Privacy & Società Lunedì, 20 Maggio 2024 19:37
I dati raccolti nel rapporto Clusit 2024, presentato al Security Summit del 19 marzo e giunto alla sua dodicesima edizione, appuntamento ormai imprescindibile che fornisce una analisi dettagliata degli incidenti di sicurezza più significativi avvenuti negli ultimi 4 anni a livello globale (Italia inclusa), testimoniano ancora una volta una situazione in costante peggioramento. Come è consuetudine, i dati inclusi nel rapporto si riferiscono unicamente agli incidenti gravi, andati a buon fine e resi noti: si tratta pertanto di una fotografia parziale della reale situazione. Tra le fonti, sono state utilizzate il Security Operations Center (SOC) di Fastweb e Polizia Postale e delle Comunicazioni.
Confrontando i dati del 2019 con quelli del 2023 la crescita degli attacchi noti è stata del 60% (da 1.667 a 2.779). Nel 2023 gli attacchi sono aumentati dell’11% a livello globale, mentre in Italia riscontriamo un +65%: assistiamo quindi a una costante trend negativo in termini di frequenza, ma anche da un punto di vista qualitativo, poiché nel 2023 gli attacchi classificati come critici o gravi si attestano intorno all’ 81% del totale, un numero estremamente elevato se pensiamo che erano il 47% nel 2019. Già nel 2021 il rapporto commentava che “siamo di fronte a problematiche che per natura, gravità e dimensione travalicano costantemente i confini dell’ICT e della stessa Cyber Security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica”, a cui nel 2022 si sono aggiunte le criticità derivanti dal conflitto Russo-Ucraino, che ha accelerato, condizionato e incrementato le capacità cibernetiche offensive impiegate da entrambi i concorrenti, e in generale da tutti gli attori coinvolti, a supporto di attività di cyber-intelligence, cyber-warfare e campagne di disinformazione di massa, in cui la Russia in particolare si è rivelata particolarmente attiva. In generale quindi, accanto ai “danni crescenti causati dal cybercrime e dalle normali attività di intelligence a cui assistiamo da molti anni”, dal 2022 “siamo entrati in una nuova fase di guerra cibernetica diffusa, che si conferma in crescita anche nel 2023”.
Se il rapporto del 2022 metteva in luce come l’Italia fosse nel mirino, il rapporto attuale suggerisce l’idea che l’Italia sia un paese particolarmente facile agli attacchi. Tra il 2019 e il 2023, sono stati ben 653 gli attacchi noti di particolare gravità che hanno coinvolto realtà italiane: di questi, ben 310 sono avvenuti solo nell’ultimo anno. Il dato è preoccupante, soprattutto se confrontato con la situazione globale: a fronte di un +65% degli attacchi in Italia nell’ultimo anno, corrisponde un più contenuto +12% a livello globale. Gli attacchi in Italia si confermano in crescita a un ritmo elevato, sia probabilmente per la tendenza dei cybercriminali ad attaccare vittime italiane, sia probabilmente, dice il rapporto, a causa di una scarsa capacità delle stesse a proteggersi in maniera adeguata.
E questo trend appare preoccupante se confrontato con gli investimenti in sicurezza che in Italia sono cresciuti, come riscontrato dall’ Osservatorio Cybersecurity e Data Protection del Politecnico di Milano. Per quanto riguarda la tipologia degli attacchi verso l’Italia, il 64% del totale riguarda il CyberCrime, ovvero tutti quegli attacchi informatici compiuti attraverso l’uso di internet, confermando la tendenza globale, mentre il 36% si classifica come Hacktivism, termine derivato dalla fusione di Hack e Activism che sta ad indicare un attacco informatico perpetrato per scopi politici o sociali. Non hanno invece una rilevanza significativa nel nostro paese gli attacchi di tipo Espionage/Sabotage o Information Warfare (guerra dell’informazione), che invece si riscontrano a livello globale.
Mentre il peso degli attacchi di tipo CyberCrime diminuisce (100% nel 2021 e 93% nel 2022), sebbene in linea generale gli attacchi di questo tipo abbiano un trend in crescita, ciò che colpisce a livello italiano è l’incremento degli attacchi Hacktivism, dal 7% del 2022 al +36% del 2023, con un aumento del 761% e che, rispetto alla situazione globale, sembrano causare in Italia conseguenze di maggior portata, probabilmente a causa di minori capacità di prevenzione e mitigazione della media delle piccole e medie imprese e pubbliche amministrazioni italiane. Con riferimento alle tipologie delle vittime, la categoria più colpita è quella del Government (19%) grazie all’escalation degli eventi Hacktivism, seguita dal Manufacturing (13%): si tratta di una distribuzione significativamente diversa rispetto al trend mondiale, dove le tue tipologie si attestano sul 12% e 6%. Non è un caso, quindi, che un quarto del totale degli attacchi rivolti al Manufacturing a livello globale riguardi realtà manifatturiere italiane.
La tecnica dominante è costituita dagli attacchi DDoS (Distributed Denial of Service), che passano dal 4% del 2022 a ben il 36% del 2023: questo perchè gli attacchi di tipo Hacktivist hanno lo scopo di innalzare l’attenzione sulla loro causa e la violazione di un sito web, interrompendone l’operatività, attraverso un attacco DDoS è solitamente un mezzo efficace per veicolare al grande pubblico il proprio messaggio di denuncia o protesta. Gli attacchi che sfruttano la tecnica del malware scendono in seconda posizione, passando dal 53% del 2022 al 33% del 2023, sebbene tali incidenti aumentino leggermente in valore assoluto (+4%). Anche la categoria di attacchi unknown, ovvero quegli attacchi per i quali le tecniche utilizzate non sono di pubblico dominio, registra una leggera decrescita (17% del 2023 contro il 27% del 2022), probabilmente come conseguenza dell’avvento di diverse normative che impongono l’obbligo di segnalazione di alcune tipologie di incidenti.
Gli attacchi di tipo phishing rispetto al totale crescono solo di un punto percentuale, sebbene in valore assoluto in Italia crescano di un +87%. Per quanto riguarda la severity degli attacchi compiuti verso l’Italia, quelli High sono confrontabili con il resto del mondo (43% in Italia contro il 42%), quelli Critical hanno una percentuale molto più bassa (13%) mentre i Medium sono molto più alti (43% in Italia contro il 19% del resto del mondo) e in costante crescita (+25% rispetto al 2022): e ciò che i dati sembrano suggerire è che in Italia avvengono tutta una serie di attacchi di minore impatto che negli altri paesi probabilmente vengono mediamente prevenuti o mitigati in misura maggiore.
L’analisi dei dati del rapporto Clusit definisce un quadro preoccupante della capacità di protezione sia delle organizzazioni pubbliche sia delle imprese private italiane: è evidente che le tecniche di difesa introdotte non sono all’altezza e la presenza di vulnerabilità e la scarsa capacità e attenzione nel gestirle rende questi obiettivi particolarmente appetibili per gli hacker. Si tratta di una tendenza da seguire con attenzione, dice il report, che rischia di peggiorare ulteriormente, dal momento che le tecniche di attacco sono sempre più sofisticate e mirate, anche grazie all’impiego dell’Intelligenza Artificiale, ed è necessario che anche le contromisure adottate dagli attaccati si adeguino al livello tecnologico degli attaccanti e alla qualità degli attacchi.
Le conclusioni del report sono senza appello: appare evidente quanto sia necessario rafforzare la governance della sicurezza e la capacità di identificare, analizzare, valutare e gestire i rischi informatici, sia in maniera preventiva che nell’applicazione di mitigazioni, tenendo anche a mente la possibilità di trasferire il rischio verso terzi, che non significa per forza una copertura assicurativa, oggi sempre più costosa e improbabile, ma vuol dire ad esempio trasferire l’onere dell’implementazione delle misure di mitigazione a un outsourcing di qualità.
E’ oramai chiaramente fondamentale la capacità di determinare, anticipare, reagire e gestire i rischi informatici, e potremmo dire anche quelli della protezione dei dati, legate ai rischi interni all’organizzazione, ma anche e soprattutto a quelli esterni.
Il report ribadisce, ancora una volta, quando sia determinante il fattore umano e la consapevolezza delle persone: la crescita degli attacchi di phishing (+87%) e di ingegneria sociale dimostrano che quanto è stato fatto fino ad oggi non è ancora abbastanza.
Manca cioè quella cultura della sicurezza che deve essere parte delle conoscenze di ciascun individuo, perchè nulla può la misura di sicurezza più efficace contro un comportamento poco consapevole e superficiale. Un altro annoso problema, mai risolto, ribadito dal report, rimane la gestione delle Vulnerabilità e il Patch Management: è necessario superare il concetto che la security si fa durante la scrittura del codice sorgente, perchè essa va considerata durante l’intero ciclo di vita di un prodotto (quello che viene chiamato Secure Software Development LifeCycle – SSDLC), sia durante lo sviluppo Waterfall o l’intero processo di sviluppo Agile (SecDevOps), adottando soluzioni che affrontino efficacemente l’ambito della sicurezza delle applicazioni su ogni elemento (servizi esposti, front end, middleware, storage dati, applicazioni mobili, IoT, AI). In altre parole, soprattutto in Italia, siamo ancora lontani dalle logiche di security by design, che dovrebbero essere applicate fin dalla progettazione di un certo servizio, indipendentemente se si tratti di soluzione on premise or cloud, con particolare riguardo alla gestione dei processi di sourcing e delle terze parti, non solo in ottica di compliance ma soprattutto in quella della tutela aziendale.
Guardando al prossimo futuro, particolare attenzione dovrà essere posta verso l’utilizzo dell’AI nell’ambito dei processi di business delle imprese: sarà necessario comprendere quali saranno i nuovi utilizzi di questa tecnologia, oggi per certi aspetti ancora inimmaginabili, e i rischi associati, senza dimenticarne la pervasività, in quanto quasi certamente l’AI tenderà a sostituire o a completare l’attività umana e automatizzata: ciò che ci aspettiamo è che i rischi tradizionali che oggi facciamo fatica a gestire e mitigare, avranno una impennata in termini di impatto quando associati a questi usi. Inevitabilmente, ancora una volta i temi centrali saranno quelli dell’Etica e della Sovranità Digitale, che non possono esistere senza le garanzie sulla sicurezza delle informazioni.