È disponibile qui. Precedentemente chiamato CSI/FBI Survey, ma “In previous years, the survey was titled the CSI/FBI survey, but although our colleagues within the Bureau have continued to provide insight and opinion regarding the survey, the “FBI” nomenclature has been discontinued and the survey is now entirely administered by CSI”.
Si tratta di un “self-selected survey” che più volte in passato è stato criticato in quanto tenderebbe per sua natura a sovrastimare i danni. Per una panoramica dei problemi legati a questo tipo di survey, consiglio caldamente l’ultima chiacchierata di Ranum (con il quale peraltro non concordo sull’idea che le leggi eccessive siano mitigate dal buon senso di chi le applica, ma questo è un altro discorso). Il survey è stato distribuito o spedito a 5000 “security practitioners in the United States”, dei quali il 10% ha risposto. La prima critica, la più classica, è che si tratta proprio delle persone che, potendo rispondere in modo anonimo, hanno interesse a tenere alto l’impatto delle violazioni perché è quello che giustifica i finanziamenti alle loro attività. Ma poi, che dire degli altri 4500 che non hanno risposto? Certo, sappiamo che avere il 10% di risposte a un questionario è un ottimo risultato, ma questo non autorizza a trascurare il restante 90%, liquidandolo con un “non hanno risposto”. Ogni interpretazione è lecita: ad esempio, il 90% avrebbe voluto rispondere (dopotutto è un survey di una certa fama) ma non ha assolutamente idea di quante siano le perdite nella propria azienda, e non è in grado di rispondere decentemente alle risposte. È importante notare anche che il dato più pubblicizzato dai media, ovvero il raddoppio dei danni, è ancora meno attendibile: solo 192 persone hanno “parlato di dollari” ( pag 14): un campione ancora più particolare. Sarebbe stato interessante sentire cosa ne pensano i CFO delle stesse aziende: se a loro risultano le stesse perdite, o se il security practitioner se l’è valutate in proprio… E non sono tutti CISO: sarebbe interessante sapere il 18% di “Other” (pag. 6) che informazioni reali ha sulle perdite effettive nella propria azienda. Quello che è certo è che il 10% di professionisti della sicurezza che ha risposto è un campione molto, molto specifico. Peraltro, tutta questa questione è ammessa chiaramente a pag. 3 del rapporto, anche se le conclusioni che ne vengono tratte in merito ai risultati sono più ottimistiche. Sono riportate anche alcune interessanti considerazioni da non trascurare, ad esempio sul fatto che al momento le informazioni finanziarie sulle perdite dovute al crimine informatico sono fondamentalmente stime. Infine, i dati raccolti non sono pesati per tipologie di aziende: la cosa salta all’occhio ad esempio quando si parla di assicurazioni sui “cibersecurity risks”: la percentuale di aziende che appartiene al settore finance probabilmente ha un peso considerevole sui “sì”; non si può certo dedurre che il 29% delle aziende “in generale” abbia un’assicurazione. Lo stesso peso delle aziende in ambito finance si può immaginare su altre risposte; ad es. il 32% che ha subito attacchi mirati è probabile che comprenda le banche oggetto di attacchi di phishing mirati… Sia chiaro: tutte queste critiche non sono per dire che il survey è inutile; tutte le informazioni, per quanto parziali, sono utili: tuttavia i dati vanno valutati con attenzione e sono quindi adatti ad essere utilizzati da tecnici, non per essere sbandierati sui media, dove vengono riportate solo le cifre più sensazionali. Perdo molto tempo su questo punto (sembra che mi diverta a criticare il lavoro degli altri?) perché si è cercato per troppo tempo di vendere la sicurezza con numeri non realistici, e questo alla lunga ci ha resi meno credibili; basta leggere le considerazioni dell’ultimo post. Se vogliamo riprendere credibilità, dobbiamo essere molto attenti ai numeri che pubblichiamo, e mandare sui media notizie del tipo:”L’impatto degli attacchi è raddoppiato nell’ultimo anno” non fa certo bene al mercato, perché poi le aziende, passato lo spavento, si guardano in casa e se quei numeri non quadrano, finisce che prendono poco sul serio tutta la questione. Che è quello che molte hanno fatto finora.
Il survey è comunque fonte di ispirazione per innumerevoli riflessioni, sia che i dati siano falsati, sia che siano almeno in parte corretti: vale certamente la pena di leggerlo. I dati sulle tipologie di attacchi sono probabilmente quelli più attendibili, ad esempio l’aumento di attacchi mirati. Anche la figura 13, sulla percentuale di perdite dovute a insider sarebbe interessante, se solo fosse pesata almeno per entità della perdita e tipologia di azienda (ed è interessante incrociarla con la figura 16).
Certamente non possiamo, come al solito, riportarne le conclusioni all’Italia, né considerarlo un “anticipo” di quello che succederà da noi: non lo è stato negli anni passati e non lo sarà adesso, purtroppo; se lo fosse, allora in Italia saremmo ancora in piena fase calante (il report segnala il primo anno di aumento delle perdite dal 2002). Ma le cose non stanno così, semplicemente Italia e USA sono paesi diversi. L’Italia non è, fortunatamente, una copia “ritardata” degli USA: se possiamo avere un certo ritardo nell’adozione di alcune tecnologie, certamente non c’è lo stesso ritardo nella diffusione delle tecniche di attacco (nel caso dei virus ad esempio, tutti i paesi sono ovviamente allineati). Ma soprattutto, sono diverse le aziende. Il survey è quindi uno strumento utile per il professionista, se lo riesce a leggere in modo critico, ma non è certo uno strumento per portare dati all’utente finale.