Prova a prenderli. Hacker, cybersecurity e politiche economiche (parte 2)

scritto da il 28 Novembre 2017

Gli autori di questo post sono Claudia Biancotti e Riccardo Cristadoro, Senior Economist e Senior Director del Dipartimento di Economia e Statistica della Banca d’Italia* –

Il Regno Unito è a tutt’oggi l’unico Paese che pubblichi statistiche ufficiali sulla frequenza e il costo economico degli attacchi cyber contro le imprese. Lo fa attraverso la Cyber Security Breaches Survey (CSBS), un’indagine campionaria che copre l’intero settore privato. Secondo la CSBS, metà delle imprese britanniche ha subito almeno un attacco nel 2017, ma l’incidenza è maggiore nei settori che trattano molti dati in formato elettronico o custodiscono informazioni di particolare valore (telecomunicazioni, studi professionali, laboratori scientifici).

Lo scorso anno la Banca d’Italia ha introdotto alcune domande sul rischio cyber nelle indagini campionarie che normalmente conduce sul settore privato. Esse non sono parte del sistema nazionale di statistiche ufficiali, ma costituiscono un consolidato riferimento per la ricerca economica. L’universo campionato dalla Banca è meno esteso di quello della CSBS; non comprende le imprese sotto i 20 addetti, gli intermediari finanziari e alcuni settori che in Italia – ma non nel Regno Unito – sono quasi interamente presidiati dallo Stato, come sanità, scuola e servizi sociali. I risultati, tuttavia, sono in linea con quelli britannici per incidenza e distribuzione settoriale degli attacchi. Meno agevole è la comparazione delle informazioni relative agli impatti economici.

Le stime basate sulle due indagini si distinguono dalle molte prodotte da enti commerciali perché hanno proprietà statistiche (come il grado di rappresentatività o i margini di errore) documentate in modo trasparente e perché i microdati sono disponibili al pubblico senza costi.

Sono anche esplicitamente riconosciuti i limiti metodologici che spesso si accompagnano allo studio di un nuovo fenomeno. In qualsiasi indagine campionaria è possibile che i rispondenti forniscano informazioni non veritiere; il rischio è particolarmente alto quando si parla di cybersecurity. Questo problema si manifesta già per una variabile semplice come la frequenza degli attacchi e si aggrava quando si parla di costi.

In primo luogo, non tutte le imprese sono in grado di individuare un attacco: un ransomware è evidente perché rende inutilizzabili i terminali aziendali, ma incursioni più sofisticate orientate alla sottrazione di informazioni possono passare inosservate per mesi o anni. Inoltre, le imprese che sono consapevoli di aver subito un danno da un attacco potrebbero non voler rivelare l’accaduto per evitare danni reputazionali che si potrebbero ripercuotere sul valore di mercato. Non solo: confessare l’evento espone a richieste di risarcimento da parte di clienti, fornitori, dipendenti e altri soggetti i cui diritti siano stati lesi, ad esempio perché sono stati sottratti dati personali o proprietà intellettuale.

Il problema della mancata denuncia di attacchi riusciti può essere alleviato con il ricorso ad opportune tecniche statistiche. Quando si pensa che un dato rilevato nel corso di un’indagine non sia affidabile, si può tentare di correggerlo facendo riferimento a fonti esterne ritenute più solide. Nel nostro caso queste sono rare: nei paesi dove è obbligatorio segnalare alcuni tipi di attacchi alle autorità garanti della privacy si può fare riferimento agli archivi di notifiche istituiti presso queste ultime, ma si tratta comunque di un’informazione parziale e non facilmente disponibile per la ricerca. In alternativa, si può fare ricorso a modelli statistici che tengano conto dei vari fattori coinvolti nel processo di risposta per ricostruire, a partire da quanto dichiarato nel corso dell’indagine, ciò che è accaduto veramente: sono stati fatti alcuni tentativi in questo senso, ma non esistono ancora metodi consolidati.

Quando si parla di danni riportati a seguito degli attacchi alle difficoltà sopra elencate se ne aggiungono altre, ancora maggiori. I costi vivi di ripristino dei sistemi danneggiati sono facilmente quantificabili, ma le perdite legate all’interruzione del business, alla distruzione o al furto di dati e alle ricadute nei rapporti con clienti e fornitori potrebbero sfuggire alle capacità di stima di singole e pur volenterose imprese.

Infine, a fronte di numerosi attacchi che producono pochi danni economici ve ne sono alcuni, rari, che possono comportare costi assai elevati e dai quali dipende crucialmente la valutazione del costo complessivo della minaccia cyber. Questo richiede l’uso di tecniche diverse da quelle usuali nella raccolta e nell’analisi dei dati. [continua nel post successivo]

*Le opinioni espresse dagli autori nell’articolo sono personali e non impegnano in alcun modo l’istituzione di appartenenza

NOTA

[1] La stessa incidenza si era riscontrata anche nel 2016, primo anno in cui è stata condotta l’indagine. Negli anni precedenti era attiva una rilevazione di più ridotte dimensioni (Information Security Breaches Survey) su temi analoghi; i risultati non sono però confrontabili perché il campione non aveva adeguata rappresentatività statistica.

Articoli di questa stessa serie:

Le cause economiche dell’insicurezza informatica

Prova a prenderli. Hacker, cybersecurity e politiche economiche (parte 1)