Servono nuovi strumenti operativi e competenze, mentre l’Europa chiede di estendere la sicurezza all’ecosistema delle infrastrutture. Ecco cosa emerge dal rapporto Clusit
L’Italia è nel mirino degli hacker, con un +169% di attacchi registrati nel 2022 rispetto all’anno precedente. Questo è in estrema sintesi il dato che più di ogni altro fotografa la situazione attuale, attraversata dal nostro paese, sul fronte della cybersecurity e contenuta nel Rapporto Clusit 2023. Clusit è l’Associazione Italiana per la Sicurezza Informatica, nata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano e rappresenta oggi oltre 600 organizzazioni, appartenenti a tutti i settori del sistema-Paese. Collabora con la Presidenza del Consiglio, con diversi Ministeri, Authority, Istituzioni e organismi di controllo, tra cui Polizia Postale e delle Comunicazioni, Arma dei Carabinieri e Guardia di Finanza, Agenzia per l’Italia Digitale, Autorità Garante per la tutela dei dati personali.
La misura dell’emergenza
I dati contenuti nel rapporto parlano di 2.489 incidenti gravi, vale a dire che hanno un impatto in ogni aspetto della società, dalla politica all’economia, alla geopolitica. A livello globale il 2022 si caratterizza – e non è la prima volta – come l’anno peggiore di sempre per la cybersecurity: sono stati 440 gli attacchi in più rispetto al 2021. La media mensile degli incidenti è stata 207, contro i 171 dell’anno precedente. Il picco massimo dell’anno si è registrato nel mese di marzo, con 238 attacchi. Nel contesto delle crescenti tensioni internazionali tra superpotenze e di un conflitto ad alta intensità combattuto ai confini dell’Europa, anche l’Italia appare ormai in maniera evidente nel mirino: nel 2022 nel nostro Paese è andato a segno il 7,6% degli attacchi globali (contro il 3,4% del 2021). A completare il quadro italiano è la gravità elevata o critica nell’83% dei casi. Negli ultimi cinque anni si è verificato un cambiamento sostanziale nei livelli globali di cyber-insicurezza mondiali, al quale non è corrisposto un incremento adeguato delle contromisure adottate dai difensori. Questo è quanto viene sottolineato nel rapporto. In un contesto di cybercrime già in costante crescita, nel 2022 il conflitto tra Russia e Ucraina ha attivato capacità cibernetiche offensive utilizzate dai contendenti, dai loro alleati e in generale dai principali attori globali a supporto di attività di cyber-intelligence, di cyber-warfare (di guerra cibernetica, ndr) e di operazioni ibride. Secondo i ricercatori di Clusit, per quanto oggi in ambito intelligence e militare prevalgano ancora gli attacchi di natura tipicamente clandestina rispetto a quelli condotti con finalità di degrado, negazione o distruzione di sistemi e infrastrutture digitali, questa proporzione appare destinata a cambiare in un prossimo futuro: il processo di rapida adozione e messa in campo di strumenti cyber-offensivi sofisticati sarà difficilmente reversibile, e in prospettiva potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma sostanzialmente impreparato ad affrontare minacce di questa natura.
Quali attacchi verso chi
I ricercatori e gli esperti di Clusit evidenziano che si tratta di una fotografia che rappresenta soltanto la punta dell’iceberg, data la tendenza complessiva delle vittime a mantenere riservati gli attacchi subiti. Oltre che in quantità, su scala globale gli attacchi nel 2022 sono cresciuti anche in gravità, arrivando a livelli di impatto elevato o critico nell’80% dei casi, dato allineato al contesto italiano, ovvero con una ripercussione rilevante per le vittime a livello di immagine, di aspetto economico, sociale e dal punto di vista geopolitico. L’analisi degli incidenti cyber noti nel 2022 evidenzia una netta prevalenza di attacchi con finalità di cybercrime, che sono stati oltre 2000 a livello globale, ovvero l’82% del totale, in crescita del 15% rispetto al 2021. Per l’Italia la percentuale sale al 93%, in crescita del 150% rispetto al 2021. Questa tipologia di attacchi, caratterizzata da significativi risvolti economici, mostra una tendenza di crescita costante negli ultimi cinque anni. A livello mondiale le principali vittime tornano ad essere i Multiple Targets con un 22% (gli attacchi realizzati ‘a tappeto’, ndr). Si tratta di campagne di attacco non mirate, che continuano a causare effetti consistenti. Il settore più attaccato in Italia nel 2022 è invece quello governativo, con il 20% degli attacchi, seguito a brevissima distanza dal comparto manifatturiero (19%). Anche nel nostro Paese, come nel resto del mondo, prevalgono gli attacchi per mezzo di malware, che rappresentano il 53% del totale italiano, un valore che supera di 6 punti percentuali il dato globale. E poi ci sono le piccole e medie imprese, a cui nel rapporto Clusit 2023 è dedicata una attenzione speciale.
Le contromisure
A quali tipi di attacchi siano maggiormente sottoposte, il Security Operation Center e la direttiva europea NIS2 sono alcuni temi centrali che meritano un focus. Alessio Pennasilico, del comitato scientifico Clusit, ci aiuta a fare chiarezza e a tracciare lo stato dell’arte, anzitutto sul fronte dell’esposizione ai rischi di attacchi, oggi sempre più sofisticati grazie all’uso dell’Intelligenza Artificiale. Spiega Pennasilico: “In relazione alle piccole e medie imprese si tratta quasi sempre di attacchi di massa. È difficile che siano oggetto di un attacco targettizzato, che richiede competenze ed investimenti di grandi risorse economiche. In questi casi l’uso dell’AI consiste nel generare malware per infettare la rete dei computer. Quindi, salvo il fatto che un’azienda possa cadere all’interno di attacchi mirati, gli strumenti oggi a disposizione ‘a scaffale’, purché adottati, sono più che sufficienti. Si tratta di avere non solo un semplice antivirus ma anche un Xdr, che diventa indispensabile per identificare e bloccare la tipologia di attacchi a cui solitamente può andare incontro una piccola e media impresa. Un Xdr è l’equivalente di un antivirus “avanzato” e permette di capire se sei stato esposto ad un attacco”. Le imprese possono dotarsi da sole degli strumenti necessari ma talvolta, specialmente le più piccole possono non avere al loro interno competenze specialistiche adeguate. “Oltre a una infrastruttura software adeguata a identificare e bloccare le minacce, occorre un supporto esterno all’impresa che presidi e gestisca quotidianamente gli strumenti di controllo e che si accorga dei segnali di pericolo. Il mezzo è il Siem, un grosso contenitore dentro il quale finiscono tutti log, ovvero le tracce di quel che avviene sulla rete e sui sistemi, al fine di identificare eventuali eventi sospetti, che viene osservato da un team esterno che lo presidia 24 ore su 24. Il ruolo dell’AI è fondamentale anche nell’accorgersi di un attacco in corso o che un attacco è andato a buon fine. Aiuta a processare molti dati in modo rapido e a mettere in correlazione tanti elementi in modo da accorgersi se c’è qualcosa di anomalo”.
Alessio Pennasilico, del comitato scientifico del Clusit
Il Security Operation Center (Soc) è uno degli strumenti operativi che è chiamato a giocare un ruolo di primo piano. Ma non è di così semplice realizzazione, sempre per quanto riguarda le Pmi. Per Pennasilico c’è innanzitutto un fisiologico skill gap da superare. “Nelle imprese piccole e medie ci sono meno persone rispetto a quelle che servirebbero per fare ciò che andrebbe fatto e ci sono anche competenze non del tutto all’altezza sul fronte cybersecurity – racconta – a cui si aggiunge il fatto che non ci sono le forze per mettere in piedi un Soc. Le più grandi possono realizzare un Soc di primo livello con qualcuno alle spalle che controlla. Per le Pmi si tratta di esternalizzare e appoggiarsi a un team di professionisti che ha le competenze e gli strumenti adeguati e che controlla costantemente. Un team che al tempo stesso, seguendo molti clienti, può monitorare la situazione su vasta scala e fare economie di scala. Le imprese hanno sempre maggiore consapevolezza di avere bisogno di strumenti come il Soc. Nelle polizze assicurative a copertura di danni da attacco informatico c’è spesso la condizione di avere attivato il Security Operation Center”.
Un altro nodo a cui dare attenzione è la direttiva europea NIS2 che traccia il quadro delle misure necessarie a costruire il perimetro della sicurezza contro la minaccia cyber. “La direttiva, a mio giudizio, introduce una rivoluzione nel modo con cui dobbiamo pensare alla security negli Stati Membri – spiega Pennasilico – È una direttiva, quindi c’è da capire come sarà recepita dagli stati membri, nel senso che l’Europa ci ha dato una linea guida e poi ogni singolo Stato deciderà come adottarla all’interno del suo ordinamento. Se la NIS1, la direttiva che ha preceduto la NIS2, era concentrata sulle infrastrutture critiche, come i trasporti, le telecomunicazioni e in generale sulle grosse infrastrutture, la NIS2 ragiona in termini di ecosistema delle infrastrutture. Cioè se per un attacco informatico si ferma l’aeroporto di una città qualsiasi, che cosa succede anche a tutti gli altri? È un sistema interconnesso. Inoltre la NIS2 amplia il quadro dei soggetti che hanno determinati obblighi rispetto alla sicurezza informatica, soggetti che non sono infrastrutture critiche e che fino a ieri potrebbero non essersi occupati del tema. Anche a questi soggetti vengono date alcune regole di base. L’industria alimentare o quella all’ingrosso non sono mai state ritenute infrastrutture critiche, invece adesso rientrano nel tracciato della NIS2, nell’ottica del non fermare il servizio se è colpita da attacco informatico”. Un quadro molto composito, in cui la pandemia Covid ha accelerato la digitalizzazione di tanti processi, creando vantaggi competitivi e opportunità, al tempo stesso esponendo quegli stessi settori alla possibilità di una minaccia hacker. Ma grande è anche l’attenzione alla prevenzione e agli strumenti per combattere e difendersi. E il lavoro di diffusione di conoscenza su questi temi fatto da Clusit è decisivo nello stimolare la consapevolezza di istituzioni e imprese.
