Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Lavoro pratico
“Attacchi cybernetici: costo della sicurezza rispetto ai danni dell'attaccco”
Studente: Massimiliano Del Ferraro
“People have realized that security failure is caused at least as often by bad incentives as by bad design”
(Anderson & Moore)
La sicurezza informatica è caratterizzata dalla presenza di molteplici sistemi, reti, protocolli e standard
sui quali diversi soggetti adottano politiche di sicurezza e comportamenti coerenti con il proprio modello
di business.
Ci sono situazioni nelle quali ciò che è dipinto con un fallimento della sicurezza da parte di un soggetto
può, per un altro soggetto, essere invece il risultato di scelte razionali figlie del bilanciamento tra costi e
benefici che ogni soluzione, di per se, comporta.
L’approccio economico alla sicurezza informatica analizza le motivazioni e gli incentivi di tali azioni
cercando di comprendere se e quanto ci si possa discostare da un livello “socialmente ottimale” di
sicurezza.
Vengono esplorati gli incentivi e le criticità che i due principali attori (attaccanti e difensori) si trovano a
fronteggiare nel complesso ecosistema della sicurezza e che ostacolano adeguati investimenti e
comportamenti finalizzati alla riduzione del rischio.
Si analizzano gli eventuali accorgimenti (comportamentali, normativi e tecnologici) che possono essere
intrapresi dai diversi attori affinché si correggano le imperfezioni che si determinano nell’ambito della
sicurezza informatica.
Nel lavoro di Bauer e Van Eeten viene rappresentato un modello economico che cerca di rappresentare i
comportamenti dei diversi soggetti nell’ecosistema della sicurezza informatica.
Il modello non individua specifiche politiche di sicurezza. Fornisce un’ampia comprensione utile alla
progettazione di politiche pubbliche tendenti a correggere le “imperfezioni” presenti nel mercato della
sicurezza informatica.
Il modello mostra come l’importanza della identificazione dei collegamenti tra il comportamento degli
attaccanti e dei difensori aiuti a valutare gli effetti delle politiche di sicurezza adottate. Vengono, quindi,
rappresentati due mercati tra loro interconnessi:
il “mercato del crimine” popolato da tutti quei soggetti che cercano di violare la sicurezza
informatica
il “mercato della sicurezza” popolato da tutti coloro che cercano di contrastare tali violazioni.
Ognuno dei mercati cerca di raggiungere uno stato di equilibrio costituito dal punto nel quale i benefici
ottenibili dalla azione che si sta intraprendendo (criminale per gli attaccanti e di sicurezza per i difensori)
sono pari a i costi che si devono sostenere per renderla possibile.
Prendendo ad esempio il mercato della sicurezza si può affermare che il punto di equilibrio è quel
livello di sicurezza nel quale la curva di domanda di sicurezza incontra la curva di offerta della
stessa.
Le attività criminali (malicius code, botnets o furti di carte di credito, ecc…) possono essere aggregate
per generare una rappresentazione complessiva del mercato del crimine informatico. In questo mercato
aggregato l’offerta è paragonabile al costo della violazione dei sistemi informativi mentre la domanda è
assimilabile ai benefici di tali violazioni e dalla corrispondente disponibilità a pagare per loro.
1
Slide 3: Caratteristiche dei mercati
E’ disponibile troppa poca informazione per poter determinare, in modo empirico, l’esatta forma delle
curve dei costi e dei benefici dei diversi attori anche se, da un’analisi concettuale, si può però affermare
che:
i soggetti (attaccanti e difensori) dedicano poco tempo e risorse all’attacco e alla difesa;
entrambi cercano di fare scelte razionali;
curva dei costi marginali: ciascun attore (attaccante o difensore) può espandere la propria attività
(crimine o sicurezza) solo ad un costo più elevato.
Ad esempio sarà sempre più difficile attaccare sistemi informativi che, in precedenza, sono stati
attaccati a causa della loro elevata vulnerabilità perché sarà più costoso scrivere del codice per
attaccare dei sistemi che si sono, nel frattempo, fortificati. Di conseguenza la curva dei costi
incrementali sostenuti dai criminali sarà crescente rispetto al numero di attacchi informatici
subiti dal sistema.
curva dei benefici marginali: In linea di principio se un maggiore sforzo fosse premiato con maggiori
profitti tale curva potrebbe essere crescente ma, tranne in alcuni casi, si può affermare che, a livello
aggregato e in società in cui vige lo stato di diritto, l’andamento dei benefici incrementali sarà
decrescente.
MBC = benefici marginali del crimine MBS = benefici marginali della sicurezza
MCC = costo marginale del crimine MCS = costo marginale della sicurezza
SV = livello di violazioni di sicurezza S = livello di sicurezza
∂MBC/∂S < 0 ossia che al crescere (decrescere) del livello di sicurezza decrescono (crescono) i benefici che il
crimine può ricavare dalla violazione della sicurezza dei sistemi
∂MCC/∂S > 0 ossia che al crescere (decrescere) del livello di sicurezza crescono (decrescono) i costi che il
crimine deve sostenere per la violazione della sicurezza dei sistemi
∂MBS/∂SV > 0 ossia che al crescere (decrescere) del numero di violazioni di sicurezza che subisce un
sistema crescono (crescono) i benefici che la sicurezza può ottenere
∂MCS/∂SV > 0 ossia che al crescere (decrescere) del numero di violazioni che subisce un sistema crescono
(decrescono) i costi che la sicurezza deve sostenere
2
Slide 5: Analisi dei comportamenti
3
Slide 7: Principio di ottimalità sociale (1)
Nel mercato della sicurezza informatica il livello di sicurezza ottenuto dall’equilibrio tra le curve di
domanda e offerta è determinato, spesso, da decisioni decentralizzate e non coordinate fatte dai
produttori e consumatori del bene “sicurezza”.
Un’importante questione è quella di stabilire se tali decisioni determinano una quantità socialmente
ottima di sicurezza.
Il costo sociale marginale per l’ottenimento di un incremento di sicurezza informatica è definito come
l’insieme dei costi delle misure di sicurezza informatica sostenute direttamente da soggetti private e
indirettamente da tutti gli altri attori dell’ecosistema.
Il beneficio sociale marginale è la totalità dei benefici percepiti da chi ha agito direttamente
nell’attuazione della misura di sicurezza e da tutti quelli che, indirettamente, se ne sono stati
avvantaggiati.
Per esempio i benefici sociali ottenuti dall’investimento di un’istituzione A in misure di sicurezza
includerebbero sia i benefici diretti che ricadono su A dovuti alla sua aumentata sicurezza e sia i
benefici indiretti che potrebbero ricadere su tutti quei soggetti a causa della migliorata sicurezza di A
migliorano il proprio livello di sicurezza (ad esempio soggetti che effettuano transazioni con A).
Il principio base di ottimalità sociale afferma che (in principio) la quantità ottimale di sicurezza
informatica è la quantità alla quale i benefici sociali che si ottengono dall’investimento in ulteriori
misure di sicurezza eguagliano i costi marginali per realizzarle.
Sebbene questa quantità non sia facilmente osservabile o misurabile in pratica nondimeno fornisce un
utile linea guida per:
evidenziare le circostante in cui il mercato privato fallisce
fornire gli incentivi necessari agli attori privati per fare scelte di ottimalità sociale (distinte da quelle
private) su quanto spendere in sicurezza informatica.
individuare una classe di casi nei quali interventi di politiche pubbliche hanno il potenziale di
migliorare l’allocazione di risorse in sicurezza informatica (situazioni di fallimento del mercato
privato)
Fornire uno schema di misurazione per valutare in modo empirico se interventi pubblici sulla
sicurezza informatica (per esempio mediante regole che obbligano a degli standard di sicurezza)
hanno benefici sociali che sono commisurati ai i loro costi.
4
Slide 9: Cause che determinano il fallimento del mercato (1)
Si parla di “fallimento del mercato” quando esistono delle “imperfezioni” che impediscono un’efficiente
allocazione delle risorse e quindi il massimo benessere sociale.
Una estesa letteratura di economia pubblica ha individuato situazioni nelle quali i benefici e i costi del
mercato privato non riescono a giustificare e benefici e costi sociali.
In particolare si possono individuare due casi:
caso in cui i benefici ottenuti dai soggetti che effettuano gli investimenti in sicurezza informatica
sono inferiori ai benefici ottenuti dalla società in genere
o benefici privati < benefici sociali (figura 1)
caso in cui i benefici percepiti da chi effettua investimenti in sicurezza sono superiori a quelli
percepiti dalla società
o benefici privati > benefici sociali (figura 2)
Figura 1 Figura 2
5
Slide 11: Problema di coordinamento (Dilemma del prigioniero)
Benefici
Ente B
Ente A Rete sicura Rete non sicura
Rete sicura (20,20) (10,30)
Rete non sicura (30,10) (15,15)
I due enti sono “non coordinati” perché A non conosce le scelte di B e B non conosce le scelte di A.
Se A investe in una rete sicura e B fa lo stesso la remunerazione sarà, per entrambi, pari a 20.
Se è solo A a investire in una rete sicura e allora la remunerazione di A sarà pari a 10 e quella di B
pari a 30 poiché A deve scontare il costo di tale scelta mentre B, che non sconta tale costo, si
avvantaggia degli effetti di rete positivi generati dalla scelta di A.
Si producono gli stessi effetti se è B a fare un investimento in rete sicura e A no.
Se sia A che B non effettuano un investimento in rete sicura allora ottengono una remunerazione
di 15.
Il risultato finale di tale situazione è che sia A che B fanno scelte “non ottime” dal punto di vista sociale
non scegliendo soluzioni migliori.
Cercano di loro miglior beneficio.
Una esternalità è un costo o un beneficio sostenuto da un soggetto che non ha partecipato all’azione che
ha causato il costo o il beneficio.
Si hanno esternalità, positive o negative, quando il sistema dei prezzi non tiene conto di tutti gli effetti
che si associano alla produzione o al consumo del bene. In questo modo viene meno il principio di
efficienza.
esternalità negativa: generano costi
esternalità positive: producono benefici
Affinchè non si determinino inefficienze allocative, le esternalità devono essere interiorizzate nei
prezzi.
esternalità negativa: chi ne provoca il danno ne paga i costi
esternalità positiva: chi procura un vantaggio viene remunerato
In ambito di sicurezza informatica la sicurezza di rete presenta delle esternalità positive che i possessori
(privati) delle reti non riescono ad internalizzare. In questo modo essi non forniranno la quantità
socialmente ottimale di sicurezza informatica a meno che non si forniranno loro degli incentivi o delle
norme che la richiederanno esplicitamente.
Esternalità negative: In presenza di esternalità negative le scelte dei soggetti economici vengono
effettuate sulla base di costi privati che non riflettono il “costo sociale” delle risorse impiegate e dei
beni consumati. Si tratta di costi non pagati direttamente dai soggetti economici che svolgono tali scelte
ma dalla collettività.
Esternalità negative (rimedi): si tratta di meccanismi o incentivi che portano gli operatori a tener conto
anche dei costi sociali ad esse collegate
Esternalità positive: sono vantaggi che derivano ad un soggetto o all’intera comunità dal consumo di un
bene senza che per esso venga pagato un prezzo. Ne deriva un livello di produzione/domanda inferiore
a quello ottimale.
6
Slide 13: Esternalità di rete in ambito tecnologico
La velocità di adozione, da parte degli utenti, di nuove tecnologie è piuttosto lenta fino a quando il
numero di utenti che hanno adottato quella tecnologia raggiunge un valore (massa critica) tale da
invogliare altri utenti all’adozione della stessa. Da quel momento in poi il numero di nuovi utenti che
incominciano ad utilizzare quella tecnologia cresce rapidamente (curva S – Katz e Shapiro).
I benefici di un’adozione della tecnologia da parte di un soggetto quando ancora non è stata raggiunta la
massa critica sono ancora inferiori rispetto ai costi sostenuti. Questo costituisce, di fatto, un incentivo,
per il potenziale utente, ad aspettare che altri adottino quella tecnologia in modo tale che, sfruttando gli
effetti di rete presenti in tale ecosistema, il valore (e quindi il beneficio) della scelta effettuata sia
maggiore del costo sostenuto.
L’adozione di protocolli di sicurezza più maturi consente di ridurre i rischi derivanti dalla presenza
di malfunzionamenti non ancora evidenziati tipici dei prodotti appena posti sul mercato.
Se non si raggiungerà mai la massa critica la tecnologia non avrà un numero di utilizzatori sufficienti
tali da giustificarne la presenza sul mercato. Si ha, di conseguenza una causa di fallimento del mercato
indipendentemente dal valore “tecnologico” del prodotto.
I beni pubblici (public goods) sono beni o servizi che possono essere utilizzati da un individuo senza
interferire con l’utilizzo dello stesso bene o servizio da parte di altri individui. Tali beni un sistema
concorrenziale il mercato non è in grado di produrre in maniera adeguata per il sussistere di 3 condizioni
che li differenziano dai beni privati:
indivisibilità del bene
assenza di rivalità: più consumatori possono beneficiare di quel bene senza ridurre l’utilità che
traggono dal suo consumo
assenza di escludibilità: una volta prodotto il bene è impossibile e comunque non conveniente
escluderne qualcuno dalla sua utilizzazione.
Esempi di cosa puà essere considerato, in ambito sicurezza, un bene pubblico
Informazioni storiche sulla natura e sulla frequenza degli attacchi informatici
Informazioni sugli attacchi in corso
Informazioni sulle vulnerabilità agli attacchi dei sistemi
Informazioni sulle modalità di difesa contro gli attacchi
Caratteristiche di tali informazioni:
Una volta prodotte tutti gli utenti possono utilizzare la loro conoscenze e i benefici che ne
conseguono senza ridurre la disponibilità agli altri (assenza di rivalità)
Poiché tale bene è disponibile a chiunque senza che sia chiesto alcun contributo per la sua
produzione (assenza di escludibilità) questo genera un incentivo implicito alla debole produzione
dello stesso. Stimola gli utenti a non investire risorse nella sua produzione confidando in quella altrui
(caso classico di puro bene pubblico)
7
Slide 15: Esempi di beni pubblici
Asimmetrie informative si hanno quando i diversi soggetti che operano nello stesso mercato non
possiedono un’informazione completa sulle variabili economiche.
Il prodotto peggiore è preferito al migliore (“Lemons Problem”)
Applicazioni a problematiche informatiche:
Good vs. bad security software
Good vs. bad website privacy policies
In questo caso lo Stato deve intervenire attraverso una regolamentazione che contrasti tale comportamento
imponendo certificazioni di qualità, etichettatura, sanzioni per chi divulga informazioni sbagliate o
ingannevoli e cercando, in generale, di promuovere la divulgazione dell’informazione necessaria alla corretta
comprensione delle variabili economiche in gioco.
Investimenti non coordinati in beni di sicurezza privati che generano benefici, per il privato, maggiori di
quelli (sociali) che si avrebbero in termini aggregati.
I fornitori individuali hanno un incentivo a spendere in sicurezza perché si riduce la probabilità di
una futura minaccia sul loro sistema, anche se tale spesa non abbassa la probabilità che un futuro
attacco colpirà qualcun altro nel sistema.
Si sposta (trasla) la minaccia dal sistema maggiormente protetto a quello meno protetto.
Non si riduce la sicurezza in termini aggregati
8
Slide 18: Politiche che migliorano la sicurezza informatica
Aspetti generali:
Il livello di sicurezza è difficile da misurare in pratica.
Gli attaccanti non sono soggetti passivi e reagiscono alle contromisure messe in atto dai difensori.
Costi elevati nell’implementazione di misure di sicurezza dipendenti dall’integrazione con sistemi
esistenti estremamente eterogenei.
Differenti valutazioni del rischio fatta dai diversi attori.
Differente capacità finanziaria e tecnica al supporto della sicurezza informatica da parte dei vari
fornitori.
Elenco degli strumenti che migliorano la sicurezza informatica agendo sui due versanti del mercato
(crimine e sicurezza).
9
Slide 19: Estensione e ambito dell’azione pubblica
La complessa struttura decisionale gerarchica che caratterizza il settore pubblico produce interventi di
politiche pubbliche che agiscono in ambito tecnologico scarsamente efficaci.
La tecnologia evolve troppo rapidamente rispetto alla velocità di azione del settore pubblico.
Intervento minimo
Assicurare che non ci siano barriere legali alla cooperazione tra i diversi soggetti nella fornitura di
sicurezza informatica
Investimenti pubblici in tecnologia di base con, possibilmente, alcune forme di finanziamento di
progetti di ricerca e sviluppo applicata
Creazione di codici e standard uniformi
Incoraggiare istituzioni del settore privato a facilitare una spontanea cooperazione e forme di
azioni collettive
Intervento più attivista:
cambiamento dei comportamenti attraverso norme e/o incentivi finanziari
10