Nessun freno ai cyber attacchi e le aziende corrono ai ripari

I dati raccolti nel Rapporto Clusit: 757 episodi gravi nel primo semestre del 2019
Pagine a cura di Roxy Tomasicchio

Settecentocinquantasette attacchi gravi nei primi sei mesi dell’anno; 126 ogni mese, in crescita (+1,3%) rispetto al primo semestre del 2018, anno che era già stato definito l’anno peggiore di sempre per l’evoluzione delle minacce cyber . Sono questi, infatti, i numeri sulla sicurezza Ict, raccolti nella nuova edizione del Rapporto Clusit, redatto dalla Associazione italiana per la sicurezza informatica, giunto al suo ottavo anno (alla quindicesima edizione, considerando anche gli aggiornamenti semestrali) e presentato a Verona, nel corso del convegno Security Summit. Ma le imprese non stanno a guardare: nove su dieci intendono investire di più del passato (30%) o in modo stabile (60%) in sicurezza.
Ancora nessuna inversione di tendenza, quindi: sono stati analizzati i più gravi cyber attacchi di dominio pubblico avvenuti a livello globale (Italia inclusa) e la cifra, quindi, rappresenta un campione limitato, seppur significativo, rispetto al numero degli attacchi informatici gravi effettivamente avvenuti nel periodo in esame in quanto un buon numero di aggressioni non diventano mai di dominio pubblico (o lo diventano ad anni di distanza). Sono stati studiati oltre 9.174 incidenti noti avvenuti tra gennaio 2011 e giugno 2019, dei quali 1.552 nel 2018 (+77,8% rispetto al 2014, +37,7% rispetto al 2017), e 757 nel primo semestre 2019. In termini assoluti è il cyber crime a farla da padrone. È la tipologia di attacco più diffusa e consiste nell’estorcere denaro alle vittime sottraendo, per esempio, informazioni: da sola copre l’85% degli attacchi a livello globale e la tendenza è in crescita dell’8,3% rispetto allo stesso periodo dell’anno precedente. Già nel 2014 il cyber crime si era confermato la prima causa di attacchi gravi a livello globale (allora era al 60% dei casi poi è passato al 68% nel 2015, 72% nel 2016, 76% nel 2017 e 79% nel 2018), mostrando una tendenza inequivocabile: già dal 2016 si è assistito alla diffusione ormai endemica di attività cyber criminali «spicciole» come le campagne di estorsione realizzate tramite phishing e ransomware, che hanno colpito anche moltissime organizzazioni e cittadini italiani).
Stabili, invece gli attacchi riconducibili allo spionaggio cyber (cyber espionage, dal 13 all’11%), e alla guerra delle informazioni (information warfare, dal 4 al 2%). L’hacktivism (attacchi informatici per finalità politiche o sociali, soprattutto dimostrative. Caso tipico sono gli attacchi contro le forze dell’ordine) diminuisce ulteriormente, passando da quasi un terzo dei casi analizzati nel 2014 al 2% del primo semestre 2019.
Dal punto di vista dei soggetti colpiti, nel semestre, in termini assoluti il numero maggiore di attacchi gravi è stato messo a segno contro la cosiddetta categoria «Multiple Targets», pari al 21% del totale, in aumento del 16,3% rispetto allo stesso semestre del 2018. Si tratta di attacchi compiuti in parallelo dallo stesso gruppo di attaccanti contro molteplici organizzazioni appartenenti a categorie differenti. Questo, secondo gli esperti Clusit, conferma non solo che tutti sono ormai diventati bersagli, ma anche che gli attaccanti sono diventati sempre più aggressivi e organizzati e possono condurre operazioni su scala sempre maggiore, con una logica industriale, a prescindere da vincoli territoriali e dalla tipologia dei bersagli, puntando solo a massimizzare il risultato economico. Particolarmente colpita nei primi sei mesi del 2019 anche la categoria «Online Services / Cloud», verso la quale sono stati perpetrati il 14% degli attacchi, con una crescita del 49,3% rispetto allo stesso periodo dello scorso anno. Il settore della sanità ha subito da gennaio a giugno 2019 un aumento degli attacchi del 31%, toccando quota 97, rispetto al primo semestre 2018: mai dal 2011 (anno della pubblicazione del primo Rapporto Clusit) le strutture sanitarie sono state così bersagliate. Segue la Grande distribuzione organizzata (Gdo) e retail, con un incremento degli attacchi del 40%, mentre diminuiscono gli attacchi gravi verso le categorie «Government» (-17,5%) e «Banking/Finance» (-35,4%).
Per quanto riguarda le tecniche di attacco, secondo i ricercatori Clusit, per conseguire la gran parte dei loro obiettivi gli attaccanti possono fare affidamento sull’efficacia di malware «semplice», prodotto industrialmente a costi decrescenti, e su tecniche di Phishing e Social Engineering: questi due vettori d’attacco mostrano infatti una crescita del 104,8% rispetto al primo semestre dello scorso anno.
Le tecniche sconosciute (categoria «Unknown») si confermano al secondo posto, pur con una diminuzione del 23,8% rispetto allo stesso periodo del 2018, superate dalla categoria «Malware», in crescita del 5,1%, e saldamente al primo posto in termini assoluti, rappresentando il 41% del totale nel periodo (contro il 38% nel primo semestre 2018). Tuttavia, per comprendere pienamente il trend osservato di crescita del malware, i ricercatori Clusit suggeriscono di sommare al dato di crescita del Malware «semplice» anche quello relativo agli attacchi della categoria «Multiple Techniques /APT», più articolati e sofisticati, per quanto quasi sempre basati anche sull’utilizzo di malware, concludendo che il malware rappresenti ormai complessivamente il 45,5% delle tecniche di attacco utilizzate.
Ritornano inoltre a crescere nel primo semestre 2019 in modo significativo gli attacchi basati su tecniche di «Account Hacking /Cracking» (+88,9% rispetto al primo semestre 2018).

La risposta delle imprese. Non manca il contributo di Idc Italia relativo a «Il mercato italiano della Sicurezza IT», contenuto all’interno del Rapporto Clusit, secondo cui, nel 2019 la sicurezza informatica si confermerà come il campo di una intensa competizione tecnologica fra gli operatori, il cyber crime e gli stati. Dalle ultime indagini condotte sul segmento delle imprese sopra i 50 addetti in merito alle previsioni di investimento in area Ict, emergono prospettive positive per il 2019: circa il 30% prevede una sostanziale espansione del budget rispetto all’anno precedente; circa il 60% delle imprese annuncia un budget stabile, mentre soltanto il 10% segnala una potenziale riduzione. Ancora più nel dettaglio, il 32% delle imprese italiane dedica alle tecnologie per la sicurezza fino al 3% del budget Ict; il 26% tra il 3 e il 10%; soltanto il 4% investe oltre il 10% del proprio budget Ict. Così come la congiuntura economica generale ha un impatto determinante nella definizione del budget Ict, allo stesso modo le dinamiche del budget ICT determinano in modo diretto gli investimenti disponibili per la Sicurezza It, con un raggio di variazione da un decimo fino al doppio della media. Altro fattore che incide nella definizione del budget destinato alla sicurezza è dato dalla specifica considerazione attribuita a tali tecnologie come autonome voci di spesa tra i capitoli di investimento del budget Ict: oltre il 40% delle imprese indica la sicurezza It come un investimento strategico per abilitare nuovi modelli, circa il 30% la indica come una semplice voce di spesa corrente come molte altre, circa il 10% la considera niente di più di un costo del tutto contingente.

Andrea Zapparoli Manzoni, tra gli autori del Rapporto Clusit, spiega trend e scenari
Una difesa ad armi spuntate

Contro la cyber guerriglia le imprese combattono ad armi spuntate non solo per una carenza culturale, ma anche per le difficoltà economiche da fronteggiare. In soccorso è arrivato il decreto legge sulla sicurezza informatica ma che nasce già un po’ zoppo in quanto nulla può sulla responsabilità dei produttori di software e hardware. A spiegare a ItaliaOggi Sette lo scenario cibernetico è Andrea Zapparoli Manzoni, tra gli autori del Rapporto Clusit.

Domanda. Nel quinquennio 2014 – 2018 la crescita degli attacchi gravi è stata del 77,8%: una vera e propria guerra? O uno degli effetti di digitalizzazione e globalizzazione?
Risposta. Sono vere entrambe le cose. Da un lato l’aggressività e la numerosità degli attaccanti è sensibilmente aumentata, dall’altro il numero di persone, device e piattaforme connesse (e quindi attaccabili) è aumentato a sua volta. Nel Rapporto 2019 abbiamo scritto che si tratta non di una guerra quanto piuttosto di una cyber guerriglia permanente, da parte di tutti contro tutti (criminali, spie, militari, gruppi privati) il che naturalmente prefigura scenari preoccupanti nei quali, per l’errore, la follia o la malizia di qualcuno, le cose potrebbero precipitare molto velocemente. Siamo in una fase molto delicata.
D. Che armi hanno le imprese per fronteggiare o prevenire gli attacchi?
R. Oggettivamente non molte, ma non è questo il punto. La verità è che le aziende non riescono ancora a mettere in campo nemmeno quei pochi strumenti che potrebbero ridurre i loro rischi «cyber » a livelli accettabili. Il primo problema è certamente culturale, la sensazione è che non si sia ancora capito di stare seduti su una polveriera con la miccia accesa, c’è una grande sottovalutazione delle minacce. Il secondo problema è economico: nessuno aveva previsto di dover spendere in sicurezza una frazione significativa di quanto investe in It, oltretutto crescente, per cui queste risorse oggettivamente non ci sono, e di conseguenza i budget di cyber security sono 1/10 di quanto dovrebbero essere. A causa di questi due fattori oggi i difensori in media non sono in grado di contenere gli attaccanti.
D. Come si stanno muovendo le imprese italiane?
R. Secondo il contributo Idc «Il mercato italiano della Sicurezza It: analisi, prospettive e tendenze» riportato nel Rapporto Clusit 2019 (si veda altro servizio nella pagina precedente, ndr), il 32% delle imprese italiane sopra i 50 addetti dedica alle tecnologie per la sicurezza fino al 3% del budget Ict, il 26% tra il 3 e il 10%, soltanto il 4% investe oltre il 10% del proprio budget Ict. In generale, la trasformazione digitale, che pure viene riconosciuta come fattore di sviluppo molto importante dalle imprese, da sola non sembra avere la forza di incidere sulla dimensione effettiva del budget, soprattutto quando il budget della sicurezza viene allocato sulla quota destinata alla manutenzione dell’It anziché su quella destinata all’innovazione. La tendenza è comunque diversificata: alcuni segmenti di aziende sembrano investire riconoscendo un ruolo strategico ad alcune soluzioni tecnologiche; una seconda parte del mercato non è ancora riuscita a comprendere come contestualizzare il tassello della sicurezza all’interno della «Digital Transformation» e delle priorità aziendali. Secondo i dati Idc, questo traduce concretamente in una differenza nell’intensità di investimento che può arrivare fino a sette volte.
D. Il 19 settembre scorso il consiglio dei ministri ha varato il decreto legge in materia di perimetro di sicurezza nazionale cibernetica. Il provvedimento va nella direzione giusta? Che impatto avrà? Ci sono altre misure da adottare?
R. Il provvedimento va certamente nella direzione giusta ma c’è un problema a monte che rende difficile la sua applicazione, pur con le migliori intenzioni. Il problema risiede nel fatto che i produttori di software e hardware non sono legalmente responsabili per i difetti dei loro prodotti (anomalia praticamente unica), come se fossimo ancora nel 1995 e l’It fosse agli albori. Nel 2019, per un settore maturo e strategico come l’It questo è inaccettabile, anche perché provoca di fatto tutte le conseguenze che osserviamo. Per quale ragione devono essere gli utenti finali a sobbarcarsi tutti i costi derivanti da un «baco» di un software che hanno pagato, e perché non esistono certificazioni di cyber sicurezza obbligatorie da conseguire a monte della messa in vendita di un qualsiasi prodotto informatico? Non è nel potere dei singoli Stati imporre queste certificazioni, dato che i produttori sono tutte multinazionali, ma andrebbe aperto un tavolo internazionale in merito, perché la situazione così può solo peggiorare. I singoli provvedimenti dei singoli Paesi sono un passo necessario e importante, ma non possono bastare.
D. Sempre a proposito di provvedimenti, il Gdpr che ruolo sta avendo contro gli attacchi cibernetici?
R. La Gdpr ha avuto il merito di introdurre nell’ordinamento concetti importanti e di richiedere una riflessione approfondita da parte delle organizzazioni, d’altra parte il controllo del rispetto di questi principi e soprattutto l’erogazione delle sanzioni (in teoria anche molto pesanti) previste dalla Gdpr sembra essere molto problematico. Allo stato attuale possiamo dire che la Gdpr ha avuto un impatto meno importante del previsto nella mitigazione degli attacchi cibernetici, la strada è ancora lunga.
© Riproduzione riservata
Fonte: