Le cause economiche dell’insicurezza informatica

scritto da il 21 Settembre 2017

Pubblichiamo un post di Claudia Biancotti e Riccardo Cristadoro, Senior Economist e Senior Director del Dipartimento di Economia e Statistica della Banca d’Italia*

Secondo notizie di stampa, lo scorso giugno una multinazionale italiana ha fermato l’attività di tre stabilimenti per alcuni giorni a seguito di un attacco informatico; circa 650 dipendenti sono stati dispensati dal lavoro. È un evento che ci mostra quanto azioni perpetrate nel mondo virtuale possano avere conseguenze incisive sull’economia reale.

L’attacco, sebbene in grado di compromettere i sistemi dell’impresa, non era sofisticato; al contrario, è tra i più comuni. Si basa su un programma che rende illeggibili i dati presenti su una macchina finché non viene pagato un riscatto (ransomware). Per diffonderlo non servono competenze avanzate né risorse finanziarie: si acquista il “virus” in rete per poche centinaia di dollari, già pronto per essere spedito via e-mail all’obiettivo. In alcune forme è sufficiente che un solo dipendente apra un allegato infetto per contagiare un’intera organizzazione. Agli attaccanti bastano poche vittime per realizzare un profitto (1) anche chiedendo un riscatto modesto.

La microeconomia della cybersecurity
Gli attacchi ad elevato contenuto tecnologico, che richiedono investimenti e capacità di pianificazione, costituiscono la componente più visibile del rischio cyber. Tra gli esempi ricordiamo la campagna Hurricane Panda, che ha colpito operatori di infrastrutture critiche in varie giurisdizioni nel 2014, o gli attacchi contro la rete elettrica ucraina del 2015/2016. Spesso simili operazioni sono ricondotte a hacker legati a stati nazionali: in alcune occasioni il governo degli Stati Uniti ha accusato Cina e Russia (2). Non si tratta però della maggioranza dei casi: molte intrusioni si fondano su strumenti semplici, da cui è facile difendersi ricorrendo a una combinazione di prodotti disponibili sul mercato a costi contenuti e comportamenti prudenti.

La letteratura economica (3) spiega la persistenza di vulnerabilità a cui si potrebbe facilmente porre rimedio a partire dagli incentivi distorti presenti nella catena del valore della cybersecurity. In primo luogo, il mercato del software è caratterizzato da esternalità di rete. Una piattaforma di messaggistica ha tanto più valore quanto più ampia è la platea di soggetti che connette; un sistema operativo diffuso e compatibile con molte applicazioni può essere venduto a un prezzo più alto degli altri. Gli sviluppatori tendono a privilegiare la rapidità di rilascio su tutto il resto, perché chi per primo si aggiudica una massa critica di utenti consolida una posizione dominante. Rendere un software resistente agli attacchi richiede tempo; si afferma il modello “release first, patch later”, per cui vengono commercializzati prodotti insicuri salvo distribuire successivamente componenti correttivi (che non tutti gli utenti installano).

Esiste poi un’asimmetria informativa tra produttori e consumatori di presidi difensivi. Gli utenti di sistemi informatici spesso non sono consapevoli dei rischi legati al loro utilizzo, né sanno valutare quali siano le difese più adeguate; chi vende strumenti di protezione ha incentivo a proporre le soluzioni più profittevoli per sé, non le migliori per il cliente. Secondo alcuni osservatori questo elemento, oltre a gravare le imprese di costi non necessari, le rende meno sicure, poiché sposta l’enfasi dalla cyber hygiene, l’insieme di semplici regole di condotta che potrebbero prevenire molti incidenti, alla necessità di impegni finanziari che non tutte le imprese possono sostenere (4). Alle campagne di sensibilizzazione sul rischio cyber nei confronti dei dipendenti vengono talvolta preferite complesse barriere tecniche, che non sono però efficaci se i comportamenti inadeguati persistono.

Le vulnerabilità informatiche hanno infine esternalità negative. Sono sempre più frequenti i casi in cui gli hacker non colpiscono direttamente i propri obiettivi; per mantenere l’anonimato e aumentare la potenza di fuoco prima acquisiscono il controllo remoto di tutte le macchine non protette a cui riescono ad accedere, poi le usano come armi. L’attacco è facilitato dalle vulnerabilità di questi complici inconsapevoli, i quali però non hanno incentivo a proteggersi poiché non internalizzano alcun costo: spesso non si accorgono di nulla, dal momento che le tecniche di strumentalizzazione sono studiate per essere poco invasive e difficilmente individuabili (5).

Una diffusa insicurezza informatica ha conseguenze anche sul piano macroeconomico. Le imprese possono scegliere di non adottare nuove tecnologie, rinunciando a guadagni di produttività, se ritengono che esse espongano ad attacchi. Se il rischio cyber non è opportunamente governato, diventa più semplice che alcuni governi lo usino come pretesto per introdurre barriere non tariffarie (6) al commercio internazionale, soprattutto nel comparto dei servizi ad alto contenuto di conoscenza. La superficie esposta è molto ampia: già nel 2012 nei paesi OCSE afferivano all’economia dell’informazione in senso stretto il 6% del valore aggiunto, il 4% dell’occupazione e il 12% degli investimenti fissi (7), e molto più ampio è l’impatto complessivo delle tecnologie digitali sulla crescita.

*Le opinioni espresse dagli autori nell’articolo sono personali e non impegnano in alcun modo l’istituzione di appartenenza

NOTE

1. Se la vittima esegue regolarmente un backup dei propri dati, essi si possono recuperare senza pagare il riscatto, ripristinando i sistemi così com’erano prima dell’attacco. In questo caso l’attaccante non ha un profitto, ma la vittima sostiene comunque costi, in termini di interruzione dell’operatività e ore di lavoro aggiuntive. 

2. Si veda ad esempio l’indictment di un gran giurì della Pennsylvania a carico di cinque ufficiali della People’s Liberation Army, l’esercito cinese, accusati nel 2014 di aver condotto attacchi informatici contro aziende statunitensi per sottrarre segreti industriali, o il comunicato congiunto del Department of Homeland Security e dell’Office of the Director of National Intelligence circa la probabile guida russa del furto di comunicazioni riservate nel contesto della campagna presidenziale del 2016. 

3. Per una visione d’insieme si veda R. Anderson e T. Moore (2011), ‘Internet Security’, in M. Peitz. e J. Waldfogel (eds.), The Oxford Handbook of the Digital Economy, Oxford University Press [versione working paper]. 

4. Si vedano le dichiarazioni in questo senso di Brian Lord, ex direttore delle operazioni cyber del Government Communications Headquarter (GCHQ) britannico, riportate dal Financial Times il 19 aprile 2017. 

5. Lanciare attacchi di questo tipo sarà sempre più facile con la crescita della cosiddetta Internet of Things (IoT), l’insieme di dispositivi elettronici connessi in rete che svolgono attività nel mondo fisico: elettrodomestici, macchinari industriali, veicoli. Ai vantaggi della gestione e manutenzione a distanza si contrappone un livello di sicurezza mediamente basso; una certa quota degli utenti non è nemmeno consapevole che la propria smart TV è accessibile da Internet. Nell’ottobre del 2016, circa 100,000 dispositivi IoT sono stati impiegati, all’insaputa dei loro proprietari, per un attacco che ha oscurato i siti di grandi aziende come Twitter, Reddit, Amazon e Paypal. 

6. A. Friedman (2013), Cybersecurity and Trade: National Policies, Global and Local Consequences, Brookings Institution. 

7. OECD (2014), ‘Measuring the Digital Economy. A New Perspective’; OECD (2015), ‘Digital Economy Outlook’.