul tema della registrazione delle violazioni, nel territorio degli Stati Uniti ci sono due organismi di natura governativa, il CERT americano (ogni Governo Occidentale ne ha uno in servizio) e la CSI-FBI per le conseguenze penali e di polizia che l’evento scatena. Sul piano didattico e dottrinale l’evento criminale, in ambito informatico, individua forme specifiche di costo (per violazione) classificabili in quattro diversi tipi: La percezione di costo che emerge dalla violazione informatica è molto differente tra le aziende a seconda del settore produttivo d’appartenenza (se dipendete o meno dalla rete virtuale. In genere si definiscono “pure play” quelle aziende fortemente dipendenti dal Web). Solitamente i costi per violazione sono considerati dal sistema delle imprese come spese d’assicurazione per eventi futuri. In realtà l’onere della spesa sarebbe molto ridotto se emergesse da una politica della sicurezza informatica che ancora non è stata recepita nei piani di marketing d’impresa. Detto in altri termini la spesa per il ripristino dei sistemi informatici violati è molto più elevata rispetto quella che si sostiene normalmente per il mantenimento del sistema di protezione base. Non solo, nel citato studio, ma confermato anche da altre ricerche eseguite sul campo, vanno distinti quegli attacchi che tendono solo a disturbare il sito web aziendale, impedendo ad esempio, la visualizzazione e commercio dei prodotti (attacco DOS) da quelli che in forma molto più invasiva sottraggono, modificano o aggiungono informazioni ai sistemi informatici. Si pensi a chi diventa milionario sul conto corrente bancario solo con un click fatto da un hacker all’insaputa del primo. All’inizio della stagione criminale informatica (anni Settanta) la qualità della violazione virtuale fu solo tesa a impedire la corretta fruizione del sito Web aziendale da parte della clientela. Oggi la formula criminale è mutata tendendo alla rapina (furto) dei codici d’accesso ai conti bancari dei clienti o per fini di terrorismo modificando i cicli di raffredamento di una centrare nucleare trasformando completamente la natura e la portata dell’evento criminale/terroristico generato dalla pratica/abuso nell’uso del web e di procedure d’acquisto in e-commerce. Tralasciando il disordine voluto che potrebbe emergere dallo scambio tra treni provocando lo scontro tra convogli o il confondere gli ordini impartiti dalla torre di controllo per gli atterraggi, azione che un hacker potrebbe svolgere e concentrandosi solo sulle pratiche commerciali d’acquisto su remoto (senza guardare in viso il negoziante o il negozio) sorgono delle riflessioni. L’e-commerce, ovvero l’acquisto in assenza di un corrispondente reale che vende assumendosi la responsabilità del prodotto e garanzia, risponda alla tendenza moderna (ma non per questo valida) per la dematerializzazione nella scelta e acquisto della merce. Tra alterne fortune l’e-commerce (parola estratta da un linguaggio straniero qui riportata in corsivo in un testo a lingua italiana) continua ad essere presente nel panorama commerciale. Certamente il commercio virtuale conferma la presenza sul mercato di tantissimi operatori (negozianti) solitamente tutti sprovvisti dei criteri di base per la sicurezza informatica, consentendo un’elevazione importante del crimine informatico teso al furto dei codici d’accesso al conto corrente bancario. Agli attacchi serve una reazione e questa riguarda i Governi, le aziende, banche e privati. Nello studio già citato, si spiega, limitatemene alle imprese commerciali che per reagire servono dei “distinguo” tra: A critica dello studio elevato a base della presente ricerca, c’è la quantificazione nel tempo del calo di quotazione in borsa dell’azienda colpita. La ricerca svolta spiega come nei 2 giorni seguenti all’attacco le quotazioni di borsa delle imprese colpite siano calate del solo 2,1% comportando un contemporaneo aumento dell’1,36% di quelle dedicate alla sicurezza. Si vengono così a delineare degli effetti di trasferimento tra aziende colpite e quelle di protezione. Mentre non c’è nulla da eccepire sull’effetto da trasferimento, ciò che lascia perplessi è l’estrema limitatezza del tempo d’osservazione studiato sulla caduta dei corsi azionari: solo due giorni! [1] The Effect of Internet Security Breach Announcements on Market Value”[1]: Capital Market Reactions for Breached Firms and Internet Security Developers di Huseyin Cavusoglu, Birenda Mishra & Srinivasan Raghunathan (2004)” [2] CERT Coordination Center. CERT/CC Statistics 1988–2003. Carnegie- Mellon University, Software Engineering Institute, January 22, 2004. Available at www.cert.org/stats/cert_stats.html.
[1]come un tentativo doloso d’interferire con l’attività e le informazioni di un’impresa.