I principali fattori che possono far crescere o diminuire la probabilità di attuazione di una minaccia intenzionale

La probabilità di attuazione di una minaccia intenzionale aumenta con la motivazione dell’attaccante (può essere determinata da motivi economici, smania di protagonismo, motivi ideologici, motivi religiosi, desiderio di rivalsa per torti reali o presunti, ecc.). Questa motivazione può essere dettata dalle più svariate cause (ad es. ottenere un forte guadagno economico oppure il desiderio di aver provocato un danno al sistema ICT effettuato da un hacker, oppure il tentativo di rivalsa fatto da un dipendente che non ha ottenuto un certo avanzamento economico, genera dei danni al sistema ICT dell’azienda (esempio di un tecnico australiano che gestiva le dighe, il quale non avendo ottenuto un avanzamento di carriera, una volta lasciata la sua azienda, ha provocato una dei disastri ambientali con generazioni di inondazioni violando il sistema ICT aziendale). Inoltre aumenta il livello delle conoscenze tecniche generali dell’attaccante, cresce il livello di conoscenza da parte dell’attaccante di dettagli progettuali del sistema ICT attaccato (il caso del tecnico australiano è calzante in quanto il tecnico conosceva bene il sistema ICT dell’azienda).

La probabilità di attuazione di una minaccia decresce con il costo e la difficoltà di reperimento del tipo di apparato necessario per condurre un attacco con successo, diminuisce il tempo necessario per eseguire l’attacco, il tempo per il quale sia necessario l’accesso fisico al sistema, diminuisce l’eventuale necessità di collusione (cioè la collaborazione con un altro soggetto per poter attuare la minaccia, per cui quest’altro soggetto è anch’esso inaffidabile oppure deve essere corrotto e questo fa crescere sensibilmente il costo dell’attacco).

Inoltre decresce al verificarsi di eventuali conseguenze negative per l’attaccante nel caso venga individuato (nota disciplinare, licenziamento, denuncia).

Nonostante siano ben definiti questi parametri, risulta però difficile riuscire a quantificare questa probabilità di minaccia cioè che esiste una funzione matematica che lega questi parametri e che una volta calcolata in funzione dei valori di questi parametri consente di dire quant’è la probabilità. Ci si deve accontentare di stime di tipo più qualitativo che in modo più o meno globale tenendo conto di tutti questi aspetti faccia arrivare alla conclusione che una certa minaccia abbia una probabilità alta, media, bassa di realizzarsi.