L’Italia si ritrova sempre di più nella morsa degli hacker e dei cybercriminali capaci di fare danno. L’annuale analisi del Clusit (Associazione Italiana per la Sicurezza Informatica, cui fanno capo 600 organizzazioni pubbliche e private) ha evidenziato che nel 2022 nel nostro Paese è andato a segno il 7,6% degli attacchi informatici “gravi” registrati a livello globali. Nella classificazione del Clusit, si tratta di operazioni cyber che hanno “un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica”.
Nel 2021 la percentuale italiana si limitava al 3,4% del totale. In altre parole, il numero dei cyberattacchi gravi è cresciuto del 169% in un anno: sono 188 quelli conteggiati dal Clusit. Quel che è più preoccupante, nell’83% dei casi l’episodio ha avuto conseguenze valutabili come “molto gravi”.
Nel nostro Paese il settore più attaccato è stato quello governativo, destinatario del 20% degli attacchi gravi, seguito a brevissima distanza dal comparto manifatturiero (19%). Guardando al confronto con l’anno precedente, nel 2022 sono aumentati soprattutto gli incidenti informatici nell’ambito dei servizi professionali e del settore tecnico-scientifico (+233,3%), nell’industria manifatturiera (+191,7%), nel settore informatico, (+100%) e governativo-militare (+65,2%).
“È necessaria una ulteriore evoluzione nell’approccio alla cybersecurity”, ha dichiarato il presidente di Clusit, Gabriele Faggioli, commentando i dati relativi all’Italia. “Occorre non solo che permanga il driver normativo, ma che si mettano in atto a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità. Serve inoltre pensare in ottica di razionalizzazione degli adempimenti normativi, oltre a evolvere in chiave di economia di scala, di condivisione della conoscenza, delle risorse e dei costi cyber, considerando che tanti piccoli investimenti autonomi non fanno una grande difesa ma solo tante inefficienti difese”.
“Auspichiamo”, ha proseguito Faggioli, “che in Italia le iniziative istituzionali siano sostenute anche dalle singole imprese e pubbliche amministrazioni, in un’ottica di collaborazione pubblico-privato, tramite la costituzione e l’evoluzione di processi adeguati di monitoraggio della sicurezza, incident management, crisis management, e servizi Soc, tra gli altri”.
Il pericolo nella banalità
A livello globale, l’anno scorso sono stati rilevati 2.489 incidenti gravi, ovvero 440 in più rispetto al 2021, per una crescita percentuale del 21%. Il picco massimo dell’anno – e di sempre – si è registrato nel mese di marzo, con 238 attacchi, e non è difficile collegare questo record alle note vicende belliche e geopolitiche, che hanno movimentato uno sciame di ransomware, hackeraggi e DDoS.
Sul totale degli incidenti informatici gravi, prevale comunque nettamente, ancora, il cybercrimine, ovvero l’insieme delle attività finalizzate alla truffa, al furto di dati o segreti industriali, e in ultima istanza alla monetizzazione. A livello mondiale rappresentano l’82% dei casi censiti e il loro numero è cresciuto del 15% da un anno all’altro (ma ben del 150% in Italia). Il ransomware è ormai una delle modalità di attacco prevalenti, considerata la bassa soglia di accesso (economico e tecnico) a questo tipo di programmi e gli immediati ritorni economici tramite richiesta di riscatto per la “liberazione” dei dati.
Anche nel nostro Paese, come nel resto del mondo, prevalgono gli attacchi realizzati tramite malware, che rappresentano il 53% del totale italiano, un valore che supera di sei punti percentuali il dato globale. In Italia, notano i ricercatori di Clusit, gli incidenti in questo settore hanno impatti gravi o gravissimi nel 95% dei casi. Per quanto riguarda l’incidenza numerica delle operazioni DDoS (Distributed Denial-of-Service) sul totale degli attacchi gravi, il dato italiano del 4% è inferiore al 6% di media mondiale. Un altro 8% sul totale italiano è rappresentato dagli attacchi di phishing e di ingegneria sociale, mentre la quota degli exploit di vulnerabilità note è pari al 6%.
A corredo di questi dati ci sono le statistiche del Security Operation Center di Fastweb, che anche quest’anno ha contribuito al report. Sull’infrastruttura di rete di Fastweb (oltre 6,5 milioni di indirizzi IP pubblici) nel 2021 sono stati registrati più di 56 milioni di eventi di sicurezza, con un incremento del 25% rispetto al 2021. In controtendenza alcune categorie, ovvero gli attacchi DDoS (-25%), i servizi critici esposti su internet (-9%) e i malware rilevati (in calo del 4%, ma in compenso è aumentato del 22% il numero di varianti).
“Gli attacchi nel nostro Paese vengono compiuti con tecniche quasi sempre standardizzate, ormai frutto dell’industria del cyber-crime che è la matrice prevalente delle attività malevole. Questo conferma come l’aumento degli attacchi in Italia sia con-causato da forti limiti nella capacità di difesa delle vittime”, ha commentato Alessio Pennasilico, membro del Comitato Scientifico di Clusit e coautore del report.
Le aziende impareranno sempre meglio a proteggersi? I ricercatori del Clusit pensano di sì, ma sottolineano che oggi i processi di gestione delle vulnerabilità e degli aggiornamenti di sicurezza nelle aziende italiane sono ancora inefficaci. I ricercatori prevedono che, tendenzialmente, i cybercriminali adotteranno sempre più tecniche di attacco meno impegnative e più redditizie, come le campagne malware. Per fare danni a volte basta poco: a livello globale, il 64% degli incidenti gravi è partito da un’azione “maldestra” di un dipendente (a volte anche di un addetto all’IT), come per esempio un download di un allegato malevolo o un click frettoloso.
“Ritroviamo malware, vulnerabilità, phishing e social engineering ed account cracking ancora tra le tecniche più utilizzate dai criminali informatici”, sottolinea Pennasilico. “Questo significa che ancora non sappiamo gestire correttamente i nostri account, non teniamo aggiornati i nostri dispositivi, server o servizi e clicchiamo incautamente link pericolosi nelle email”.
Chi sono i bersagli? A livello mondiale le principali vittime di attacchi gravi rientrano nella categoria “onnicomprensiva” dei target multipli (22% dei casi), con numeri in crescita del 97% rispetto al 2021: si tratta di tratta di campagne di attacco non mirate e opportunistiche. Seguono il settore governativo e delle pubbliche amministrazioni (12% degli attacchi, con numeri in crescita del 25% in cinque anni), la sanità (12%, in crescita anno su anno), l’industria informatica (11%, in leggero calo), scuole e università (8%, in leggero calo) e il settore di informazione e media (5%, in forte crescita nell’ultimo biennio anche per effetto della guerra in Ucraina, che ha alimentato azioni di defacing, hackeraggi e disinformazione).
Gli attacchi gravi rivolti all’Europa hanno rappresentato nel 2022 il 24% del totale attacchi globali, dato in crescita di tre punti percentuali rispetto al 2021 e raddoppiato nell’arco di cinque anni.
Tra information warfare e hacktivismo
Ben inferiori, rispetto ai numeri del cybercrimine, sono gli attacchi gravi con finalità di spionaggio e sabotaggio (11% dei casi totali), di information warfare (4%) e di hacktivismo (3%). Le percentuali basse non devono però ingannare: queste attività nel 2022 hanno raggiunto i propri massimi storici.
“Supponiamo che la crescita di information warfare e soprattutto di attivismo possa essere dovuta almeno in parte alla guerra in Ucraina, che ha stimolato le azioni degli attivisti anche sulla rete e ha sollecitato la diffusione di informazioni di propaganda e contro-propaganda”, ha dichiarato Sofia Scozzari, membro del Comitato Direttivo Clusit, tra gli autori del rapporto. “Analizzando i dati degli attaccanti, tuttavia, dobbiamo anche considerare che governi potrebbero aver perpetrato i propri attacchi con modalità attribuibili ad altri attori, senza ovviamente rivendicare pubblicamente le loro operazioni. Quanto all’hacktivism, oggi molte campagne tese a colpire la reputazione delle organizzazioni sono molto più efficaci sui social che non con defacement o tecniche analoghe”.
I ricercatori del Clusit sottolineano che negli ultimi cinque anni si è verificato un cambiamento sostanziale nei livelli di cyber-insicurezza mondiali, mentre le contromisure adottate dai difensori non si sono evolute di pari passo. Tra il 2018 e il 2022 si è vista a livello mondiale una crescita degli attacchi gravi pari al 60%. D’altra parte dei rischi materiali connessi a una cyberwar si discute da decenni e i punti d