Il tema Cybersecurity sale sempre più spesso agli onori della cronaca: aziende e infrastrutture sono rese inservibili da quelli che vengono chiamati “attacchi hacker”. Questo scenario, che è diventato geopolitico, ha tre forze abilitanti:
Sebbene gli attacchi tramite “ransomware” siano quelli che salgono più spesso agli onori della cronaca, essi sono in realtà una frazione molto piccola della rendita del Cybercrime. L’industrializzazione del Cybercrime sta trasformando una professione in un business model erogato da “aziende”: il Crime as a Service (CaaS) è costituito da vere e proprie organizzazioni strutturate con finalità criminali in grado di offrire un “catalogo servizi” completo ai propri “clienti”. Legando il concetto di Ransomware e CaaS, si ottiene un servizio “Ransomware as a Service” che permette a chiunque di entrare in una sorta di “franchising” del ransomware: gli associati possono costruire il proprio ransomware in modo semplice, devolvendo una parte del ricavato al “franchising”.
Il data trading è solitamente parte di attacchi veicolati da ransomware: i criminali, prima di compromettere irrimediabilmente le aziende, esfiltrano dati per poter massimizzare il proprio guadano. Tali dati verranno comunque venduti al migliore offerente, anche in caso di riscatto pagato.
Una evoluzione del data trading è il furto, spesso su commissione, mirato di informazioni specifiche (brevetti, proprietà intellettuale…).
L’ultimo comparto è caratterizzato dai mercati illegali, dove si possono acquistare servizi più generali (droga, armi, killer…).
Occorre inoltre notare che le assicurazioni stanno inserendo delle clausole di esclusioni sugli attacchi veicolati tramite ransomware.
La rendita del Cybercrime è superiore a qualsiasi azienda high-tech di oggi e si avvicina più a quella del PIL della Spagna. Per comprendere il fenomeno occorre considerarle delle aziende criminali, e individuare quindi il loro business model.
Se alla base c’è sempre la “sostenibilità” economica e la massimizzazione degli “introiti”, ciascuna organizzazione criminale può avere delle specializzazioni; tuttavia il primo passo è sempre la scelta del bersaglio che ipoteticamente può garantire maggior guadagno e che espone una maggiore debolezza, quindi una maggiore facilità di esecuzione dell’attacco.
In questo senso si parla di rapporto costi / benefici: il primo fattore da considerare nell’implementare una strategia di difesa è il rendere anti-economico l’attacco, ovvero adottare misure di sicurezza tecniche ed organizzative tali da scoraggiare azioni mirate da parte del criminale, rendendole troppo costose in rapporto ai guadagni che tali azioni potrebbero garantirgli.
Il secondo fattore di questo rapporto permette di definire delle misure di sicurezza adeguate, ma non eccessive, ovvero calibrate rispetto al rischio che l’azienda effettivamente corre. Una Business Impact Analysis permette alle aziende di trovare il corretto equilibro costi-benefici per la costruzione di una strategia di difesa, così da rendere quest’ultima strumento per la creazione di valore ed innovazione, e non un appesantimento inutile.