L’analisi matematica e dettagliatissima proposta dagli autori viene de facto ad offrirci la prima dimostrazione reale che lo scambio di informazioni sulle vulnerabilità, anche tra competitori, è l’arma più efficiente nella crescita della resilienza ed anche nell’economia di somme importanti, che vengono spesso spese in modo sbagliato (da capirsi come la creazione di un ”security competitive advantage”), che potrebbero allora essere usate per scopi molto più utili. Facendo astrazione degli algoritmi ed altri diagrammi ad uso degli addetti ai lavori, l’articolo brilla per i suoi riassunti grafici che parlano da sé. Essi dimostrano senza equivoco possibile, con simulazioni di situazioni reali con ditte reali, che le vulnerabilità della rete sono nettamente più ridotte se le ditte decidono di adottare un sistema di ”Nash Bargaining” (NB) – cioè scambiarsi regolarmente informazioni utili in un modo che non danneggi né la loro propria sicurezza né il vantaggio che hanno se usano il sistema ”Nash Equilibrium” (NE) – ovvero scambi di informazioni scarsi o nulli. Una ”terza via” è pure esaminata, quella del ”system-optimization” (S-O), dove tutte le capacità cyber ”ideali” di una ditta vengono portate al massimo, con uso massiccio di risorse. Ma, anche in questo scenario, i risultati si rivelano peggiori in paragone a quelli ottenuti se si adotta uno scambio di informazioni equo per tutti gli attori (idealmente un PPP).
Alla fine del testo, troviamo le economie realizzate dall’adozione di un framework cooperativo. Non sembrano a prima vista molto grandi, ma se vengono associate con una resilienza nettamente aumentata, costituiscono un punto supplementare a favore dell’assioma che non solo lo scenario collaborativo funziona, ma che produce pure benefici:
„An increase as high as 1.24 million in expected utility was observed for Target and 1.25 million for Home Depot if NB was employed instead of NE (…) Increases as high as 2.61 million for JPMC, 2.24 million for Citibank, and 4.25 million for HSBC in expected utility were observed if NB was adopted in place of NE”.
Non vi sono dubbi che questo studio diventerà uno degli argomenti più solidi nonché incontestabili venendo ad aiutare tutti i promotori della ”vulnerability disclosure” in Europa, come il GCSEC.