venerdì 27 Dic, 2024

Attacchi cyber, la minaccia continua 

Seppur in lieve calo rispetto al 2023 i numeri continuano a spaventare. Occorre proteggere i sistemi industriali e imparare a gestire le emergenze

Con 1.637 attacchi cyber rilevati nel mondo, il primo semestre 2024 conferma il trend di crescita delle incursioni cibernetiche globali. I dati sono stati rilevati e analizzati dai ricercatori di Clusit – Associazione Italiana per la Sicurezza Informatica – nata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano, che rappresenta oggi oltre 600 organizzazioni appartenenti a tutti i settori del sistema-Paese e sono raccolti nell’edizione di fine anno del Rapporto Clusit 2024, che riporta i dati del primo semestre dell’anno in corso. 

Per quanto riguarda il nostro paese, i ricercatori di Clusit hanno registrato un lieve calo nel numero degli attacchi rispetto allo stesso periodo del 2023, con un totale di 124 eventi. Tuttavia, come confermato nel corso della presentazione del Rapporto Clusit, il numero significativo di eventi continua a indicare una situazione di allerta in Italia.

I dati parziali del primo semestre 2024 mostrano una leggera diminuzione degli incidenti avvenuti in Italia. Sono segnali positivi ma che riteniamo prematuro considerare come un alleggerimento della pressione, e che potrebbero essere causati da una fluttuazione stagionale. In ogni caso, anche nel primo semestre 2024 il numero di incidenti subiti dal nostro Paese è sproporzionatamente alto rispetto alla nostra popolazione e al PIL nazionale in rapporto col PIL mondiale, il che certamente merita un’attenta riflessione e azioni concrete di mitigazione,

ha dichiarato Andrea Zapparoli Manzoni, del comitato scientifico Clusit.

In Italia nel primo semestre 2004 è stato il comparto manifatturiero la prima vittima, con il 19% degli attacchi (in crescita dal 13% nel 2023). Seguono i “multiple targets”, con il 13% degli attacchi e il settore governativo, militare e delle forze dell’ordine, con l’11% degli attacchi. Appaiono inoltre particolarmente presi di mira anche i settori trasporti e logistica (11%), la sanità (9%). È il settore sanitario italiano a destare le maggiori preoccupazioni se guardato in prospettiva temporale. Infatti, soltanto nel primo semestre 2024, gli incidenti rilevati ai danni di questa categoria sono comparabili in numero a quelli individuati nell’intero anno 2023.

Imparare a gestire una crisi

Intervista a Georgia Cesarone, responsabile Innovazione e formazione di START 4.0

Quando accade un attacco informatico che mette in crisi un’impresa, sottrae dati, paralizza il sistema, il punto è saper reagire in modo adeguato. Cosa non facile, talvolta, neanche per chi è preparato. Figurarsi se addirittura si è a digiuno di strategie, conoscenza delle policy e delle procedure. Un tema delicatissimo, quello del crisis management quando una minaccia informatica colpisce, che è stato oggetto di un panel specifico a CSET 10, la conferenza 2024 dedicata alla cybersecurity su energia, infrastrutture e trasporti, promossa da Start 4.0 e tenutasi a Genova. Il panel ha proposto un focus sulla formazione efficace per sensibilizzare imprese, enti pubblici, dirigenti. Una formazione sul campo, specifica, che faccia vivere una situazione di crisi da attacco hacker. Abbiamo chiesto come funziona una esercitazione a Georgia Cesarone, responsabile Innovazione e formazione di START 4.0 e relatrice del panel. 

Può raccontare un esempio concreto di esercitazione?

Ne abbiamo fatta una per il Comune di Genova, aperta a tutti i dirigenti dell’amministrazione, che ha suscitato grande interesse. Ricostruiamo uno scenario realistico: una giornata in ufficio in cui arriva un attacco hacker, magari dovuto a furto di credenziali a causa di un attacco di phishing riuscito, con cui vengono sottratti dei dati importanti. Si inizia dal responsabile dei sistemi informativi, in questo caso anche responsabile della cybersecurity, a cui viene notificato il fatto che c’è stata intrusione. Lui allerta il data protection officer e la dirigente del settore colpito da attacco. Viene coinvolto anche il dirigente della comunicazione, che deve gestire come dare la notizia tutelando la reputazione dell’ente. Alcuni attori impersonano i vari ruoli, ci sono voci fuori campo che commentano le azioni e suoni che rendono lo scenario credibile. Accertata l’intrusione, gli attori fanno alcune scelte corrette e diversi errori di gestione della crisi. Così riusciamo a far capire quali comportamenti mettere in atto, ricordare che occorre conoscere le policy per gestire l’incidente. Insegniamo anche a gestire il panico che sicuramente si genera in questi casi non sapendo come operare.

Qual è la reazione di chi partecipa alle esercitazioni? 

Si rendono conto di non sapere cosa fare, in caso di allarme per un attacco cyber, riconoscono di non conoscere bene le policy del caso. Sviluppano l’interesse a conoscere le procedure da seguire in caso di incidente informatico. Occorre assolutamente essere preparati. Per un attacco informatico non bisogna chiedersi se accadrà ma quando accadrà.

C’è attenzione da parte delle imprese verso la cybersecurity?

Fino al 2020 tanti enti e aziende si rivolgevano a noi solo dopo aver subito un attacco. Oggi è diverso. Intanto l’evoluzione normativa richiede che le imprese e gli enti siano preparati ad affrontare casi di attacchi. I nostri corsi iniziano ad essere molto richiesti anche dalle imprese più piccole. In questo momento ci sono anche i fondi e per le piccole imprese arrivano addirittura finanziamenti anticipati all’80%, finalizzati alla messa in sicurezza. Essere al sicuro dagli attacchi significa anche avere un vantaggio competitivo. Di recente abbiamo aiutato una piccola impresa che si occupa di AI a fare l’assessment e scrivere il piano di remediation. Questo le ha consentito di poter prendere una commessa importante, da parte di una grande azienda, che ha valutato come un vantaggio competitivo il fatto che avessero fatto l’adeguamento cyber. 

Qual è la formazione più efficace su questi temi?

Ce ne sono di due tipi. Quella a tutto il personale, basata sulla consapevolezza, che non è legata alla competenza ma al comportamento nei confronti di possibile minacce, e diventa un percorso fortemente individuale, che va a modificare il comportamento dell’utente. Poi ci sono altri tipi di formazione, il tavolo di crisi è una di queste, o quella sulla governance per i dirigenti. È una formazione che incide sulle competenze e si può fare in aula utilizzando strumenti di gamification.

Il SOC, è efficace e migliore interno o esterno?

Il SOC è una struttura centralizzata dedicata alla gestione e al monitoraggio della sicurezza informatica. Tra le attività principali si occupa del monitoraggio 24 ore su 24 degli eventi, di aggregare e analizzare i dati in tempo reale. Questo permette di identificare le attività anomale e di attivare la risposta adeguata per mitigare gli effetti della minaccia. È una struttura efficace. Sulla scelta se interno o esterno, è un’analisi complessa che dipende da tanti fattori: il budget, la complessità dell’infrastruttura che devono gestire, se l’azienda ha personale qualificato. Se è interno si può personalizzare al massimo sulla propria struttura e si ha un controllo diretto. Questo può avere un costo elevato e richiede manutenzione continua per essere aggiornati. Tanti preferiscono rivolgersi a un SOC esterno, che è meno verticale sulla propria struttura ma ha costi più contenuti.

La protezione dei sistemi industriali

Intervista a Claudio Telmon, membro del comitato direttivo di Clusit

L’intelligenza artificiale permea ogni ambito dell’impresa e a CSET, conferenza 2024, tenutasi a Genova a novembre, è stato affrontato anche il tema della protezione dei sistemi industriali, che viene rivoluzionata proprio dall’AI. Come, e con quali risultati, lo abbiamo chiesto a Claudio Telmon, membro del comitato direttivo di Clusit e tra i relatori del panel dedicato a questo tema. 

Come rivoluziona l’AI la protezione dei sistemi industriali?

L’intelligenza artificiale è utilizzata da tempo nell’ambito della protezione dei sistemi. I SOC, che devono analizzare una grande quantità di dati alla ricerca di pattern, utilizzano tecnologie AI. Sono soluzioni diffuse ma delle quali l’utente finale ha poca consapevolezza, non sono in un certo senso visibili all’utente dell’azienda cliente del SOC. Sono più visibili all’operatore del SOC, che vede segnalati degli eventi riconducibili ad una possibile compromissione, ma sono comunque tecnologie incorporate nello strumento. Facciamo un esempio di machine learning con i quali abbiamo a che fare più spesso, senza saperlo: i sistemi di autenticazione adattiva, che ci autenticano a seconda di dove ci connettiamo. Sono sistemi che fanno anche uso di questo genere di tecnologie ma noi non vediamo il funzionamento dello strumento. Vediamo il risultato, l’autenticazione che viene richiesta quando facciamo qualcosa di diverso, come connetterci da una rete diversa. 

Quali sono gli aspetti positivi dell’utilizzo di tecnologie AI per proteggersi dagli attacchi cyber?

Certamente è positivo che soluzioni sofisticate siano diventate strumenti accessibili a tutti. L’autenticazione multi-fattore ne è un esempio molto chiaro, chiunque la utilizzi attiva delle protezioni molto efficaci, peraltro alla portata anche delle aziende più piccole. Anni fa invece l’autenticazione multi-fattore era costosa e per grandi aziende. L’aspetto più rivoluzionario è che ci sono degli strumenti di efficacia maggiore, che spostano alcuni carichi di lavoro dalle persone agli strumenti di intelligenza artificiale, rendendo tutta la procedura molto più accessibile ad aziende di dimensioni minori. La rilevazione di anomalie che possano essere indicative di un incidente è un ambito in cui gli strumenti di intelligenza artificiale danno il meglio. 

C’è interesse da parte delle imprese verso le applicazioni AI?

C’è interesse perché tutto quello che può rappresentare uno strumento efficace, che non richiede lo stesso livello di presidio degli strumenti manuali, è da conoscere. Però, appunto, l’utente finale, il cliente, l’azienda, generalmente non ha visibilità diretta di questa componente di protezione direttamente legata all’AI. Gli viene detto “facciamo anche uso degli strumenti di intelligenza artificiale” e l’utente ne prende atto. 

Come possiamo sintetizzare in pillole le novità del rapporto Clusit 2024?

Sono due gli aspetti da sottolineare. Anche nel primo semestre dell’anno si è registrato un incremento degli incidenti, come accade ormai da oltre un decennio. Una considerazione da fare è che lo sviluppo e l’utilizzo delle tecnologie di protezione non sta al passo con lo sviluppo dell’attività illecita. Per come si stanno sviluppando i servizi digitali è inevitabile che ci sia un aumento degli attacchi. Però le normative che sono in campo in questa fase possono aiutare a migliorare questa situazione. L’altro aspetto è un aumento degli incidenti in settori specifici, penso ad esempio al manifatturiero e al sanitario. 

Può dare alcuni consigli alle imprese, aspetti a cui fare attenzione nell’ottica di prevenire e difendersi dagli attacchi cyber che ricorrono all’AI?

Si cominciano a vedere attacchi che fanno uso del deep fake, la falsificazione di specifiche persone. Non hanno ancora un impatto ampio, ma quando sono efficaci gli effetti per l’impresa colpita sono molto significativi. Sono attacchi mirati, che hanno una preparazione importante e vengono praticati verso settori in cui i ritorni economici sono significativi. Occorre molta attenzione da parte del livello apicale. Un caso può essere rappresentato dalla falsificazione della mail o della telefonata dell’amministratore delegato che dà mandato di fare un versamento su un determinato conto corrente. Si tratta di una tipologia di attacco che interessa tante aziende e che se va a segno ha conseguenze importanti, difficili da recuperare. 

Cosa si deve fare quando ci si trova di fronte a una situazione del genere?

Quello che possiamo fare quando viene chiesto di fare un qualche tipo di operazione anomala, fuori dal consueto, è fermarci a riflettere. Anche se vi viene detto che non è possibile richiamare al telefono per verificare se l’identità della persona è effettivamente quella dell’amministratore delegato, fate invece una verifica perché potreste scoprire che quella mail non l’ha mandata lui. Il social engineering conta molto sulla pressione, sulla fretta, sull’ansia, per convincere le persone a fare azioni che, invece, a mente fredda e con una verifica in più, si possono fermare. 

Scopri subito la nuova edizione di

Tecnologia & Innovazione