Solitamente scartati dalle analisi di rischio, come nell’eliminazione del caso migliore e peggiore nelle medie matematiche, gli eventi “cigno nero” possono invece essere gestiti secondo criteri di prevenzione appositi, senza affrontare costi proibitivi.
I risultati provengono da uno studio svolto principalmente da ricercatori italiani, pubblicato dalla IEEE Open Journal of the Computer Society e sostenuto, fra gli altri, dalla Fondazione SEcurity and RIghts in the CyberSpace (SERICS).
Indice degli argomenti
L’annoso problema degli eventi “cigno nero”
La ricerca sulla cyber security segna un altro punto importante nell’ambito delle contromisure praticabili per garantire la resilienza.
La particolarità è che la ricerca risolve l’annoso problema di gestione degli eventi cosiddetti “cigno nero” solitamente riconoscibili nei framework di analisi del rischio perché caratterizzati da bassa probabilità, altissimo impatto e quindi costi ingenti, per lo più proibitivi per la sua mitigazione.
Per questi motivi sono normalmente scartati dalla lista delle misure di mitigazione e contenimento. Esempi di evento di questo tipo sono il doloroso attacco terroristico alle torri gemelle dell’11 settembre e la più recente pandemia globale di COVID-19 (anche se qualche studioso lo ritiene un cigno grigio perché le pandemie sono cicliche).
Il paper di ricerca dal titolo “Designing for the Unlikely: Mitigation Against Rare, High-Impact Threats” chiarisce come “la tensione tra efficienza e resilienza (espressa nei framework di analisi di rischio, n.d.r.) esponga una debolezza sistemica: i difensori spesso danno priorità ai rischi a breve termine rispetto alla resilienza per rari scenari avversari”.
Ma la soluzione esiste e passa per un cambio di paradigma: rinunciando a un sistema ottimale e introducendo modeste inefficienze, si raggiunge una postura più resiliente, in grado di resistere a eventi rari, ma di forte impatto.
Per comprendere meglio la ricerca e la soluzione ne abbiamo parlato con Luigi Vincenzo Mancini, professore del Dipartimento di Informatica dell’Università “La Sapienza” di Rome, fra gli autori dello studio, e con Michele Coljanni, Professore dell’Alma Mater Studiorum dell’Università di Bologna e Coordinatore dello Spoke 8 SERICS dedicato alla gestione del rischio e governance.
Cigni neri e cigni grigi
Capire la definizione di evento “cigno nero” è un passaggio obbligato.
Il prof. Michele Coljanni lo descrive come quell’evento caratterizzato da tre caratteristiche:
- “rarità estrema, per cui deve essere un evento isolato che si trova al di fuori delle normali aspettative e su cui nessun dato nel passato poteva farne presagire la possibilità”;
- impatto enorme quando accade, tanto da trasformare radicalmente l’economia, la politica o la vita di miliardi di persone;
- prevedibilità retrospettiva, un elemento beffardo, per cui dopo che è successo, gli esperti si affrettano a spiegare che ‘i segnali c’erano tutti’, facendo sembrare l’evento meno casuale di quanto non fosse”.
Luigi Vincenzo Mancini conferma come “in letteratura, la definizione di evento ‘cigno nero’, oltre alla rarità e all’elevato impatto, possa includere ulteriori caratteristiche, come la capacità di sfidare i modelli previsionali convenzionali, l’essere percepito come sconosciuto o inimmaginabile, e il fatto che, a posteriori, viene spesso razionalizzato in modo errato e prevedibile”.
Tuttavia, aggiunge, “questi aspetti non vengono considerati nella nostra formalizzazione, poiché sono fortemente soggettivi e difficili da trattare in modo rigoroso all’interno di un lavoro scientifico”.
Nello studio, quindi, si guarda ad una tipologia specifica. “Ci focalizziamo su una specifica categoria di evento ‘cigno nero’ che si caratterizza come un evento estremamente raro, ad alto impatto (Rare High-Impact Event). Consideriamo quindi eventi con probabilità molto bassa di accadimento, ma capaci di provocare danni estremamente gravi quando si verificano”.
Un evento “cigno nero” può portare alla chiusura aziendale
Ed è qui che sorgono i problemi per le organizzazioni.
“Proprio a causa della loro rarità, le organizzazioni tendono spesso a ritenere che ‘probabilmente non accadranno mai’ e, di conseguenza, investono poco nella loro prevenzione e contromisura. Tuttavia, quando tali eventi si manifestano, le conseguenze possono essere catastrofiche”.
Nella cyber security, in particolare, i cigni neri possono anche provocare chiusure e fallimenti aziendali perché, come spiega il prof. Mancini: “nel contesto della sicurezza informatica, un Rare High-Impact Event può consistere in una combinazione molto specifica di guasti e manipolazioni, statisticamente rara, che consente a un attaccante di aggirare completamente i meccanismi di difesa”.
Il problema significativo di gestione lo spiega il prof. Colajanni: “non possiamo prevedere i ‘cigni neri’ (per definizione) e l’unica strategia sensata è smettere di cercare di indovinare il futuro e concentrarsi sulla robustezza di un’azienda”.
Ma l’ambiente digitale e quello della sicurezza informatica sono sfidanti.
“Il mondo cyber è un caso a parte, nuovo, come tutto il mondo digitale ancora scarsamente compreso. Di conseguenza, si tende a ritenere che il cyber sia un generatore di ‘cigni neri’, cosa che, in parte è vera, ma in realtà la maggior parte dei grandi attacchi informatici (data breach di Marriot e di Equifax così come quasi tutti gli attacchi ransomware) sono ‘cigni grigi’: eventi probabili, previsti dagli esperti, ma che le organizzazioni scelgono di ignorare per mancanza di budget negli investimenti o per inconsapevolezza/negligenza”.
Invece, la risposta risiede nella resilienza. “Dato che non si può prevedere quale sarà la prossima specifica vulnerabilità software, ma si sa che capiterà, l’unica difesa è la resilienza cyber, soprattutto dei sistemi più complessi”.
Cambio di paradigma per la mitigazione
Tradizionalmente, prevenire Rare High-Impact Event è stato considerato troppo costoso.
Di conseguenza, i difensori si concentrano sostanzialmente in dispiegare contromisure per le minacce quotidiane più frequenti.
Invece, in questa ricerca, il prof. Mancini chiarisce l’intuizione determinante. “L’intuizione chiave di questo lavoro è che non è necessaria una prevenzione totale per ogni minaccia. La soluzione per difendersi consiste invece nell’apportare piccole modifiche, scelte con cura, al funzionamento dei sistemi di gestione dell’informazione, modifiche che riducono leggermente l’efficienza delle soluzioni adottate ma aumentano notevolmente la resilienza contro attacchi rari e di grande impatto”.
Detto in parole semplici: “Anziché ottimizzare i sistemi per renderli perfettamente efficienti e prevedibili, introduciamo intenzionalmente piccole quantità di comportamento randomico (casualità o inefficienza) nella gestione dei dati e delle risorse, il che rende molto più difficile per gli attaccanti manipolare con precisione il sistema per portarlo in uno stato dove l’attacco Rare High-Impact è facilmente eseguibile”.
Una soluzione per mantenere i costi
Sul piano dei costi la soluzione permette di contenerli. “la soluzione non comporta costi economici aggiuntivi. La protezione aggiuntiva deriva esclusivamente da una riorganizzazione del protocollo di gestione delle risorse, che modifica il modo in cui il sistema reagisce agli eventi senza cambiare l’infrastruttura esistente”.
La prevedibilità di un sistema ottimale è data dalla sicurezza che ha l’attaccante di ciò che succederà se prova un attacco.
Tale sicurezza lo porta a costruire uno scenario di attacco che fa leva su questa sicurezza di accadimento.
“La nostra soluzione rompe questa dinamica”. L’introduzione di una performance meno ottimale, per così dire, rende incerto per l’attaccante il comportamento della difesa costringendolo ad un effort maggiore.
“Introducendo una piccola dose di imprevedibilità, e rinunciando solo a una parte minima dell’efficienza, il comportamento del sistema diventa molto più difficile da anticipare. Di conseguenza, lo stesso attacco che prima richiede poche decine di mosse diventa estremamente complesso: il numero di azioni necessarie per l’attaccante cresce di ordini di grandezza”.
Questo maggiore effort costa tempo e risorse e può contribuire a scoraggiare l’avversario.
Generalizzazione della soluzione ad altri casi
Gli elementi di soluzione validati con il caso di studio esposto nel paper e che riguardano la protezione di frontiere a mezzo di sistema di droni, possono essere generalizzati ad ogni altro caso.
Spiega il prof. Mancini perché “il principio su cui si basa la soluzione ad un evento ‘cigno nero’ è generale. L’idea centrale è semplice: evitare che un sistema reagisca sempre nello stesso modo, seguendo rigidamente la soluzione più efficiente. Questo tipo di prevedibilità è comune in molti sistemi complessi. Introducendo una piccola dose di imprevedibilità nel comportamento del sistema, senza modificare l’hardware o aumentare le risorse impiegate, è possibile rendere molto più difficile per un attaccante anticiparne le reazioni”.
Anche sul fronte dei costi l’organizzazione trae un beneficio.
“Accettando costi modesti e continui (leggera inefficienza, casualità controllata), le organizzazioni possono proteggersi da guasti estremamente rari ma devastanti”.
I dettagli di questa parte della ricerca sono discussi nella sezione VI. General methodology for identifying and mitigating rare high-impact cyber threats.
L’importanza della ricerca applicata alla cyber security
Gli elementi della ricerca Svolta dal Prof. Mancini insieme ad altri ricercatori dell’Università “La Sapienza” di Roma e del Centro per i sistemi informativi sicuri, George Mason University, Fairfax, costituiscono un risultato tangibile e applicabile di uno dei progetti di ricerca che insistono sulla cyber security.
In Italia è la Fondazione SERICS con i suoi spoke divisi per area tematica che ha dato un certo impulso alla ricerca specialistica sui temi più urgenti della cyber security e che recentemente ha divulgato tali risultati durante una conferenza nazionale in cui sono stati forniti “Tutti i numeri e i risultati della ricerca italiana in cyber security”.
Un ulteriore significativo evento di divulgazione per la ricerca sulla sicurezza informatica è il Simposio Europeo sulla Ricerca in Sicurezza Informatica (ESORICS 2026) prevista a settembre 2026 che ha aperto la call per la sottomissione di lavori di ricerca originali.
Fondato nel 1990, il Simposio Europeo sulla Ricerca in Sicurezza Informatica è il principale evento di ricerca europeo in questo campo e ha l’obiettivo di promuovere la ricerca sulla sicurezza informatica attraverso la creazione di un forum europeo che riunisca ricercatori del settore, promuova lo scambio di idee con gli sviluppatori di sistemi e favorisca la collaborazione con le comunità di ricerca correlate.
L’auspicio è che le aziende italiane possano partecipare attivamente a questo e ad altri eventi della ricerca italiana ed europea e ricucire così quella relazione con la ricerca applicata che, da troppo tempo manca, per riavviare una vera partnership nazionale ed europea, capace finalmente di costruire una capacità sovrana e resiliente sul fronte digitale.
