Minaccia, vulnerabilità, rischio, ecc.; ci sono molti termini alla base dell’analisi delle vulnerabilità sui dati, e a volte perfino gli stessi addetti ai lavori della data protection fanno un po’ di confusione. In questo articolo cerchiamo di mettere ordine.
Iniziamo dalle definizioni:
– Scenario – Scenario condizione che può manifestarsi, non necessariamente negativa
– Minaccia – Threat scenario negativo che deve essere evitato
– Agente di minaccia – Threat actor è il “mezzo” responsabile della minaccia
– Vulnerabilità – Vulnerability debolezza che può essere sfruttata dall’agente di minaccia
– Rischio – Risk scenario negativo, innescato da una vulnerabilità che vuole evitare.
La differenza tra una minaccia e un rischio è sostanziale. La minaccia è un evento negativo di per sé, mentre il rischio è l’evento negativo combinato con la sua probabilità e il suo impatto. Il rischio è specifico del contesto in cui opera un’organizzazione, un ufficio, una sede, un fornitore, ecc.
La confusione nel corretto uso della terminologia nasce dal fatto che a volte si usano in modo improprio i termini, come se fossero sinonimi.
Scenario – Uno scenario non porta necessariamente ad una minaccia, ma potrebbe anche costituire un’opportunità. Ad esempio, nel caso di una situazione pandemica:
– un’azienda che permette ai propri dipendenti di operare in smart working con i propri dispositivi personali, configura uno scenario nel quale sono presenti delle minacce sui dati aziendali, ma anche delle opportunità dovute al risparmio dell’azienda nel non acquistare dispositivi per il personale;
– un’altra azienda che coglie l’occasione per fornire a tutti i propri collaboratori dispositivi aziendali, e ne impone l’uso, laddove prima vigeva una situazione promiscua, riduce le possibili minacce sui dati.
Minaccia – Una minaccia (talvolta è usato il termine “pericolo”), comporta uno scenario negativo; si verifica una situazione che incide sulla riservatezza, e/o integrità, e/o disponibilità dei dati che garantiscono i diritti e le libertà degli interessati. Le minacce prendono origine da vulnerabilità che sono sfruttate, anche in modo inconsapevole, dagli agenti di minaccia.
Qualche esempio di minaccia sui dati:
– furto dei risultati di un’indagine clinica;
– allagamento sala server
Agente di minaccia – Gli agenti di minaccia sono le entità responsabili delle minacce, e sono identificabili con:
– le persone malintenzionate – agenti che operano in modo volontario;
– le persone non malintenzionate – agenti che operano in modo involontario;
– le infrastrutture tecnologiche;
– la natura.
Le persone malintenzionate possono dare corso ad uno scenario ostile, per un interesse personale, od operare su commissione da parte di organizzazioni ostili (compresi i governi).
Sulla base delle minacce è possibile individuare gli “agenti di minaccia”; in base agli esempi precedenti:
– minaccia: furto dei risultati di un’indagine clinica
# agente di minaccia: dipendente infedele (malintenzionato)
# causa primaria: ottenere un guadagno illecito tramite la rivendita degli stessi ad un concorrente
– minaccia: allagamento sala server
# agente di minaccia: infrastruttura tecnologica
# causa primaria: guasto nell’impianto fognario.
Per le infrastrutture, specificamente, possiamo evidenziare le seguenti cause:
– intrinseche – es. guasto a seguito di errore di progettazione;
– innescate da persone malintenzionate – es. guasto a seguito di sabotaggio;
– originate da persone non malintenzionate – es. guasto a seguito di errata o negligente manutenzione.
Gli aspetti relativi alla causa all’origine della minaccia “causa primaria” potrebbero essere ulteriormente approfonditi (ad esempio con la tecnica dei “5 perché”) per individuare la “causa radice”.
Vulnerabilità – Le vulnerabilità sono i punti deboli che l’agente di minaccia “sfrutta”; ciò rende possibile che la minaccia si concretizzi, o la renda ancora più impattante. Sulla base degli esempi precedenti:
– minaccia: furto dei risultati di un’indagine clinica
# agente di minaccia: dipendente infedele (malintenzionato)
# causa: ottenere un guadagno illecito tramite la rivendita degli stessi ad un concorrente
# vulnerabilità: dipendenti con retribuzioni inferiori alla concorrenza e possibilità di accesso a tutti i dati, da parte dei dipendenti, senza limitazione nelle partizioni
– minaccia – allagamento sala server
# agente di minaccia: infrastruttura tecnologica
# causa: guasto nell’impianto fognario
# vulnerabilità: impianto fognario vecchio, sala server posta in prossimità dell’impianto fognario.
Rischio – Il rischio, a differenza della minaccia, considera il contesto; quindi, in relazione allo scenario, il rischio è pesato in relazione alla possibilità che la minaccia si concretizzi (probabilità), combinata con la valutazione delle conseguenze nel caso in cui si concretizzi effettivamente (impatto). Il rischio è l’unica definizione, tra quelle citate, che comporta un calcolo, e può essere misurato con una scala di valori (quantitativa o qualitativa).
A causa della confusione tra i termini “minaccia” e “rischio”, molte persone, per configurare possibili scenari, usano in modo indifferente i due termini. Un semplice esempio può aiutare a comprendere.
Prendiamo il caso di una azienda che ha due sedi, Alfa e Beta; in ogni sede è presente un server; i due server contengono gli stessi dati, in questo caso:
– Minaccia – furto del server; non vi è associato un valore di probabilità, in quanto la minaccia dipende dal contesto;
– Rischio – furto del server presso la sede Alfa può essere diverso dal rischio di furto presso la sede Beta; in tal caso, il valore del rischio, ottenuto moltiplicando la probabilità per l’impatto è diverso, in quanto il valore della probabilità dipende dai sistemi di protezione presenti nelle sedi Alfa e Beta e dal contesto locale – sede in zona centrale o periferica, sistema di gestione delle chiavi e degli altri dispositivi per l’accesso, ecc.; il valore dell’impatto, invece, è identico per i due scenari, in quanto il contenuto dei due server è il medesimo.
Le differenze tra le due sedi potrebbero essere ancora più accentuate considerando anche la rilevabilità del rischio. In una sede potrebbe essere presente un sistema di antifurto, e/o un servizio di vigilanza, e/o un custode, il che aumenterebbe il valore della rilevabilità, con conseguente diminuzione del valore del rischio associato alla minaccia.
Conclusioni – L’uso della terminologia corretta non è un eccesso di scrupolo, ma una necessità, volta ad evitare confusione e difficoltà di comprensione; tale condizione è inoltre importante per poter affrontare i vari passaggi richiesti dal Gdpr.
Il tema è stato sviluppato di diversi autori, a livello internazionale si suggerisce di approfondire le pubblicazioni di Daniel Miessler.
FONTE: federprivacy