logo

CybergON Blog

Advancing the State of Cybersecurity.

Business Model Canvas: dark edition

Business Model Canvas: cos’è e perchè è uno strumento chiave per la security?

Intanto andiamo con ordine e partiamo dal vocabolario e, ovviamente, dalla storia. Il Business Model Canvas, inventato da A. Osterwalder e diffuso agli appassionati di tutto il mondo con il libro Business Model Generations (Osterwalder, Alexander; Pigneur, Yves; Clark, Tim (2010) Business Model Generation: A Handbook For Visionaries, Game Changers, and Challengers) ha il grande pregio di riuscire a creare un’immagine della strategia - del modo in cui si conducono gli affari - di una azienda. Vi riesce in quanto strumento eccezionale per creare legami, connessioni, tra gli asset principali dell’azienda e i bisogni dei propri clienti. È però anche uno strumento estremamente flessibile, tanto che lo abbiamo velocemente adattato alle strategie di Cyber Security.

BMC1

Nel modello originale si mettono i costi nella parte di sinistra e i ricavi in quella di destra con l’unico punto di contatto che è il “valore” generato dai costi e per il quale i clienti sono disposti a spendere generando i ricavi.

Business Model Canvas: la versione dark

La versione “dark”, invece, pone nella parte di destra i motivi per un attacco e in quella sinistra, quelli per una difesa. Al centro rimane il valore, quello generato dall’azienda ed interessante per “gli operatori del mercato oscuro della Cyber Security”. I ricavi diventano perdite, ossia guadagni per il mondo oscuro. Gartner stima che l’ammontare teorico di queste perdite, per il mercato globale, arrivino alla stratosferica cifra di millecinquecento miliardi di euro. Suddivisi in:

BMC2

Lo spaccato degli introiti per tipologia è stato calcolato in uno dei più dettagliati studi mai fatti sul tema, quello di Mike McGuire (“Into the Web of Profit” Report):

Il valore del mercato del Cyber-Crime diventa per ovvie ragioni il fulcro del nostro ragionamento.

La crescita vertiginosa dei ricavi e del numero di persone occupate deve far riflettere chiunque sia connesso e sfrutti servizi della rete. Diverse agenzie di intelligence stanno diffondendo analisi e dati sul tema. Basti pensare che si stima ci siano circa 3,5 milioni di programmatori che lavorano per queste organizzazioni. Ma non solo vi lavorano, sembra anche che lo facciano in cambio di compensi molto interessanti, soprattutto se parametrizzati all’area geografica di provenienza.

Ad esempio, ci permette di capire come mai Apple abbia messo una taglia da un milione di dollari per chiunque segnali una zero-day-vulnarability relativa ai suoi sistemi. La cifra non è simbolica, bensì pesata: una vulnerabilità di quel tipo per iOS o MacOS è acquistabile sul dark-web per una cifra che va dai 400 mila ai 700 mila dollari. Secondo una legge economica non scritta, è presumibile che si debba pagare un premio del 30% sul prezzo visto il rischio che queste persone avrebbero uscendo allo scoperto.

Business Model Canvas come strumento per capire quanto ci costa una breccia

Quindi, stabilito che il principale motivo per cui veniamo attaccati è per avere un vantaggio economico, cosa potrebbe esserci di meglio del Business Model Canvas per individuare il rapporto tra costi e ricavi con i secondi in accezione di mancate uscite/perdite. Per farlo abbiamo rivisto i blocchi su un piano strategico differente ma mantenendo la logica iniziale. Come detto, la vera differenza sta nei ricavi, in quanto l’obiettivo di questa versione è limitare le perdite.

Segmenti di clientela diventa Opponents: i soggetti interessati ai «Critical Assets». Come nella versione tradizionale il collegamento con il valore è fondamentale: bisogna sapere chi potrebbe essere interessato ad ottenerlo. Si tratta di profili potenziali, dalla fantapolitica del Cyberterrorista in caso di utility energetiche o industrie chimiche al più probabile ex-collaboratore scontento ed intenzionato a vendere qualche informazione riservata. Nel mare delle ipotesi solo chi conosce i propri asset è in grado di fare simulazioni realistiche.

Proposte di valore diventa Value for the opponent: il centro di tutto, il valore. Cambia l’azione: dal doverlo proporre al doverlo difendere, ma non cambia la centralità del blocco per il modello. Gli investimenti generano competitività quindi valore, tutto quello che un’azienda fa è per accrescerlo, che sia la capitalizzazione o il prezzo di vendita, tutto si consolida in questo blocco. Nel modello «dark» la questione un po’ si complica. Il valore per l’opponente può essere qualcosa di specifico da proteggere oppure una serie di cose generiche che comunque attraggono, come il semplice fatto di essere sul mercato o connesso alla rete. In ogni modo il valore da difendere (es: i dati sanitari dei pazienti) è spesso e volentieri ciò che si è creato con gli investimenti (costi).

Canali diventa Vulnerabilities: i sistemi sono vulnerabili, il codice è sempre imperfetto, attraverso queste imperfezioni sulle macchine possono eseguire comandi non previsti dalla nostra organizzazione. Le vulnerabilità sono uno dei due canali tramiti i quali gli opponenti accedono al valore. Le vulnerabilità sono di per sé valore, vedremo poi il perché.

Relazione con i clienti diventa People Vulnerabilities: eccoci al fattore umano, sempre presente e imperfetto nella sua complessità. Sulle usanze, l’educazione tra le persone e la diseducazione verso gli strumenti digitali gli opponenti riescono ad avere accesso ad informazioni sensibili, superandolo molti se non tutti i sistemi di difesa.

Flussi di ricavi diventa Losses: equivalgono ai guadagni dato che quello che spendo per la difesa è un investimento per evitare perdite successive, esattamente come quando si investe per creare valore che diventerà un’entrata.

Risorse Chiave diventa Critical Assets: possono essere segreti industriali, informazioni riservate o qualunque dato oggetto di “compliance” verso leggi, regolamenti e contratti. Non vanno interpretati solo come informazioni da proteggere ma anche come la disponibilità dei sistemi che ne permettono lo sfruttamento legale. Dal punto di vista della strategia di difesa nulla cambia: l’informazione deve essere difesa sia contro il furto sia contro l’indisponibilità.

Attività Chiave diventa Security Operations: l’unico modo per «gestire» le vulnerabilità sono delle procedure che le tracciano, le identificano e ove non sia possibile risolverle, le isolano. Parliamo di un lavoro molto vasto, che non è fattibile da persone di buona volontà, servono processi automatizzati, procedure e piani di contingenza.

Partner Chiave diventa Training and Culture: le persone sono il vero “tallone di Achille” di una strategia di difesa, non importa il livello di sofisticazione, loro rimangono vulnerabili. Nonostante questo, non bisogna arrendersi. Investire in formazione e informazione continua, per creare cultura, è l’unica via. Andrebbe inquadrato come un percorso di studi per una corretta vita digitale. Porsi le domande giuste, applicare prudenza e buon senso, esattamente come si fa quando siamo turisti in una città sconosciuta.

Struttura dei corsi diventa Defence Costs: tutto quello che riguarda l’acquisizione di tecnologie, competenze e approntamento. Siano essi costi interni o esterni.

Business Model Canvas: qualche considerazione fondamentale

Prima considerazione importante: se vedete un’autostrada di connessioni logiche che attraversa tutto il Canvas allora potete considerarvi un target specifico. In questo caso è opportuno fare delle analisi che esulano lo spazio della Cyber Security e includono economia, politica, legislazione, ecc. In tutti gli altri casi, invece, potete comunque considerarvi un bersaglio generico; per la verità la differenza è minima: tutti sono target generici e solo alcuni lo sono specifici. Per questo consigliamo di adottare una strategia di Average Security (contattaci per sapere di cosa si tratta o attendi la prossima pubblicazione). Un piccolo spoiler: secondo questa teoria diventiamo interessanti per un opponente in funzione del numero di vulnerabilità che esponiamo!

Seconda considerazione importante: i canali. Lo abbiamo semplificato, ovviamente, ma i canali di attacco sono raggruppabili in due macro-aree: le vulnerabilità dei sistemi e quelle delle persone. Le prime possono essere tenute sotto controllo con procedure (Operations) che riguardano il monitoraggio, la correlazione, l’aggiornamento e il ripristino dei sistemi. Le seconde, invece, sono molto più complesse e sono inversamente proporzionali alla complessità applicata (“The real effect of security policies”). Solo con formazione e informazione continua, si può ambire a creare un livello culturale adeguato. Non è un caso se questi due blocchi “specchino” la loro controparte nella parte sinistra del Canvas. Investire su di loro crea valore, nell’accezione del modello in cui valore è impedire il drenaggio di risorse vitali: immateriali o finanziarie che siano.