Non ho mai avuto una particolare passione per le statistiche e i sondaggi che vengono quotidianamente presentati sul numero di macchine infette, l’impatto economico della pirateria, il costo delle intrusioni e, ultimamente, il numero di record personali rubati. Non ho fiducia nel modo in cui la maggior parte è realizzata, e questi studi generalmente non sono in grado non solo di fornire un’indicazione realistica dello stato della sicurezza, ma neanche di misurare in modo credibile il dato al quale si riferiscono. E puntualmente, vengono smentiti dal sondaggio o dalla statistica successiva, che sullo stesso punto dice esattamente il contrario. Offrono però a giornalisti e blogger un’occasione per scrivere qualche articolo d’impatto. L’ultima statistica di cui si è parlato molto è quella di Verizon sul numero di record personali rubati, che mostrerebbe un calo da 361 milioni nel 2008 a 144 milioni nel 2009, scendendo a 4 milioni nel 2010. Di fronte a questi numeri, praticamente tutti sono stati costretti a dire che non significano che la sicurezza è aumentata, ma che invece… e qui si sono trovate le spiegazioni più varie, tipicamente che le APT fanno attacchi più mirati, o altre affermazioni, nessuna delle quali è giustificata dai numeri, tantomeno da quelli di Verizon. Sono affermazioni che riflettono appunto lo stato attuale della valutazione del rischio nella sicurezza IT: affermazioni “arbitrarie” la cui credibilità non è data dai numeri ma dall’autorevolezza ed esperienza di chi le fa. E così, per dare l’ultimo colpo alla rilevanza dei numeri riportati da Verizon, un singolo evento, ovvero la compromissione della rete di Sony per le Playstation, con i suoi 70 milioni di utenti riporta i numeri ai livelli di due anni fa. È stata appena (e finalmente) confermata la notizia che la rete è stata effettivamente compromessa e che i record degli utenti sono stati esposti. Con buona pace delle statistiche.
