Master in “Interoperabilità per la Pubblica Amministrazione e le Imprese”

Lavoro pratico
“Attacchi cybernetici: costo della sicurezza rispetto ai danni dell'attaccco”
Studente: Massimiliano Del Ferraro

Slide 1: Economics Cybersecurity

 “People have realized that security failure is caused at least as often by bad incentives as by bad design”
(Anderson & Moore)
 La sicurezza informatica è caratterizzata dalla presenza di molteplici sistemi, reti, protocolli e standard
sui quali diversi soggetti adottano politiche di sicurezza e comportamenti coerenti con il proprio modello
di business.
 Ci sono situazioni nelle quali ciò che è dipinto con un fallimento della sicurezza da parte di un soggetto
può, per un altro soggetto, essere invece il risultato di scelte razionali figlie del bilanciamento tra costi e
benefici che ogni soluzione, di per se, comporta.
 L’approccio economico alla sicurezza informatica analizza le motivazioni e gli incentivi di tali azioni
cercando di comprendere se e quanto ci si possa discostare da un livello “socialmente ottimale” di
sicurezza.
 Vengono esplorati gli incentivi e le criticità che i due principali attori (attaccanti e difensori) si trovano a
fronteggiare nel complesso ecosistema della sicurezza e che ostacolano adeguati investimenti e
comportamenti finalizzati alla riduzione del rischio.
 Si analizzano gli eventuali accorgimenti (comportamentali, normativi e tecnologici) che possono essere
intrapresi dai diversi attori affinché si correggano le imperfezioni che si determinano nell’ambito della
sicurezza informatica.

Slide 2: Modello economico di Bauer e van Eeten

 Nel lavoro di Bauer e Van Eeten viene rappresentato un modello economico che cerca di rappresentare i
comportamenti dei diversi soggetti nell’ecosistema della sicurezza informatica.
 Il modello non individua specifiche politiche di sicurezza. Fornisce un’ampia comprensione utile alla
progettazione di politiche pubbliche tendenti a correggere le “imperfezioni” presenti nel mercato della
sicurezza informatica.
 Il modello mostra come l’importanza della identificazione dei collegamenti tra il comportamento degli
attaccanti e dei difensori aiuti a valutare gli effetti delle politiche di sicurezza adottate. Vengono, quindi,
rappresentati due mercati tra loro interconnessi:
 il “mercato del crimine” popolato da tutti quei soggetti che cercano di violare la sicurezza
informatica
 il “mercato della sicurezza” popolato da tutti coloro che cercano di contrastare tali violazioni.
 Ognuno dei mercati cerca di raggiungere uno stato di equilibrio costituito dal punto nel quale i benefici
ottenibili dalla azione che si sta intraprendendo (criminale per gli attaccanti e di sicurezza per i difensori)
sono pari a i costi che si devono sostenere per renderla possibile.
 Prendendo ad esempio il mercato della sicurezza si può affermare che il punto di equilibrio è quel
livello di sicurezza nel quale la curva di domanda di sicurezza incontra la curva di offerta della
stessa.
 Le attività criminali (malicius code, botnets o furti di carte di credito, ecc…) possono essere aggregate
per generare una rappresentazione complessiva del mercato del crimine informatico. In questo mercato
aggregato l’offerta è paragonabile al costo della violazione dei sistemi informativi mentre la domanda è
assimilabile ai benefici di tali violazioni e dalla corrispondente disponibilità a pagare per loro.

1
Slide 3: Caratteristiche dei mercati

 E’ disponibile troppa poca informazione per poter determinare, in modo empirico, l’esatta forma delle
curve dei costi e dei benefici dei diversi attori anche se, da un’analisi concettuale, si può però affermare
che:
 i soggetti (attaccanti e difensori) dedicano poco tempo e risorse all’attacco e alla difesa;
 entrambi cercano di fare scelte razionali;
 curva dei costi marginali: ciascun attore (attaccante o difensore) può espandere la propria attività
(crimine o sicurezza) solo ad un costo più elevato.
 Ad esempio sarà sempre più difficile attaccare sistemi informativi che, in precedenza, sono stati
attaccati a causa della loro elevata vulnerabilità perché sarà più costoso scrivere del codice per
attaccare dei sistemi che si sono, nel frattempo, fortificati. Di conseguenza la curva dei costi
incrementali sostenuti dai criminali sarà crescente rispetto al numero di attacchi informatici
subiti dal sistema.
 curva dei benefici marginali: In linea di principio se un maggiore sforzo fosse premiato con maggiori
profitti tale curva potrebbe essere crescente ma, tranne in alcuni casi, si può affermare che, a livello
aggregato e in società in cui vige lo stato di diritto, l’andamento dei benefici incrementali sarà
decrescente.

Slide 4: Grafico dei mercati

MBC = benefici marginali del crimine MBS = benefici marginali della sicurezza
MCC = costo marginale del crimine MCS = costo marginale della sicurezza
SV = livello di violazioni di sicurezza S = livello di sicurezza

∂MBC/∂S < 0 ossia che al crescere (decrescere) del livello di sicurezza decrescono (crescono) i benefici che il
crimine può ricavare dalla violazione della sicurezza dei sistemi
∂MCC/∂S > 0 ossia che al crescere (decrescere) del livello di sicurezza crescono (decrescono) i costi che il
crimine deve sostenere per la violazione della sicurezza dei sistemi
∂MBS/∂SV > 0 ossia che al crescere (decrescere) del numero di violazioni di sicurezza che subisce un
sistema crescono (crescono) i benefici che la sicurezza può ottenere
∂MCS/∂SV > 0 ossia che al crescere (decrescere) del numero di violazioni che subisce un sistema crescono
(decrescono) i costi che la sicurezza deve sostenere

2
Slide 5: Analisi dei comportamenti

 In ogni momento si può rappresentare la situazione presente all’interno dell’ecosistema:

1) mediante le scelte fatte dagli attaccanti in funzione del volume degli attacchi e condizionato dalle
scelte sulla sicurezza, S, fatte dai difensori e
2) mediante le scelte sulla sicurezza (S) fatte dai difensori che sono condizionate dal volume degli
attacchi (SV) scelto dagli attaccanti
 Dato un certo livello di sicurezza, si può immaginare che esista un punto di equilibrio nel quale il costo
di un ulteriore attacco sia bilanciato dal benefico che ne conseguirebbe; ossia il punto nel quale il
beneficio marginale eguaglia il costo marginale.
 Il volume degli di attacchi (SV) dipende dalle curve di domanda e offerta di crimine che a loro volta
sono dipendenti dal livello di sicurezza.
 I cambiamenti nell’ambiente (aspetti tecnologici, politiche pubbliche) che incrementano la sicurezza
(S), traslano in lato la curva dei costi marginali, spostando all’indietro il punto di intersezione con la
curva dei benefici e riducendo, di conseguenza il volume degli attacchi.
 Investimenti pubblici e privati che, invece, riducono l’impatto di ulteriori attacchi traslano verso
l’alto la curva dei benefici marginali degli attaccanti riducendo i benefici e, di conseguenza, gli
incentivi ad attaccare.
 Il livello di sicurezza (S) presente nell’ecosistema è il risultato del bilanciamento dei costi e dei benefici
sostenuti dai difensori nell’attuare le misure di sicurezza
 tale livello può aumentare o diminuire in risposta a fattori che riducono o incrementano i costi della
sicurezza e/o incrementano o riducono i benefici di ulteriore sicurezza.
 Le innovazioni tecnologiche che riducono il costo delle attività difensive abbassano il costo della
sicurezza informatica incrementando, di conseguenza il livello della stessa. Questo effetto viene
ulteriormente rinforzato perché, nel mercato degli attaccanti, un maggiore livello di sicurezza fa
crescere il costo degli attacchi riducendone, di conseguenza, il loro volume.
 Tale cambiamento, a sua volta, avrebbe un effetto ulteriore nel mercato dei difensori riducendo sia i
benefici che i costi delle misure di sicurezza.

Slide 6: Ulteriore analisi

 L’analisi di un modello del genere consente:

 di esaminare quali fattori incidono sui valori di SV ed S;
 di verificare quali scelte razionali, fatti dai due soggetti, consentono di impiegare maggiori risorse
all’attacco e alla difesa e quale insieme di incentivi (economici, tecnologici, legali) possono agire sul
comportamento dei due soggetti per alterare il livello di SV ed S presente nel sistema.
 di capire come entrambi i soggetti si comportano in funzione della variazione dei costi e dei benefici
che ognuno di loro affronta;
 di rispondere ad alcune importanti domande quali:
 Quale è, per il privato, la quantità ottimale di investimento nella sicurezza informatica ?
 E quanto differisce dall’ottimo sociale ?
 Qual è il ruolo delle politiche pubbliche nell’incoraggiare investimenti che consentono di
raggiungere un’ottimalità sociale in sicurezza informatica ?

3
Slide 7: Principio di ottimalità sociale (1)

 Nel mercato della sicurezza informatica il livello di sicurezza ottenuto dall’equilibrio tra le curve di
domanda e offerta è determinato, spesso, da decisioni decentralizzate e non coordinate fatte dai
produttori e consumatori del bene “sicurezza”.
 Un’importante questione è quella di stabilire se tali decisioni determinano una quantità socialmente
ottima di sicurezza.
 Il costo sociale marginale per l’ottenimento di un incremento di sicurezza informatica è definito come
l’insieme dei costi delle misure di sicurezza informatica sostenute direttamente da soggetti private e
indirettamente da tutti gli altri attori dell’ecosistema.
 Il beneficio sociale marginale è la totalità dei benefici percepiti da chi ha agito direttamente
nell’attuazione della misura di sicurezza e da tutti quelli che, indirettamente, se ne sono stati
avvantaggiati.
 Per esempio i benefici sociali ottenuti dall’investimento di un’istituzione A in misure di sicurezza
includerebbero sia i benefici diretti che ricadono su A dovuti alla sua aumentata sicurezza e sia i
benefici indiretti che potrebbero ricadere su tutti quei soggetti a causa della migliorata sicurezza di A
migliorano il proprio livello di sicurezza (ad esempio soggetti che effettuano transazioni con A).

Slide 8: Principio di ottimalità sociale (2)

MSBS = beneficio marginale sociale

MSCs = costo marginale sociale
S* = livello di sicurezza sociale

 Il principio base di ottimalità sociale afferma che (in principio) la quantità ottimale di sicurezza
informatica è la quantità alla quale i benefici sociali che si ottengono dall’investimento in ulteriori
misure di sicurezza eguagliano i costi marginali per realizzarle.
 Sebbene questa quantità non sia facilmente osservabile o misurabile in pratica nondimeno fornisce un
utile linea guida per:
 evidenziare le circostante in cui il mercato privato fallisce
 fornire gli incentivi necessari agli attori privati per fare scelte di ottimalità sociale (distinte da quelle
private) su quanto spendere in sicurezza informatica.
 individuare una classe di casi nei quali interventi di politiche pubbliche hanno il potenziale di
migliorare l’allocazione di risorse in sicurezza informatica (situazioni di fallimento del mercato
privato)
 Fornire uno schema di misurazione per valutare in modo empirico se interventi pubblici sulla
sicurezza informatica (per esempio mediante regole che obbligano a degli standard di sicurezza)
hanno benefici sociali che sono commisurati ai i loro costi.

4
Slide 9: Cause che determinano il fallimento del mercato (1)

 Si parla di “fallimento del mercato” quando esistono delle “imperfezioni” che impediscono un’efficiente
allocazione delle risorse e quindi il massimo benessere sociale.
 Una estesa letteratura di economia pubblica ha individuato situazioni nelle quali i benefici e i costi del
mercato privato non riescono a giustificare e benefici e costi sociali.
 In particolare si possono individuare due casi:
 caso in cui i benefici ottenuti dai soggetti che effettuano gli investimenti in sicurezza informatica
sono inferiori ai benefici ottenuti dalla società in genere
o benefici privati < benefici sociali (figura 1)
 caso in cui i benefici percepiti da chi effettua investimenti in sicurezza sono superiori a quelli
percepiti dalla società
o benefici privati > benefici sociali (figura 2)

Figura 1 Figura 2

MSBS = beneficio marginale sociali

MSCs = costo marginale sociale
S* = livello di sicurezza sociale
S’ = livello di sicurezza privato

Slide 10: Cause che determinano il fallimento del mercato (1)

 In particolare, nell’ambito della sicurezza informatica le cause che determinano:

 beneficio privato < beneficio sociale:
o Problema di coordinamento (Dilemma del prigioniero)
o Presenza di esternalità di rete non internalizzate
o Problemi di beni pubblici
o Asimmetria dell’informazione
 beneficio privato > beneficio sociale
o Investimenti in prodotti di sicurezza informatica privata
 Traslazione della minaccia

5
Slide 11: Problema di coordinamento (Dilemma del prigioniero)

Benefici
Ente B
Ente A Rete sicura Rete non sicura
Rete sicura (20,20) (10,30)
Rete non sicura (30,10) (15,15)

 I due enti sono “non coordinati” perché A non conosce le scelte di B e B non conosce le scelte di A.
 Se A investe in una rete sicura e B fa lo stesso la remunerazione sarà, per entrambi, pari a 20.
 Se è solo A a investire in una rete sicura e allora la remunerazione di A sarà pari a 10 e quella di B
pari a 30 poiché A deve scontare il costo di tale scelta mentre B, che non sconta tale costo, si
avvantaggia degli effetti di rete positivi generati dalla scelta di A.
 Si producono gli stessi effetti se è B a fare un investimento in rete sicura e A no.
 Se sia A che B non effettuano un investimento in rete sicura allora ottengono una remunerazione
di 15.
 Il risultato finale di tale situazione è che sia A che B fanno scelte “non ottime” dal punto di vista sociale
non scegliendo soluzioni migliori.
 Cercano di loro miglior beneficio.

Slide 12: Esternalità di rete

 Una esternalità è un costo o un beneficio sostenuto da un soggetto che non ha partecipato all’azione che
ha causato il costo o il beneficio.
 Si hanno esternalità, positive o negative, quando il sistema dei prezzi non tiene conto di tutti gli effetti
che si associano alla produzione o al consumo del bene. In questo modo viene meno il principio di
efficienza.
 esternalità negativa: generano costi
 esternalità positive: producono benefici
 Affinchè non si determinino inefficienze allocative, le esternalità devono essere interiorizzate nei
prezzi.
 esternalità negativa: chi ne provoca il danno ne paga i costi
 esternalità positiva: chi procura un vantaggio viene remunerato
 In ambito di sicurezza informatica la sicurezza di rete presenta delle esternalità positive che i possessori
(privati) delle reti non riescono ad internalizzare. In questo modo essi non forniranno la quantità
socialmente ottimale di sicurezza informatica a meno che non si forniranno loro degli incentivi o delle
norme che la richiederanno esplicitamente.
 Esternalità negative: In presenza di esternalità negative le scelte dei soggetti economici vengono
effettuate sulla base di costi privati che non riflettono il “costo sociale” delle risorse impiegate e dei
beni consumati. Si tratta di costi non pagati direttamente dai soggetti economici che svolgono tali scelte
ma dalla collettività.
 Esternalità negative (rimedi): si tratta di meccanismi o incentivi che portano gli operatori a tener conto
anche dei costi sociali ad esse collegate
 Esternalità positive: sono vantaggi che derivano ad un soggetto o all’intera comunità dal consumo di un
bene senza che per esso venga pagato un prezzo. Ne deriva un livello di produzione/domanda inferiore
a quello ottimale.

6
Slide 13: Esternalità di rete in ambito tecnologico

 La velocità di adozione, da parte degli utenti, di nuove tecnologie è piuttosto lenta fino a quando il
numero di utenti che hanno adottato quella tecnologia raggiunge un valore (massa critica) tale da
invogliare altri utenti all’adozione della stessa. Da quel momento in poi il numero di nuovi utenti che
incominciano ad utilizzare quella tecnologia cresce rapidamente (curva S – Katz e Shapiro).
 I benefici di un’adozione della tecnologia da parte di un soggetto quando ancora non è stata raggiunta la
massa critica sono ancora inferiori rispetto ai costi sostenuti. Questo costituisce, di fatto, un incentivo,
per il potenziale utente, ad aspettare che altri adottino quella tecnologia in modo tale che, sfruttando gli
effetti di rete presenti in tale ecosistema, il valore (e quindi il beneficio) della scelta effettuata sia
maggiore del costo sostenuto.
 L’adozione di protocolli di sicurezza più maturi consente di ridurre i rischi derivanti dalla presenza
di malfunzionamenti non ancora evidenziati tipici dei prodotti appena posti sul mercato.
 Se non si raggiungerà mai la massa critica la tecnologia non avrà un numero di utilizzatori sufficienti
tali da giustificarne la presenza sul mercato. Si ha, di conseguenza una causa di fallimento del mercato
indipendentemente dal valore “tecnologico” del prodotto.

Slide 14: Problema dei beni pubblici

 I beni pubblici (public goods) sono beni o servizi che possono essere utilizzati da un individuo senza
interferire con l’utilizzo dello stesso bene o servizio da parte di altri individui. Tali beni un sistema
concorrenziale il mercato non è in grado di produrre in maniera adeguata per il sussistere di 3 condizioni
che li differenziano dai beni privati:
 indivisibilità del bene
 assenza di rivalità: più consumatori possono beneficiare di quel bene senza ridurre l’utilità che
traggono dal suo consumo
 assenza di escludibilità: una volta prodotto il bene è impossibile e comunque non conveniente
escluderne qualcuno dalla sua utilizzazione.
 Esempi di cosa puà essere considerato, in ambito sicurezza, un bene pubblico
 Informazioni storiche sulla natura e sulla frequenza degli attacchi informatici
 Informazioni sugli attacchi in corso
 Informazioni sulle vulnerabilità agli attacchi dei sistemi
 Informazioni sulle modalità di difesa contro gli attacchi
 Caratteristiche di tali informazioni:
 Una volta prodotte tutti gli utenti possono utilizzare la loro conoscenze e i benefici che ne
conseguono senza ridurre la disponibilità agli altri (assenza di rivalità)
 Poiché tale bene è disponibile a chiunque senza che sia chiesto alcun contributo per la sua
produzione (assenza di escludibilità) questo genera un incentivo implicito alla debole produzione
dello stesso. Stimola gli utenti a non investire risorse nella sua produzione confidando in quella altrui
(caso classico di puro bene pubblico)

7
Slide 15: Esempi di beni pubblici

L’utilizzo da parte di A L’utilizzo da parte di

non influisce su B A influisce su B
(Beni non rivali) (Beni rivali)
L’uso da parte di A non Beni pubblici Beni comuni
impedisce l’uso da parte
di B
(Beni non escludibili)
 Difesa Nazionale  Zona di pesca
 Aria  Parchi
 Informazione sulle  Internet (anni fa)
minacce alla sicurezza
informatica

L’uso da parte di A Beni semipubblici Beni privati

impedisce l’uso da parte
di B
(Beni escludibili)
 Club privati  Scarpe
 Cinema  Automobili
 Reti sicure  Firewall e IDS

Slide 16: Asimmetria dell’informazione

 Asimmetrie informative si hanno quando i diversi soggetti che operano nello stesso mercato non
possiedono un’informazione completa sulle variabili economiche.
 Il prodotto peggiore è preferito al migliore (“Lemons Problem”)
 Applicazioni a problematiche informatiche:
 Good vs. bad security software
 Good vs. bad website privacy policies
In questo caso lo Stato deve intervenire attraverso una regolamentazione che contrasti tale comportamento
imponendo certificazioni di qualità, etichettatura, sanzioni per chi divulga informazioni sbagliate o
ingannevoli e cercando, in generale, di promuovere la divulgazione dell’informazione necessaria alla corretta
comprensione delle variabili economiche in gioco.

Slide 17: Sovraproduzione di beni di sicurezza privati

 Investimenti non coordinati in beni di sicurezza privati che generano benefici, per il privato, maggiori di
quelli (sociali) che si avrebbero in termini aggregati.
 I fornitori individuali hanno un incentivo a spendere in sicurezza perché si riduce la probabilità di
una futura minaccia sul loro sistema, anche se tale spesa non abbassa la probabilità che un futuro
attacco colpirà qualcun altro nel sistema.
 Si sposta (trasla) la minaccia dal sistema maggiormente protetto a quello meno protetto.
 Non si riduce la sicurezza in termini aggregati

8
Slide 18: Politiche che migliorano la sicurezza informatica

 Aspetti generali:
 Il livello di sicurezza è difficile da misurare in pratica.
 Gli attaccanti non sono soggetti passivi e reagiscono alle contromisure messe in atto dai difensori.
 Costi elevati nell’implementazione di misure di sicurezza dipendenti dall’integrazione con sistemi
esistenti estremamente eterogenei.
 Differenti valutazioni del rischio fatta dai diversi attori.
 Differente capacità finanziaria e tecnica al supporto della sicurezza informatica da parte dei vari
fornitori.
 Elenco degli strumenti che migliorano la sicurezza informatica agendo sui due versanti del mercato
(crimine e sicurezza).

Tipologia di Crimine informatico Sicurezza informatica

misura
Misure legali  Legislazione nazionale
 Trattati multi laterali
 Severità delle pene
 Applicazione della legge
 Legislazione nazionale sulla
sicurezza informatica
 Regolamentazione di best-practices
che migliorano la sicurezza
informatica
 Responsabilità/assicurazione in
caso di non rispetto degli standard
richiesti
 Sussidi e detrazioni fiscali

Misure  Misure che incrementano i  Misure finanziare compensatorie

economiche costi diretti delle frodi e del
crimine
 Misure che riducono i benefici
delle azioni criminose
e/o punitive per la violazione di
norme e regolamenti.
 Accesso a pagamento ad
informazione significativa
 Mercato per le vulnerabilità
 Mercato delle assicurazioni

Misure tecniche  Riprogettazione logica e fisica  Standard di sicurezza

dell’infrastruttura internet  Obbligatorietà dei test di sicurezza
 Condivisioni paritarie delle
informazioni di sicurezza (peer-
based)

Misure informative  Condivisione d’informazioni  Condivisione d’informazioni sulla

e comportamentali sul crimine informatico a sicurezza informatica a livello
livello nazionale e nazionale e internazionale
internazionale  Formazione

9
Slide 19: Estensione e ambito dell’azione pubblica

 La complessa struttura decisionale gerarchica che caratterizza il settore pubblico produce interventi di
politiche pubbliche che agiscono in ambito tecnologico scarsamente efficaci.
 La tecnologia evolve troppo rapidamente rispetto alla velocità di azione del settore pubblico.

Tassonomia delle politche pubbliche di sicurezza informatica

Politiche che agiscono sui costi Politche che agiscono sui benefici
Intervento minimo Creazione di standard Respondabilità legale, Definizione di standard

Intervento moderato Finanziamento governativo dei Partnership pubblico-privato

progetti di Ricerca e Sviluppo
Intervento attivo Incentivi finanziari (detrazioni fiscali) Regolamenti governativi

 Intervento minimo
 Assicurare che non ci siano barriere legali alla cooperazione tra i diversi soggetti nella fornitura di
sicurezza informatica
 Investimenti pubblici in tecnologia di base con, possibilmente, alcune forme di finanziamento di
progetti di ricerca e sviluppo applicata
 Creazione di codici e standard uniformi
 Incoraggiare istituzioni del settore privato a facilitare una spontanea cooperazione e forme di
azioni collettive
 Intervento più attivista:
 cambiamento dei comportamenti attraverso norme e/o incentivi finanziari

Slide 20: Riferimenti

 Anderson and Moore, “The Economics of Information Security”, 2006

 Bauer and van Eeten, “Cybersecurity: stakeholder Incentives, externalities, and policy options”, 2009
 Bauer and van Eeten, “Introduction to the Economics of Cybersecurity”, 2011
 Cordes, “An Overview of the Economics of Cybersecurity and Cybersecurity Policy”, 2011
 Kobayashi and Bruce “An Economic Analysis of the Private and Social Costs of the Provision of
Cybersecurity and other Public Security Goods”, 2005
 Rosenzweig, “Cybersecurity and Public Goods”, 2011

10