Bruce Schneier: Economia e Sicurezza delle Informazioni

Luglio 2006 | Privacy | Security
060720-SchneieronWeis06 Pubblichiamo la traduzione in italiano dell’articolo di Bruce Schneier "Economics and Information Security" apparso sul numero di luglio 2006 di Crypto-gram  e dedicato a WEIS06, il "Workshop on the Economics of Information Security"

Sto partecipando ad una conferenza presso l’università di Cambridge e contemporaneamente tento di finire di scrivere questo articolo per Wired News e prestare attenzione al relatore sul palco.
Sono in questa imbarazzante situazione perché:
  1. devo consegnare quest’articolo domani
  2. partecipo al quinto "Workshop on the Economics of Information Security" noto come WEIS, secondo me la più interessante conferenza sulla sicurezza dell’anno.
L’idea che l’economia abbia qualcosa a che fare con la computer security è relativamente recente. Sembrerebbe che Ross Anderson ed io siamo inciampati nella stessa idea indipendentemente: lui, nel suo brillante articolo del 2001, "Why Information Security Is Hard - An Economic Perspective" (pdf, 100 K
qui in italiano) io in vari saggi e pubbliche presentazioni nello stesso periodo.
La prima edizione di WEIS si è avuta l’anno successivo presso l’università della California a Berkeley e da allora la manifestazione è costantemente cresciuta. Si tratta del solo workshop dove i gli esperti di tecnologia si presentano insieme ad economisti ed avvocati e tentano di comprendere i problemi della computer security.
E l’economia ha molto da insegnare alla computer security. Generalmente pensiamo alla computer security come ad un problema di tecnologia ma spesso i sistemi falliscono perché influenzati da incentivi economici perversi quali il fatto che chi dovrebbe proteggere i sistemi informativi non è la stessa persona che potrebbe ricevere un danno dal fallimento del suo sistema di sicurezza.
Le riflessioni economiche, quando si inizia a cercarle, sono ovunque nella computer security. I sistemi informativi negli ospedali forniscono funzionalità complete per la gestione delle fatture a vantaggio degli amministratori ma non sono altrettanto affidabili nel proteggere la privacy dei pazienti. In paesi quali il Regno Unito e l’Olanda i bancomat sono soggetti a frodi perché le norme sono insufficienti e non producono incentivi sufficienti alle banche per rendere sicuri i propri sistemi ma permettono anzi di trasferire il costo della frode ai loro clienti. Ed una ragione per cui Internet è insicura è che non è chiara di chi sia la responsabilità per i fallimenti dei sistemi di sicurezza attaccati e messi fuori uso.
In tutti questi esempi, le considerazioni economiche della sicurezza sono più importanti che le considerazioni tecnologiche.
Più in generale, molte delle domande di base della sicurezza sono di natura economica non meno che di natura tecnologica. Spendiamo abbastanza per tenere gli hacker lontani dai sistemi informatici? O spendiamo troppo? Su quali basi spendiamo tanto per la polizia e l’esercito? E stiamo impiegando i nostri budget di sicurezza negli strumenti giusti? Alla luce di quanto accaduto l’11 settembre domande come queste hanno una notevole importanza.
L’economia può al momento spiegare molti aspetti apparentemente incomprensibili della sicurezza di Internet. I firewall sono diffusi, la cifratura dell’e-mail è rara: ciò non a causa della diversa efficacia delle tecnologie ma a causa delle pressioni economiche che spingono le aziende ad installare o meno le diverse soluzioni. Le aziende raramente rendono pubblico di aver subito intrusioni e ciò perché motivazioni economiche dissuadono dal farlo.
Avere un sistema operativo insicuro è lo standard internazionale perché i suoi effetti economici sono largamente sopportati non dall’azienda che produce il sistema operativo ma dai clienti che lo acquistano.
Anche alcuni dei temi cyber politici più controversi sono a cavallo tra l’information security e l’economia. Per esempio il tema del DRM, il Digital Rights Management: il copyright è troppo severo - o non lo è abbastanza - per incentivare la produzione creativa della società? E se è necessario che esso sia più restrittivo chi beneficerà delle tecnologie DRM? L’industria musicale o i venditori di tecnologia? La Trusted Computing Initiative di Microsoft è una buona idea o semplicemente un altro modo per l’azienda per legare i propri clienti a Windows, Media Player e Office? Ogni tentativo di rispondere a queste domande diventa rapidamente ingarbugliato sia con la information security che con l’economia.
WEIS incoraggia le ricerche su questi ed altri temi legati all’economia ed alla computer security. Sono stati presentati studi relativi all’economia della digital forensics dei cellulari – se possedete un cellulare non comune la polizia probabilmente non ha i mezzi per effettuare una forensic analysis – e sugli effetti economici dello spam (al momento solo sul breve periodo). Abbiamo scoperto che anche che gli utilizzatori di reti wireless più esperti non amano rendere sicuro i propri access point e che la sicurezza wireless è affidata alla configurazione dei router.

Altri ricercatori hanno presentato modelli economici innovativi per spiegare il patch management, i worm peer-to-peer, gli investimenti nelle tecnologie dell’information security e la contrapposizione delle politiche di privacy di tipo opt-in rispetto a quelle opt-out. C’è stata una ricerca che ha cercato di stimare il costo per l’economia USA dei fallimenti delle infrastrutture di sicurezza: meno di quello che si potrebbe pensare. Uno dei più interessanti paper presentati ha analizzato le barriere economiche all’adozione di nuovi protocolli di sicurezza,nello specifico le DNS Security Extension.

Ovviamente tutto ciò non è semplice da organizzare. Negli anni precedenti c’è stata un po’ di fatica purché gli economisti ed i tecnologi della computer security tentavano di insegnare ciascun all’altro il proprio linguaggio. Ma adesso sembra che ci sia molta più sinergia e collaborazione tra i due campi.
Da tempo sostengo che i problemi fondamentali nella computer security non dipendono più dalla tecnologia ma dall’applicazione della tecnologia. Workshop come WEIS ci aiutano a comprendere perché, a volte, le tecnologie di sicurezza migliori si rivelano dei fallimenti mentre quelle peggiori hanno successo e che tipo di ragionamenti sono veramente importanti se abbiamo intenzione di migliorare la sicurezza della società dell’informazione.

Bruce Schneier, luglio 2006

IsacaRoma Newsletter link

WEIS 2006

Bruce Schneier

Bruce Schneier: domande e risposte
Bruce Schneier: le vulnerabilità dei software e le responsabilità
Il futuro della privacy, di Bruce Schneier
Bruce Schneier: il phishing
Beyond Fear di Bruce Schneier