Rand Corporation ha pubblicato recentemente sul Journal of Cybersecurity uno studio che ha indagato sui costi sostenuti da grandi aziende in seguito ad intrusioni non autorizzate e furti dati (data breach): contrariamente a quanto ci si sarebbe aspettato, il prezzo da pagare è meno “salato” del previsto – stimato intorno ai 200.000$.
Il report è indubbiamente di estrema attualità, basti pensare ai recenti avvenimenti riguardanti l’appropriazione indebita di 500.000 account Yahoo da parte di alcuni hacker. La vicenda è avvolta ancora nel mistero soprattutto se si pensa che il trafugamento sarebbe avvenuto non quest’anno ma nell’ultimo trimestre 2014. Perchè l’azienda si è accorta solo ora dei dati mancanti? E’ plausibile che una compagnia come Yahoo abbia impiegato un anno e mezzo per scoprire la verità? A completare il quadro anche le contradditorie notizie sugli esecutori “materiali dell’attacco”: in un primo momento sembrava che fosse stato effettuato da hacker freelance, successivamente è stata avanzata l’ipotesi di un professionaista assoldato da un Paese estero.
Il portale inglese The Register, prendendo spunto da quanto affermato dal report, osserva sarcasticamente che la risposta alla disattenzione dei vertici Yahoo in materia di sicurezza potrebbe trovarsi proprio nel documento della Rand Corporation. Il principale curatare dello studio,Sasha Romanosky, ha riferito quanto segue: “Ho passato tutta la mia vita nel campo della sicurezza e tutti si aspettano che le aziende vi investano sempre più [soldi]. Ma forse le aziende stanno effettuando semplicemente investimenti razionali e non dovremmo prendercela con loro per [tali scelte]. [Del resto] anche noi facciamo la stessa cosa, minimizzare i costi“.
Incidenza di un attacco sulle rendite e la formula Ford Pinto
Romanosky ha analizzato la documentazione relativa a 12.000 incidenti scoprendo che, in linea di massima, hanno avuto un’incidenza dello 0.4% sulle rendite annuali delle compagnie. Un valore tutto sommato esiguo se paragonato a quello delle frodi fiscali (5%) o degli oggetti d’inventario smarriti (furti interni, taccheggio) pari all’1.3%. Per quanto riguarda i danni d’immagine non è stato invece possibile quantificare le eventuali perdite perchè i vari dirigenti interpellati non hanno fornito solidi parametri per effettuare la stima. A seguito di questi avvenimenti, ha aggiunto Romanosky, non si è assistito tuttavia sul lungo termine a ripercussioni sul valore delle azioni della compagnia. In conclusione, a fronte di quanto appreso, lo studio suggerisce come non abbia poi molto senso investire troppo sulla sicurezza online – osserva duramente The Register.
Il comportamento “pragmatico” delle aziende moderne è stato paragonato a quello della nota azienda automobilistica Ford. La cosiddetta formula Ford Pinto riassume perfettamente la conclusione del report della Rand Corporation, aggiunge il portale: nel 1973 la compagnia preparò un memorandum nel quale si analizzavano i costi derivanti da un intervento su tutti i modelli Pinto sul mercato. Nel corso dei test erano emerse alcune problematiche inerenti il serbatoio della benzina – non essendo sufficientemente schermato poteva facilmente prendere fuoco se colpito da dietro ad una velocità superiore ai 32 km/h. Nel memorandum il costo da sostenere per il rientro dei mezzi fu stimato intorno a 137.5 milioni di dollari. In assenza del “richiamo mezzi” la spesa sarebbe scesa a 49.5 milioni di dollari, ovvero i danni da pagare per le circa 180 morti da ustioni preventivate. Quale soluzione scelse di intraprendere la Ford è facilmente intuibile.