La violazione della sicurezza in ambito informatico.

Tentativi di questo tipo sono in forte aumento nel corso degli ultimi anni, tanto d’assumere la dimensione di “problema” per il sistema di governo nazionale e d’impresa. 

Le aziende possiedono grandi quantità d’informazioni sensibili e i governi classificate come “segreto”. motivo per cui la sicurezza informatica (si pensi anche ai conti correnti bancari per le banche e i clienti) assume la veste di sicurezza nazionale.

Da un problema di così vaste proporzioni, quasi ad ironia della sorte, si cerca di trarre vantaggio da parte delle aziende che offrono sistemi di sicurezza virtuale. 

Per dare una dimensione al problema, nel solo periodo 1996-2001 si è passati da 2.573 a 52.658 incidenti di sicurezza comunicati dal CERT ^[2] per non conteggiare tutti quegli eventi accaduti, ma non certificati perché “risolti in casa” con risorse e personale interno all’impresa.

Sul tema della registrazione delle violazioni, nel territorio degli Stati Uniti ci sono due organismi di natura governativa, il CERT americano (ogni Governo Occidentale ne ha uno in servizio) e la CSI-FBI per le conseguenze penali e di polizia che l’evento scatena.

Sul piano didattico e dottrinale l’evento criminale, in ambito informatico, individua forme specifiche di costo (per violazione) classificabili in quattro diversi tipi:

• costi transitori: a breve termine, necessari a individuare e riparare nel più breve tempo possibile le risorse violate. Questi costi comportano una perdita di affari e una diminuzione della produttività momentanea.
• spese di tipo permanente: costi considerati gravanti nel lungo termine per l’impresa.
• costi tangibili: stimabili, facendo riferimento al materiale riservato perso, al calo delle vendite, all’aumento del lavoro da svolgere per ripristinare le risorse violate e al rialzo dei costi assicurativi.
• spese di natura intangibile: costi ritenuti difficili da stimare, “invisibili” nel bilancio di un’azienda ma che possono determinare elevate spese.

La percezione di costo che emerge dalla violazione informatica è molto differente tra le aziende a seconda del settore produttivo d’appartenenza (se dipendete o meno dalla rete virtuale. In genere si definiscono “pure play” quelle aziende fortemente dipendenti dal Web).

Solitamente i costi per violazione sono considerati dal sistema delle imprese come spese d’assicurazione per eventi futuri. In realtà l’onere della spesa sarebbe molto ridotto se emergesse da una politica della sicurezza informatica che ancora non è stata recepita nei piani di marketing d’impresa.

Detto in altri termini la spesa per il ripristino dei sistemi informatici violati è molto più elevata rispetto quella che si sostiene normalmente per il mantenimento del sistema di protezione base.

Non solo, nel citato studio, ma confermato anche da altre ricerche eseguite sul campo, vanno distinti quegli attacchi che tendono solo a disturbare il sito web aziendale, impedendo ad esempio, la visualizzazione e commercio dei prodotti (attacco DOS) da quelli che in forma molto più invasiva sottraggono, modificano o aggiungono informazioni ai sistemi informatici.

Si pensi a chi diventa milionario sul conto corrente bancario solo con un click fatto da un hacker all’insaputa del primo.

All’inizio della stagione criminale informatica (anni Settanta) la qualità della violazione virtuale fu solo tesa a impedire la corretta fruizione del sito Web aziendale da parte della clientela.

Oggi la formula criminale è mutata tendendo alla rapina (furto) dei codici d’accesso ai conti bancari dei clienti o per fini di terrorismo modificando i cicli di raffredamento di una centrare nucleare trasformando completamente la natura e la portata dell’evento criminale/terroristico generato dalla pratica/abuso nell’uso del web e di procedure d’acquisto in e-commerce.

Tralasciando il disordine voluto che potrebbe emergere dallo scambio tra treni provocando lo scontro tra convogli o il confondere gli ordini impartiti dalla torre di controllo per gli atterraggi, azione che un hacker potrebbe svolgere e concentrandosi solo sulle pratiche commerciali d’acquisto su remoto (senza guardare in viso il negoziante o il negozio) sorgono delle riflessioni.

L’e-commerce, ovvero l’acquisto in assenza di un corrispondente reale che vende assumendosi la responsabilità del prodotto e garanzia, risponda alla tendenza moderna (ma non per questo valida) per la dematerializzazione nella scelta e acquisto della merce. 

Tra alterne fortune l’e-commerce (parola estratta da un linguaggio straniero qui riportata in corsivo in un testo a lingua italiana) continua ad essere presente nel panorama commerciale.

Certamente il commercio virtuale conferma la presenza sul mercato di tantissimi operatori (negozianti) solitamente tutti sprovvisti dei criteri di base per la sicurezza informatica, consentendo un’elevazione importante del crimine informatico teso al furto dei codici d’accesso al conto corrente bancario.

Agli attacchi serve una reazione e questa riguarda i Governi, le aziende, banche e privati. Nello studio già citato, si spiega, limitatemene alle imprese commerciali che per reagire servono dei “distinguo” tra:

• la tipologia dell’impresa: le aziende fisiche risentono molto meno dell’azione di hackeraggio, usando internet come strumento più di marketing e contando su punti di vendita fisici mentre le attività commerciali completamente strutturate sul piano virtuale non possono contare su vendite di questo tipo ma solo su quelle via Internet, in questo modo i loro flussi di cassa risultano molto più esposti ai costi, quindi nel caso di un attacco i rendimenti negativi anomali nel mercato finanziario risulterebbero maggiori per le imprese Internet. Per questo tipo di imprese la sicurezza informatica diventa essenziale;
• la dimensione dell’impresa: Nello stesso studio si distingue tra piccola, media e grande impresa riconoscendo a quest’ultima la reale capacità di gestione di una corretta politica di sicurezza informatica grazie ad un personale IT maggiore e nella maggior parte delle volte più qualificato. Essa riesce ad assorbire e gestire shock economici negativi più facilmente rispetto alle piccole imprese grazie ad un maggiore accesso ai mercati azionari, costi di capitale più bassi, riconoscimento del marchio e altre fonti di reddito. Così, dopo l’annuncio di una violazione della sicurezza, risulterà un rendimento negativo del mercato azionario maggiore per le imprese più piccole rispetto a quelle più grandi;
• altra variabile introdotta nello studio citato per valutare l’impatto di un attacco virtuale è il tempo. Per “tempo” s’intende la durata nel lungo periodo dell’impressione negativa verso i clienti che un’azienda danneggiata subisce. 

A critica dello studio elevato a base della presente ricerca, c’è la quantificazione nel tempo del calo di quotazione in borsa dell’azienda colpita. 

La ricerca svolta spiega come nei 2 giorni seguenti all’attacco le quotazioni di borsa delle imprese colpite siano calate del solo 2,1% comportando un contemporaneo aumento dell’1,36% di quelle dedicate alla sicurezza.

Si vengono così a delineare degli effetti di trasferimento tra aziende colpite e quelle di protezione. Mentre non c’è nulla da eccepire sull’effetto da trasferimento, ciò che lascia perplessi è l’estrema limitatezza del tempo d’osservazione studiato sulla caduta dei corsi azionari: solo due giorni!

^[1] The Effect of Internet Security Breach Announcements on Market Value”^[1]: Capital Market Reactions for Breached Firms and Internet Security Developers di Huseyin Cavusoglu, Birenda Mishra & Srinivasan Raghunathan (2004)”

^[2] CERT Coordination Center. CERT/CC Statistics 1988–2003. Carnegie- Mellon University, Software Engineering Institute, January 22, 2004. Available at www.cert.org/stats/cert_stats.html.