Il concetto di rischio e risk-based approach nella cybersecurity

Il concetto di “rischio” pervade tutto il settore della cyber sicurezza, non solo dal punto di vista giuridico, ma anche, e soprattutto, da quello procedurale: per far fronte a tali rischi, il modello varia in base alle circostanze politiche ed economiche dell’area geografica considerata. Vediamo esattamente cos’è il rischio, come si forma un modello di gestione del rischio, e, in particolare, cosa sia il risk-based approach.

Il concetto di “rischio” nella cybersicurezza

Nel tracciare un quadro del mondo della cybersecurity è utile tenere a mente il concetto fondamentale di rischio, ovvero il concetto secondo cui nel mondo virtuale non si raggiungerà mai una sicurezza completa dei sistemi, perché i cyber criminali si aggiornano rapidamente per tenere il passo di sistemi di sicurezza che a loro volta si aggiornano in misura dei progressi dei cyber criminali.

È un fenomeno, questo, che si verifica anche nel mondo fisico, ma con molta più lentezza e difficoltà; per rendersene conto basti pensare alla preparazione di un furto di dati fisico: bisogna raggiungere fisicamente il luogo e superare i livelli di sorveglianza, e, una volta ottenuto il bottino, superare di nuovo la sorveglianza e riuscire ad allontanarsi, il tutto senza contare gli errori umani dettati dallo stato emotivo personale e da situazioni impreviste, anche banali, che possono verificarsi. Un cyber criminale, invece, può agire potenzialmente da qualsiasi parte del mondo, in un ambiente controllato e protetto, per poi sparire rapidamente com’è comparso. Può operare su una scala vastissima, servendosi, ad esempio, di messaggi in serie per diffondere trojans o malwares e può anche essere impegnato in altre attività mentre si verifica l’illecito, servendosi di programmi che agiscono per recuperare in sua vece le informazioni. Tenendo conto di questo concetto, dunque, si capisce come qualsiasi attività volta a dare un assetto legislativo a questo mondo debba necessariamente tendere più al tentativo di stabilire un livello accettabile di rischio, piuttosto che al tentativo di una sua eliminazione definitiva.

Diversi modelli di cybersicurezza

I modelli di approccio alla cybersicurezza sviluppati da quando il problema della protezione delle reti ha iniziato ad essere discusso sono svariati, e sono nati principalmente per essere implementati all’interno delle aziende. (la regolamentazione legislativa di quest’ambito è arrivata molto in ritardo rispetto all’industria) Essi si presentano come dei modelli di procedure decisionali basati sulla teoria dei giochi e sugli studi sulla logica in ambito di decision-making aziendale.

Ne esistono diversi, ma il più famoso ed utilizzato, almeno in Unione Europea, è il cosiddetto risk-based approach. Questo modello organizzativo prende le mosse dal concetto che, se il rischio è intrinseco alla materia della cyber sicurezza, le risposte ad esso debbano essere il più flessibili possibile; inoltre, esse dovrebbero essere studiate partendo dai rischi stessi ai quali dovrebbero rispondere, e alle loro possibili evoluzioni.

Ne esistono diversi, ma il più famoso ed utilizzato, almeno in Unione Europea, è il cosiddetto risk-based approach. Questo modello organizzativo prende le mosse dal concetto che, se il rischio è intrinseco alla materia della cyber sicurezza, le risposte ad esso debbano essere il più flessibili possibile; inoltre, esse dovrebbero essere studiate partendo dai rischi stessi ai quali dovrebbero rispondere, e alle loro possibili evoluzioni.

**Il risk-based approach e la sua fortuna nelle aziende**

Il risk-based approach è uno dei modelli che ancora oggi ha più fortuna tra gli imprenditori: è un modello che cerca di ridurre i rischi tramite un’attenta analisi di dove gli attacchi alla cyber sicurezza potrebbero colpire, individuando i settori il cui attacco potrebbe essere più impattante sull’ente di riferimento. Impattante soprattutto in termini economici, dal momento che il modello è stato creato per le aziende private, e, andando a proteggere principalmente quelli, permette all’azienda di razionalizzare le spese di sicurezza, un altro motivo che lo rende particolarmente attraente. Il risk-based approach si sviluppa su più fasi, come ben illustrato dallo studio The risk-based approach to cybersecurity, scritto nel 2019 da Jim Boehm, Nick Curcio, Peter Merrath, Lucy Shenton e Tobias Stähle per McKinsey&Company.

Il primo passo è quello di adottare il risk management come metodo organizzativo generale nell’azienda, al fine di renderlo pervasivo in ogni aspetto del management aziendale; si passa poi a visualizzare gli ambiti di rilevanza dell’azienda, valutando quali siano i settori chiave che, se colpiti, causerebbero perdite. Operate queste valutazioni, si potrà passare a cercare le vulnerabilità del sistema, ovviamente con un occhio di riguardo ai già identificati settori di importanza primaria. Si cerca poi di capire il punto di vista dei cyber attaccanti, quali fini potrebbero avere, quali obiettivi avrebbero nell’attacco e quali siano le risorse a loro disposizione (fondamentale per poter pensare alle possibili contromisure); nel quinto passaggio si stabilisce un programma di controllo e messa in sicurezza per le vulnerabilità identificate al terzo punto, in modo che possano essere costantemente monitorate e, in ogni caso, coperte. A questo punto si potrà tracciare la mappa di quello che nello studio viene definito “ecosistema impresa-rischio”, ovvero la rappresentazione delle coincidenze e delle rispettive posizioni tra vulnerabilità, sistemi di difesa applicati e il livello d’importanza del settore dell’azienda considerato, un’analisi che sarà utile a distribuire correttamente e razionalmente le risorse disponibili e a pianificare i controlli regolari. Solo avendo fatto tutto ciò, con un quadro chiaro della situazione di rischio dell’azienda, si può passare a programmare il protocollo di risposta ad eventuali attacchi, tenendosi comunque costantemente aggiornati su cambiamenti nelle capacità o negli obiettivi dei potenziali cyber attaccanti.

Essendo un procedimento abbastanza logico, che consente di risparmiare risorse, allocandole razionalmente dove sono più necessarie, e che si integra bene con le normali routine di controllo delle aziende, è chiaro perché questo metodo sia molto apprezzato in ambito aziendale. Tuttavia, esso dimostra di potersi ben applicare all’ambito della gestione politica della cyber sicurezza, al punto che l’Unione Europea ha deciso di includerlo in molti dei suoi interventi in materia.

**Il risk-based approach nell’Unione Europea**

È possibile innanzitutto notare come fin dai tempi di COM(2000)130, eEurope. Una società dell’informazione per tutti, l’Unione europea si sia occupata di individuare i suoi punti vulnerabili, i suoi settori d’interesse, e da allora sia sempre intervenuta principalmente su quelli, concentrando su di loro la maggior parte delle risorse ed aggiornando costantemente le sue strategie con report periodici sull’efficacia delle misure precedenti.

Ovviamente all’UE non si possono applicare tutti i passaggi che ad un’azienda sarebbero applicabili, perché il paragone tra un ente politico democratico sovrastatale ed un’azienda non regge. Tuttavia, risulta ad ogni modo possibile nell’UE uno schema simile a quello aziendale, seppur non identico: tale metodo, molto agile, prevede degli spazi di analisi e degli spazi di azione separati (esattamente come in un’azienda). In tal modo si forma una specifica organizzazione dell’UE, che può riservarsi un livello più alto di analisi e di pianificazione generale sullo spazio del mercato comune, ma può anche permettersi di lasciare le questioni di mercato interno ai suoi Stati membri, senza intaccare le loro autonomie. Per questo, il risk-based approach è il metodo adottato nella scrittura della Direttiva NIS sulla cyber sicurezza, e, più tardi, dalla Direttiva NIS 2.

**Un confronto tra approccio risk based e ruled base alla legislazione sulla cyber sicurezza: i casi di UE e Stati Uniti**

Lo studio Economic Impacts of Rules – versus Risk Based Cybersecurity Regulations for Critical di F. Massacci, R. Ruprai, M. Collinson e J. Williams, terminato nel 2016, mette a confronto l’approccio europeo con quello degli Stati Uniti alla cyber sicurezza, questa volta con gli strumenti dell’analisi politico-economica, contrapponendo il risk-based regulation europeo a quello che è definito ruled-base regulation degli Stati Uniti, e ci può fornire un ulteriore elemento di valutazione dell’approccio europeo al problema. Nello studio vengono indicati due diversi metodi di gestione della rete, e quindi della cyber sicurezza, come un mercato: il primo, quello europeo, si limita a dettare delle regole di base imponendo multe alle aziende nel caso di messa a rischio della sicurezza degli utenti; il secondo, quello statunitense, è invece estremamente rigido nel fissare i protocolli d’azione, e impone multe per il mancato rispetto delle sue regole. Questi atteggiamenti si traducono, ad esempio, nel fatto che se in Europa l’Unione detta gli standard di sicurezza a cui adeguarsi, ma poi sono le aziende a decidere le modalità tramite differenti approcci, analisi e valutazioni interne, negli Stati Uniti è l’Agenzia governativa preposta ad ordinare le analisi delle aziende, valutarle e di conseguenza stabilire le modalità dell’azione.

Possiamo notare come in generale l’approccio europeo sia perfettamente coerente con la struttura dell’Unione stessa e in linea con l’idea del “mercato della rete” che l’Unione usava come giustificazione dei suoi interventi in materia. Per evitare di oltrepassare le proprie competenze, infatti, l’UE deve servirsi di strumenti molto agili e divisibili, in maniera da poter affidare le varie fasi dell’azione a differenti agenti, siano essi i suoi Stati membri, le sue agenzie o gli enti privati, su cui si riserva il ruolo di coordinamento, non di gestione. Inoltre, era chiaramente espresso già dai tempi della Direttiva 2009/140/CE che il fine dell’Unione in questo ambito è “quello di ridurre progressivamente le regole settoriali ex ante specifiche via via che aumenta il grado di concorrenza sul mercato, per arrivare infine a un settore delle comunicazioni elettroniche disciplinato esclusivamente dal diritto della concorrenza”, quindi non può essa stessa assumere un controllo del settore pervasivo come quello statunitense.