Prima di passare a definire quali sono i principali fattori che incrementano o decrementano le
probabilità di attuazione di una minaccia intenzionale è doveroso definire il concetto di tale
minaccia. Per minaccia intenzionale si intende, tenendo conto delle caratteristiche dell’ambiente in
cui opera, i vari tipi di violazione possibili dell’obiettivo e a sua volta le minacce intenzionali sono
divise in:
a) minacce intenzionali da parte di soggetti in possesso di autorizzazioni (minacce dall’interno);
b) minacce intenzionali da parte di soggetti non in possesso di autorizzazioni (minacce
dall’esterno).
Modalità di attuazione di una minaccia intenzionale
Per ogni minaccia intenzionale è necessario individuare la modalità secondo la quale risulta più
facilmente attuabile. A tale proposito risulta utile considerare le seguenti modalità:
a) modalità di tipo passivo (senza inserimento/modifica di informazioni/software -firmwarehardware)
con cui si intende determinate tipologie che non richiedono che in qualche modo si
vadano a modificare degli oggetti presenti sul sistema ICT su cui si opera per cui risulta sufficiente
per attuarle mettersi in ascolto od in visione di qualche cosa.
b) modalità di tipo attivo (con inserimento/modifica di informazioni/ software -firmware-hardware)
che richiedono l’intervento attivo e di modifica del sistema.
Le probabilità di verifica di minacce intenzionali sono molto difficili da esprimere in quanto
dipende da una quantità di parametri molto estesa ed è difficilmente calcolabile con un funzione
matematica. I principali fattori che possono far crescere o diminuire la probabilità di attuazione
di una minaccia intenzionale sono cosi descritti:
FATTORI INCREMENTALI
La probabilità di attuazione di una minaccia intenzionale aumenta con la motivazione
dell’attaccante (può essere determinata da motivi economici, smania di protagonismo, motivi
ideologici, motivi religiosi, desiderio di rivalsa per torti reali o presunti, ecc.). Questa motivazione
può essere dettata dalle più svariate cause (ad es. ottenere un forte guadagno economico oppure il
desiderio di aver provocato un danno al sistema ICT effettuato da un hacker, oppure il tentativo di
rivalsa fatto da un dipendente che non ha ottenuto un certo avanzamento economico, genera dei
danni al sistema ICT dell’azienda (esempio di un tecnico australiano che gestiva le dighe, il quale
non avendo ottenuto un avanzamento di carriera, una volta lasciata la sua azienda, ha provocato una
dei disastri ambientali con generazioni di inondazioni violando il sistema ICT aziendale). Inoltre
aumenta il livello delle conoscenze tecniche generali dell’attaccante, cresce il livello di conoscenza
da parte dell’attaccante di dettagli progettuali del sistema ICT attaccato (il caso del tecnico
australiano è calzante in quanto il tecnico conosceva bene il sistema ICT dell’azienda).
FATTORI DECREMENTALI
La probabilità di attuazione di una minaccia decresce con il costo e la difficoltà di reperimento del
tipo di apparato necessario per condurre un attacco con successo, diminuisce il tempo necessario
per eseguire l’attacco, il tempo per il quale sia necessario l’accesso fisico al sistema, diminuisce
l’eventuale necessità di collusione (cioè la collaborazione con un altro soggetto per poter attuare la
minaccia, per cui quest’altro soggetto è anch’esso inaffidabile oppure deve essere corrotto e questo
fa crescere sensibilmente il costo dell’attacco).
Inoltre decresce al verificarsi di eventuali conseguenze negative per l’attaccante nel caso venga
individuato (nota disciplinare, licenziamento, denuncia).
Nonostante siano ben definiti questi parametri, risulta però difficile riuscire a quantificare questa
probabilità di minaccia cioè che esiste una funzione matematica che lega questi parametri e che una
volta calcolata in funzione dei valori di questi parametri consente di dire quant’è la probabilità. Ci si
deve accontentare di stime di tipo più qualitativo che in modo più o meno globale tenendo conto di
tutti questi aspetti faccia arrivare alla conclusione che una certa minaccia abbia una probabilità alta,
media, bassa di realizzarsi.
a cura del Dottor Antonio Guzzo – Responsabile CED – Sistemi Informativi del Comune di Praia a Mare
Scrivi un commento
Accedi per poter inserire un commento