Quando l'hacker stacca la spina (ai servizi essenziali)
L'IMPATTO DI UN ATTACCO INFORMATICO PUO' ANDARE MOLTO OLTRE AI DANNI ECONOMICI E INFRASTRUTTURALI SUBITI DALLA VITTIMA SE QUESTA E' AL CENTRO DI UN INGRANAGGIO CHE GENERA SERVIZI (E VALORE) A BENEFICIO DI INDIVIDUI, ORGANIZZAZIONI E SOCIETA'. PER QUESTO SERVE UN APPROCCIO OLISTICO E MULTILIVELLO PER COSTRUIRE MODELLI DECISIONALI CHE RIFLETTANO LA COMPLESSITA' DELL'ECOSISTEMAdi Greta Nasi, direttrice del MSc in Cyber risk strategy and corporate governance
Un attacco informatico che colpisce le infrastrutture critiche e interrompe i servizi essenziali, come l'elettricità e i servizi di telecomunicazione, può avere un impatto significativo sulla sicurezza dello Stato e sul benessere dei cittadini, al di là del valore specifico delle perdite dirette subite, poiché l'interruzione di un servizio essenziale può generare effetti a cascata su altri servizi collegati (Zio, E. & Sansavini, G., 2011).
Per mitigare gli effetti degli attacchi informatici sull'interruzione dei servizi essenziali, gran parte della comunità di ricerca, i responsabili politici e gli operatori si sono concentrati sulla protezione delle infrastrutture critiche alla base dei servizi (Apt, J. et al. 2006). Sono stati adottati diversi approcci, standard e metodologie per proteggere il funzionamento, le interdipendenze e l'affidabilità delle infrastrutture critiche. Tuttavia, ciò che conta sono i servizi che tali infrastrutture forniscono e il loro valore per gli utenti che ne usufruiscono.
Gli attuali quadri decisionali adottano prospettive ristrette e devono essere integrati in un paradigma più ampio che enfatizzi la governance inter-organizzativa, basata su reti e relazioni intersettoriali.
Inoltre, gran parte degli approcci contemporanei alla cybersicurezza sono derivati concettualmente da precedenti ricerche sulla "sicurezza informatica" condotte nei settori scientifici e tecnologici correlati, piuttosto che essere inquadrati nei molteplici ambiti politici che l'interruzione della fornitura di servizi essenziali può abbracciare. Ciò ha generato un "difetto fatale" nella teoria della cybersecurity, che ha visto la protezione delle infrastrutture critiche come una sfida alla continuità aziendale della sicurezza piuttosto che come una sfida all'interruzione dei servizi essenziali. Una delle principali lacune della ricerca e del quadro di gestione del rischio è che l'interruzione dei servizi essenziali riguarda, in linea di massima, qualcosa di diverso dalla sicurezza informatica e dalla sua interruzione. Al contrario, il valore dei servizi essenziali risiede nell'uso che ne viene fatto. A sua volta, la continuità della rete informatica rappresenta una condizione necessaria ma non sufficiente per generare valore nel contesto dei servizi essenziali.
L'attacco alla Colonial Pipeline del maggio 2021 è un esempio di come l'attenzione alla protezione delle infrastrutture critiche, quindi necessarie, non sia sufficiente a garantire la fornitura sicura di servizi essenziali e un maggiore impatto individuale e sociale (Smith, S. 2022).
Colonial Pipeline è una delle maggiori società di oleodotti degli Stati Uniti. La decisione dell'azienda di chiudere i suoi sistemi tecnologici operativi in risposta a un attacco informatico ai suoi sistemi informatici ha creato effetti a catena in tutta l'economia regionale. Ha causato panico nell'opinione pubblica, effetti su altri servizi (per esempio, cancellazione di voli) e disagio sociale per i consumatori, preoccupati per l'accesso alla benzina. L'attacco al Colonial Pipeline mostra come l'interconnessione tra i servizi essenziali non riguardi solo l'organizzazione attaccata, ma abbia anche effetti più ampi su altre organizzazioni, individui e società.
La sicurezza dei servizi essenziali non può essere compresa e valutata solo identificando le vulnerabilità degli asset e delle infrastrutture che li forniscono e modellando i rischi derivanti dai pericoli e dalle minacce associate. Lusch e Vargo (2014) sostengono che i servizi non hanno un valore intrinseco: sono solo una promessa di valore. È solo quando un servizio viene utilizzato che le parti interessate (ad esempio clienti, utenti e altri attori della fornitura del servizio) ricevono valore (valore d'uso). Questo utilizzo avviene all'interno di ecosistemi di servizi, definiti come sistemi relativamente autosufficienti di attori, processi e tecnologie che si integrano tra loro, collegati da logiche istituzionali condivise e dalla creazione di valore reciproco attraverso lo scambio di servizi (Vargo & Lusch, 2014; Aarikka-Stenroos, L., & Ritala, P., 2017). La prospettiva dell'ecosistema cattura più accuratamente la realtà della fornitura di servizi essenziali, in quanto rappresenta un contesto fondamentale per la modellazione del processo decisionale per la cybersecurity. L'interruzione dei servizi essenziali a causa di un attacco informatico può avere un impatto sul valore dell'intero ecosistema e, di conseguenza, su tutti gli asset e i servizi dipendenti.
Pertanto, è necessario investire maggiormente nella ricerca interdisciplinare che tenga conto di un'analisi multilivello che consideri le prospettive individuali, organizzative, ecosistemiche e sociali e la loro interazione dinamica per costruire modelli decisionali che catturino le dinamiche intricate e le complessità dell'ecosistema, fornendo una comprensione olistica del valore a rischio a sostegno di un processo decisionale informato.
