GEOPOLITICA DEL MONDO MODERNO

Tag archive

information technology

L’impatto economico del cyber-crime

INNOVAZIONE/Report di

La minaccia cyber costituisce oggi un pericolo per molti settori dell’attività economica di un paese. L’analisi di riferimento è la relazione finale del progetto “ecrime – The economic impacts of Cyber Crime”, ricerca finanziata dalla Commissione Europea iniziata nell’aprile del 2014 e conclusasi lo scorso marzo e a cui hanno partecipato esperti da tutto il mondo sia dal settore pubblico che da quello privato. I 5 settori in cui viene valutato l’impatto economico del crimine informatico sono: Salute, Finanza, Retail, Trasporti ed Energia. L’Italia, dal canto suo, ha partecipato con Global Cyber Security Center (GSEC), non profit sponsorizzata da Poste Italiane la cui mission è quella della promozione della cultura della cyber-sicurezza.

INTRODUZIONE METODOLOGICA

Lo scopo della ricerca è quello di qualificare e quantificare i costi sopportati dalle imprese dei 5 settori sopra menzionati per far fronte alla minaccia cyber-criminale. Dividiamo per iniziare i costi in due distinti momenti:

  • Costi di prevenzione
  • Costi di ripercussione

Alla fine del report si terranno in considerazione anche i Costi di Risposta sociale, che cercano di comprendere la totalità dei costi sopportati dalla società per rispondere alla minaccia cyber.

SALUTE

L’adozione e l’utilizzo di tecnologie IC sta velocemente ridisegnando la fornitura di prestazioni sanitarie, soprattutto di primo soccorso. In questo modo viene archiviata una grande quantità di informazioni sensibili dei pazienti, tra cui i risultati delle analisi, le radiografie, la storia clinica dei pazienti e, addirittura, le informazioni di pagamento e fatturazione dei pazienti. Questo archivio viene spesso gestito attraverso il c.d. Electronic Health Record (EHR), in italiano Fascicolo Sanitario Elettronico (FSE), che, di fatto, è un database personalizzato che permette diverse forme di utilizzo. Nonostante non sia ancora diffuso universalmente, l’adozione di questo sistema sta notevolmente accelerando. In Europa sono in testa i paesi del Centro-Nord (con l’aggiunta virtuosa dell’Estonia). A questo punto risulta chiaro come il principale cyber-rischio per il settore Health sia il furto di questi EHR, e più in generale dei dati sensibili archiviati, per scopi fraudolenti (in particolare per il furto di identità).

I costi di prevenzione sono di due tipi: i costi dei servizi e dei prodotti utilizzati e la perdita di produttività collegata all’attività di prevenzione. I primi, con riferimento al settore Health, hanno, in realtà, un impatto moderato rispetto ad altri settori poiché vengono ammortizzati da un utilizzo su vasta scala della tecnologia che riduce, così, il costo unitario e poiché coinvolgono tecnologie estremamente omogenee, quindi singolarmente meno costose. Ad oggi molte aziende del settore risultano impreparate nell’attività di prevenzione delle minacce cyber, ma grazie al generale senso di allerta (e in particolare alla pressione delle associazioni di consumatori) e ad un’opera di elaborazione di linee guida e best practices hanno imboccato la strada dell’aggiornamento delle proprie procedure. In merito al secondo tipo di costi di prevenzione, il progetto ecrime ha individuato un singolare trade-off tra sicurezza e produttività per cui all’aumentare delle misure di prevenzione la produttività diminuisce a causa del minor rendimento orario del personale impegnato nel rispetto di una serie di nuove e, spesso, lunghe procedure.

I costi di ripercussione per il settore della Salute sono più difficile da valutare. Il danno maggiore di un data-breach nel settore Salute, infatti, grava sulle spalle dei pazienti le cui informazioni sono cadute in mano dei criminali. Questo peso viene trasferito sulle spalle dell’azienda solo nel caso in cui la vittima decida di intentare una causa contro questa o la legislazione preveda una serie di sanzioni per non aver rispettato la normativa vigente per la tutela dei dati.

L’analisi empirica compiuta da ecrime project giunge, così, ad una conclusione interessante. Il costo della sicurezza informatica di un sistema EHR (quello, per intenderci, di prevenzione) supera di gran lunga i costi di un data breach all’interno del sistema (quello di ripercussione), non solo in positivo perché la prevenzione costa di più ma anche a causa della perdita conseguente di produttività del personale.

FINANZA

Il settore finanziario è stato uno dei primi a dotarsi di importanti infrastrutture di ICT. La ragione di questa “fretta” è stata quella della riduzione dei costi e dell’aumento dei profitti. Il risultato è stato l’emergere di una pletora di nuovi attori che hanno soppiantato le banche tradizionali nella gestione di una sempre più grande parte dei servizi finanziari. Questo ha trasferito parte delle effettive responsabilità del contrasto al cyber-crime in alcuni settori chiave della finanza internazionale.

La prevenzione nel settore Finance risponde a due ordini di rischi:

  • Mettere in sicurezza l’infrastruttura IT in cui vengono archiviati e processati i dati sensibili
  • Mettere in sicurezza i sistemi di pagamento dei clienti contro le frodi

Operando la stessa divisione usata precedentemente capiamo che:

I costi di prevenzione che implicano l’acquisizione di prodotti e servizi per il settore Finance sono molto alti, puntando, spesso, le maggiori aziende ad avere le migliori soluzioni sul mercato, ben oltre i semplici standard e best practices. Un altro genere di costi di prevenzione è quello legato al trade-off tra sicurezza e convenienza. L’aumento di procedure di sicurezza rende meno snelle le transazioni e quindi, nell’ottica di un consumatore imprudente, meno convenienti.

Per quanto riguarda i costi-ripercussione il primo fatto con cui ci si scontra è la reticenza di molti istituti finanziari a divulgare i propri dati. Essendo dotati di avanzati data centres e alta sicurezza IT, molti istituti finanziari tendono a non rendere pubbliche le informazioni circa le minacce cyber affrontate e i danni subiti. Questo si verifica soprattutto per i data breach, mentre per quanto riguarda le frodi sono disponibili maggiori informazioni. Quello che si evince è che il costo maggiore di ripercussione è legato, se la legislazione nazionale lo prevede, all’obbligo per l’azienda di risarcire il cliente vittima di frode, oppure alla causa intentata dalla vittima al fornitore del servizio finanziario.

Tirando le somme: il settore finanziario è per sua natura un target di cyber-crimine. Davanti a questa minaccia i costi di prevenzione risultano particolarmente gravosi, in particolare per l’acquisizione di assets di sicurezza informatica (servizi e prodotti).  Per quanto riguarda i costi di ripercussione il panorama diventa ancora più critico. Infatti solo le perdite (sia per i clienti che per le aziende) derivanti da truffe legate a carte di credito eccedono le spese di prevenzione in cyber-security. Riferendoci ai soli furti di identità osserviamo, inoltre, come gran parte dei costi derivanti da questo crimine venga sopportato dagli istituti finanziari sotto forma di compensazione ai clienti, con particolare riferimento ai furti di identità nel banking online.

 

RETAIL

Molte imprese che oggi si occupano di vendita al dettaglio, utilizzano il web per la loro attività commerciale. Questo ha fatto sì che, anche nel Retail, le transazioni siano diventate oggetto di attacchi cyber. I principali tipi di attacchi ad oggi sono: phishing e attacchi tramite malware, generalmente per carpire le informazioni dei clienti, e attacchi DDoS contro i siti di web-shopping. Nonostante una gran parte delle imprese di e-commerce utilizzi servizi di pagamento esterni forniti da terzi soggetti specializzati è prassi comune che, superata una certa soglia di transazioni oggetto di truffa, le compagnie di carte di credito facciano gravare sulle imprese il risarcimento del danno subito dai clienti. Per ridurre al minimo il numero di frodi è stato sviluppato il protocollo Payment Card Industry Data Security Standard (PCI-DSS). Questo set di regole e standard può risultare molto difficile da applicare soprattutto per le piccole imprese, tenute ad assicurare il rispetto di procedure particolarmente costose.

I costi di prevenzione per l’acquisizione di prodotti e servizi sono notevolmente variabili. Infatti, data la grandezza del settore del Retail online, le soluzioni sono andate sempre più moltiplicandosi e differenziandosi, tanto che oggi esistono valide soluzioni di cyber-security anche a titolo gratuito.

D’altra misura sono i costi di prevenzione legati alla perdita di produttività, infatti si rileva un chiaro trade-off tra sicurezza dei metodi di pagamento e tassi di conversione (gli indici che misurano l’effettiva decisione di un visitatore di compiere l’azione per cui è stata studiata la strategia di marketing, nel nostro caso è la decisione di acquisto) dell’e-commerce.

Un ulteriore costo di prevenzione deriva dalla valutazione obbligatoria della sicurezza del proprio sistema di pagamento a causa del protocollo PCI-DSS.

Per quanto riguarda i costi di ripercussione, il bilancio diventa spesso critico. Infatti, a seconda del tipo di attacco, distruttivo (DDoS) o information-oriented (malware o phishing), esistono una serie di costi diretti ed indiretti che sembrano gravare tutti sulle spalle dell’impresa di retail. Per gli attacchi DDoS, il costo diretto è il lucro cessante mentre quello indiretto è lo sforzo necessario a riprendere la normale attività del sito target. In merito al secondo tipo di attacco, il costo diretto è la sottrazione di informazioni che potevano essere fonte di profitti (brevetti, strategie di impresa, dati dei consumatori), mentre il costo indiretto è potrebbe derivare da multe imposte dall’autorità competente, spese processuali e fiducia persa dei consumatori.

Infine, valutando l’effettivo impatto economico dei crimini di Identity Theft (IDT) nei confronti dei consumatori del settore Retail, il report mostra come la maggior parte delle transazioni oggetto di IDT vengano risarcite dalla compagnia venditrice almeno parzialmente (il 47,5 % invece integralmente).

TRASPORTI

Prima di analizzare il settore, bisogna distinguere tra trasporto di beni e trasporto di persone, perché ad essi sono associati diversi tipi di crimini e quindi di costi.

Il trasporto dei beni fa uso delle tecnologie informatiche per ottimizzare la catena di distribuzione sia per aumentare gli utili dell’impresa che per garantire maggiore sicurezza al cliente. Le ultime innovazioni sono: l’utilizzo di sistemi di tracciamento tramite codici a barre, RFID o GPS, la gestione della distribuzione attraverso sistemi ERP, l’utilizzo di sistemi robotici per lo spostamento dei cargo, l’introduzione di tecnologie di IoT.

Per quanto riguarda il trasporto di persone si rileva come l’ultima importante innovazione sia stata l’introduzione di tessere elettroniche, spesso basate su tecnologie cloud.

I rischi di cyber-security nel settore sono altamente diversificati ma non particolarmente estesi. Per quanto riguarda il trasporto dei beni, il rischio maggiore è quello del furto dei cargo su cui vengono stivati i prodotti. Le tecnologie di hacking, infatti, oggi riescono ad incrementare le probabilità di furto, poichè permettono una migliore localizzazione, identificazione del personale coinvolto, fino ad arrivare alla sottrazione dei codici necessari alla consegna dei cargo.

Per quanto riguarda il trasporto di persone, il rischio maggiore è il furto dei dati personali (Personally Identifiable Information) la cui archiviazione (spesso su cloud) è necessaria, in alcuni casi, per la validità della tessera elettronica.

I costi di prevenzione in questo settore sono relativamente contenuti e si limitano al rispetto di standard generali come ISO 27000.

I costi di ripercussione, invece, sono molto eterogenei ma comunque piuttosto contenuti. Infatti, il maggior rischio cyber, per ora, rimane il furto di informazioni sensibili dei clienti. Attacchi distruttivi sono ancora molto rari sebbene in futuro si potrebbe assistere ad un aumento di essi parallelo alla diffusione dell’IoT nel settore. L’utilizzo di tecniche cyber in supporto di azioni “on the ground” come il furto dei cargo è, tuttavia, una procedura abbastanza comune (si riporta un 10 % del totale di furto di cargo).

ENERGIA

In questo settore rientrano tutte le aziende che fanno parte della filiera di esplorazione, produzione e distribuzione dell’energia in Europa.

L’utilizzo del IT in questo settore sta diventando più cruciale perché può riequilibrare quella che fino ad ora è stata la maggiore problematica per i competitors energetici: l’instabilità dell’offerta e della domanda, entrambe esponenzialmente suscettibili ai cambiamenti interni e internazionali. L’utilizzo principale dell’IT nel settore è legato alla dimensione meccanica e coinvolge di sistemi SCADA e, in generale, di Industrial Control, per monitorare la filiera. Chiaramente oltre all’aspetto produttivo, le tecnologie informatiche vengono utilizzate anche nell’ambito della comunicazione e della gestione delle risorse umane.

Le minacce cyber nel settore energetico sono tante, diverse e altamente dannose. Si passa infatti da attacchi distruttivi con conseguenze devastanti per l’economia non solo dell’azienda ma anche dei territori serviti, ad attacchi per il furto di informazioni, soprattutto per lo spionaggio industriale.

Per quanto riguarda i costi di prevenzione, il settore energetico è quello in cui si registra il maggior livello di precauzione e sicurezza informatica. La rigidità delle procedure di sicurezza delle compagnie petrolifere, però, è fonte di una serie di esternalità che incidono negativamente sul bilancio aziendale. La principale è la perdita di produttività conseguente all’introduzione di queste procedure ma viene considerata necessaria dai consigli di amministrazione delle aziende. Per questo, molto spesso, le compagnie si dotano di soluzioni di sicurezza in-house, al fine di una maggiore precisione e adattamento al tipo di business svolto. Si rileva come, nei sondaggi svolti dal progetto per la redazione del report, l’opinione diffusa sia che la vulnerabilità maggiore nei sistemi di sicurezza, fisica e informatica, delle aziende energetiche sia costituita dal personale. A riprova di ciò, in effetti, ci sono evidenze empiriche, prima tra tutte il caso Stuxnet-Iran.

I costi di ripercussione possono variare dal furto di identità alla distruzione fisica delle infrastrutture (con possibili ferimenti e morte di persone). Inoltre, la violazione delle reti di distribuzione che portano l’energia alle case, alle attività commerciali e ai servizi può far lievitare i costi-conseguenza. Una finalità di attacco che sta crescendo rapidamente nel settore è quella dell’estorsione, parallelamente all’aumento dell’utilizzo dei ransomware.

Quantificare l’impatto economico del cyber-crime nel settore energetico è, secondo e-crime project, sostanzialmente impossibile. La gestione in-house della sicurezza informatica, la reticenza delle aziende e dei governi che considerano l’energia un settore strategico da tenere al riparo da fughe di informazioni, rende il settore estremamente ermetico, salvi i pochi casi celebri legati più al cyber-warfare (Ucraina, Iran).

L’IMPATTO ECONOMICO DELLA RISPOSTA SOCIALE AL CYBER-CRIME

Il report si propone di analizzare, anche, quanto effettivamente incida economicamente il cyber-crime a livello sociale. Infatti, le società sopportano una grande quantità di costi per la prevenzione e la sanzione dei comportamenti criminali. Quantificare l’effettivo costo è difficile perché implica la conoscenza approfondita del sistema economico e giuridico e una difficile disponibilità di dati, per questo il report si focalizza sui costi derivanti dall’istituzione dei Computer Security Incident Response Teams (CSIRTs), la cui infrastruttura comune comprende assets, personale e procedure. Inoltre, il report tiene conto del costo delle campagne di sensibilizzazione sul tema della sicurezza informatica, che varia da decine di migliaia a diversi milioni di euro o dollari. Riassumendo quindi, la risposta sociale al cyber-crime può essere estremamente diversificata e comportare altissimi costi a seconda delle policies vigenti.

CONCLUSIONI

L’impatto economico del cyber-crimine varia, come abbiamo visto, enormemente da settore a settore. Ambiti come l’Energia e la Finanza soffrono costi decisamente più alti rispetto a quelli del Retail, dei Trasporti e della Sanità. D’altra parte, però, la distribuzione dei costi nei tre momenti (Prevenzione, Ripercussione, Risposta) non risponde alla stessa divisione: infatti, solo la Finanza e il Retail soffrono costi significativi in tutti e tre, mentre, ad esempio, i costi del settore Sanità sono concentrati, principalmente, nella prevenzione.

In conclusione, il report sottolinea in maniera accurata quali siano i costi sopportati da un’imporante parte dell’attività economica di un paese che entra nelle vite dei cittadini con i propri beni e servizi e ai quali i cittadini forniscono informazioni e denaro. Partire da questo report potrebbe servire a migliorare le policies in ambito cyber e, quindi, la salute e il benessere dei cittadini.

Lorenzo Termine

 

Tutti i report finali del progetto e le stime dettagliate sono disponibili all’indirizzo https://ecrime-project.eu/dissemination/deliverables

2016: Direttiva Europea sulla CyberSecurity. O nel 2018?

INNOVAZIONE/POLITICA/Varie di

 

La Direttiva Network and Information Security NIS dell’Unione Europea e’ pronta al lancio. Presentata alla fine del 2013 insieme alla Cyber Strategy targata UE, dopo una lunghissima gestazione ha ricevuto due semafori verdi: all’accordo in Parlamento, e il Parlamento del 7 dicembre ha fatto seguito, il 18 Dicembre, il via libera del Comitato dei Rappresentanti Permanenti (Coreper).

[subscriptionform]
[level-european-affairs]

Il 14 Gennaio 2016 e’ arrivato anche il voto (32 favorevoli su 34) della Commissione per il Mercato Interno del Parlamento. Sembra solo una formalità adesso il voto finale del Parlamento, che dara forza esecutiva al provvedimento.

Il cui scopo e’ quello di stabilire una policy condivisa in materia, tale da garantire uniformità di approccio verso un settore strategico, e il 2015 lo ha confermato in pieno, quale quello della Cybersecurity.

La Direttiva individua e disciplina tre aspetti chiave.

Innanzitutto impone agli Stati Membri l’adozione di un regime regolamentare comune, che si deve estrinsecare nell’istituzione di un’Autorita’ dedicata, con compiti di regolamentazione, relazione e punto di contatto fra la società civile, il mondo delle imprese, i governi nazionali e le istituzioni europee.

I singoli paesi dovranno contestualmente definire il framework legale e regolamentare per la disciplina della materia, nonche promuovere la nascita di CERT (Computer Emergency Response Team) nazionali.

Il secondo pilastro della direttiva consiste nella creazione di un network europeo di cyber security. Delle ipotesi al vaglio quella che sembra aver preso piede (ma si aspetta la ratifica parlamentare prima di andare a vedere nel concreto se sara’ quella adottata), e’ la costituzione di un network duale: 1. un gruppo di cooperazione fra la Commissione, l’ENISA (European Union Agency for Network and Information Security) e i rappresentanti dei singoli stati; 2. un gruppo costituito dai rappresentanti dei CERT nazionali.

Il terzo, e discusso, pilastro concerne il risk management. La NIS sottopone alla propria disciplina tutti quei soggetti che operano nell’ambito dei cd “servizi essenziali”: energia, trasporti, banking, mercati finanziari, salute, acqua e infrastrutture digitali.

I parametri che circoscrivono i servizi essenziali sono tre:

  1. Fornire servizi essenziali;
  2. Il servizio fornito dipende dal funzionamento dei sistemi informativi;
  3. Un incidente dovuto ad un attacco cyber potrebbe generare un blocco del servizio.

Ad essi si aggiungono tutti i fornitori di servizi digitali, nonche’ marketplace quali Amazon, Ebay o motori di ricerca quali Google.

In capo a tutti questi soggetti graveranno obblighi di non poco conto, quali l’implementazione di uno standard minimo di sicurezza e la comunicazione all’Authority di tutti gli attacchi di una certa rilevanza a cui sono soggetti.

Si tratta di un effort economico e di una pubblicita’ di informazioni di non poco conto, in grado di influire pesantemente sul business o la mission di un’organizzazione.

Pertanto, e qui si intravede una prima criticita’ della direttiva, qualora uno stato membro vari un sistema sanzionatorio “leggero”, potrebbero generarsi, in tutto il sistema, effetti facilmente prevedibili.

Un altro aspetto che vale la pena di notare e’ quello relativo al timing di applicazione della direttiva stessa. Dal momento dell’entrata in vigore, i singoli Stati avranno 21 mesi per il varo di una normativa nazionale di riferimento e la creazione delle authorities. A questi si aggiungono ulteriori sei mesi per il censimento degli operatori dei servizi essenziali. Si tratta di un tempo enorme, specialmente quando si parla di minacce cyber, che evolvono con un tasso di crescita esponenziale. E mentre i governi di tutta Europa auspicano l’adozione di misure di cyber security quale mezzo necessario per la prevenzione al terrorismo, anche al prezzo della limitazione di alcune liberta’, l’Unione se la prende comoda, con la speranza che non si ripeta un’altra Parigi.

 

Leonardo Pizzuti

[/level-european-affairs]

Leonardo Pizzuti
Vai a Inizio
× Contattaci!