Un salto quantico: è quello compiuto dal volume ma anche dalla pericolosità degli attacchi cybercrminali nel 2017, toccando livelli inimmaginabili solo pochi anni prima. L'ennesima preoccupante fotografia del rischio informatico (mondiale e italiano) giunge dal Clusit, l'Associazione Italiana per la Sicurezza Informatica - i cui soci rappresentano oltre 500 aziende e organizzazioni, e più precisamente dal report periodicamente realizzato con Astrea sulla base di una molteplicità di fonti (incluse analisi di Fastweb, Akamai e Idc). L'anno scorso sono stati osservati 1.127 attacchi catalogati come “gravi” in termini di perdite economiche, danni alla reputazione e furto di dati sensibili, e va anche detto che il numero reale è molto probabilmente più alto ancora. Molte aziende, università, ospedali ed enti pubblici, infatti, tendono a non pubblicizzare il fatto di aver subito un attacco, proprio per evitare contraccolpi sulla reputazione e sulla fiducia dei propri utenti.

 

In attesa di capire se con l'entrata in vigore del Gdpr questa pratica omertosa sia destinata a venir meno (il regolamento impone, infatti, l'obbligo di disclosure entro 72 ore dalla scoperta dell'attacco o incidente informatico), per il momento non resta che accettare che gli attacchi gravi del 2017 siano stati almeno 1.127. Il numero equivale a una crescita del 7% rispetto al 2016 e di ben il 240% rispetto al 2011, anno del primo “Rapporto Clusit”. A preoccupare l'associazione non è, tuttavia, solo l'andamento volumetrico del cybercrmine, quanto piuttosto la trasformazione qualitativa di un fenomeno che ha ormai pesanti impatti sull'economia, sulle dinamiche geopolitiche, sulla privacy dei cittadini.

 

Nello scenario attuale trovano posto alcune tendenze già affermate e confermate da moltissimi report sul tema: l'ascesa dei malware diretti ai terminali mobili, in particolare quelli con sistema operativo Android, e la grande popolarità dei ransomware (le infezioni con crittografia o blocco del dispositivo, associate alla richiesta di un “riscatto”). Ma ci sono anche trend emergenti come la trasformazione del phishing, tradizionalmente un'attività che giocato sui grandi numeri e ha fatto affidamento sull'ingenuità di percentuali utenti, ma che oggi diventa più sofisticata: si osservano, per esempio, campagne multicanale, in cui una vittima viene raggirata sia via email sia tramite Sms.

 

Ma il “caro e vecchio” software infetto, si fa per dire, anche quello più banale, continua a proliferare. “Il 2017 è stato l'anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”, ha sintetizzato Andrea Zapparoli, membro del comitato direttivo del Clusit. “La situazione che emerge dalla nostra analisi è molto preoccupante, perché questo scenario prefigura concretamente l'eventualità di attacchi con impatti sistemici molto gravi”. Due dinamiche complementari si sovrappongono. Da un lato, la massa delle attività cybercrminali “semplici” sta esplodendo, come dimostra il fatto che abbiano generato 500miliardi di guadagni illeciti nel 2017, cioè un volume cinque volte più grande di quello del 2011. Truffe, estorsioni e furti di denaro e furti di dati in dodici mesi hanno colpito quasi un miliardo di persone, causando ai soli privati cittadini una perdita stimata di 180 miliardi di dollari.

 

Dall'altro lato, gli attacchi più pericolosi e gravi nell'impatto, come quelli di cyberspionaggio e di furto dati, producono danni difficilmente quantificabili ma certamente in crescita e sono catalogati quasi sempre (nel 70-80% dei casi) come “critici”. Il crimine informatico a scopo di lucro, dunque, è un bel problema ma non è certo il peggiore se paragonato al pericolo di danni a infrastrutture industriali e impianti dell'energia, o a operazioni di manipolazione dell'opinione pubblica come quella del Russiagate.

 

Il principale vettore d'attacco nel 2017 è stato il malware prodotto “industrialmente”, un fenomeno che include anche i ransomware e è cresciuto del 95% rispetto al 2016 (quando già era aumentato del 116% rispetto all'anno precedente). E fa specie notare che gli attacchi catalogati come “gravi” siano stati compiuti nel 68% dei casi con tecniche banali, come DDoS, SQLi, sfruttamento di vulnerabilità note, phishing e malware semplice: questo significa che i malintenzionati vanno a bersaglio senza troppa fatica, in tempi brevi e a costi sempre minori. Crescono a cifra singola (+6%) ma in compenso rappresentano una tipologia più insidiosa di minaccia le Apt, Advanced Persistant Threath, operazioni che spesso prevedono anche l'uso di malware ma non solo. Ragionando invece in termini di obiettivi colpiti, possiamo dire che ormai un malware su cinque (20%) fra quelli rilevati nel corso del 2017 era diretto verso dispositivi mobili.

 

 

 

E l'Italia? La stima elaborata dal Clusit, sulla base di dati rilevati negli Stati Uniti e in Gran Bretagna nel 2016, è di un danno economico annuo da cybercrimine pari a 10 miliardi di euro. Per farsi un'idea di che cosa significhi, si pensi che la somma nazionale destinata agli investimenti in informatica è circa un decimo. Zapparoli non si fa mancare un'osservazione pungente: “Gli investimenti in sicurezza informatica nel nostro Paese sono ancora largamente insufficienti e ciò rischia di erodere i beneifici attesi dal processo di digitalizzazione della nostra società. Ad oggi, alla vigilia delle elezioni, riscontriamo che il dibattito poliitico in Italia sta dando risposte inadeguate al tema della sicurezza cyber”.