Il Clusit, l’Associazione italiana per la Sicurezza informatica, lo scorso marzo ha pubblicato il rapporto 2024 di cui abbiamo già parlato qui.
Il report, prelevabile qui, evidenzia un’evoluzione del cyber crimine e una crescita degli attacchi sia in termini di quantità sia in termini di qualità.
Ci sono, però, delle conclusioni che inchiodano le organizzazioni alle loro responsabilità in materia di cyber security. In altre parole: all’aumentare della capacità degli attaccanti corrisponde una almeno pari evoluzione delle capacità di chi si occupa di difesa? E, ancora, considerando che l’11% degli attacchi globali gravi hanno avuto l’Italia come obiettivo, le organizzazioni del Paese si sentono in qualche modo “osservate speciali” o vige ancora quella mentalità secondo la quale il pericolo di intrusioni è latente, considerando l’elevato numero di potenziali vittime nel mondo?
Per trovare risposta a queste e ad altre domande ci siamo avvalsi della collaborazione dell’ingegnere Giorgio Sbaraglia, membro del comitato direttivo del Clusit.
Indice degli argomenti
Il rapporto Clusit 2024 in breve
Ciò che le oltre 370 pagine del rapporto Clusit 2024 dicono in modo esplicito può essere riassunto così, rimandando il lettore agli approfondimenti del caso: rispetto al 2022, il 2023 ha fatto segnare nella sola Italia un aumento degli attacchi totali pari al 65% andando a colpire soprattutto la finanza, il manifatturiero e la sanità.
Sempre rimanendo nel dominio di ciò che il rapporto dice, si delinea un quadro che mette in discussione le capacità di protezione delle imprese pubbliche e private e, non di meno, la capacità del cyber crimine di fare ricorso all’Intelligenza artificiale per ordire attacchi sempre più sofisticati e mirati potrebbe (il condizionale è puramente prudenziale) tramutarsi in un peggioramento futuro dello scenario italiano e globale.
Le tecniche d’attacco
I malware sono, in generale e a livello globale, la tecnica più usata dagli incursori, tant’è che rappresentano il 36% degli attacchi (+10% rispetto al 2022). Nella numerosa famiglia dei malware rientrano anche in ransomware che, di fatto, è il chiavistello più utilizzato giacché fonte di guadagni. Sempre a livello globale, e questo dato è interessante, è stato registrato un aumento degli attacchi DDoS del 98%.
In Italia, per la prima volta, tali attacchi hanno superato i malware (i dati del report, lo ricordiamo, fanno riferimento al 2023) e, rappresentando più di una minaccia su tre (il 36%), con un aumento a quadrupla cifra (prossimo al 1500%) rispetto all’anno precedente. Qui, a giocare un ruolo specifico, subentrano le tante forme di aktivism a cui piace mettere in ginocchio i server delle organizzazioni che ritengono essere biasimevoli.
Gli attacchi DDoS non sono i più complessi da prevenire, ci sono tecniche rodate che puntano a una prevenzione accorta e intelligente le quali, tuttavia, possono essere messe in pratica solo avendo una visione e una conoscenza puntuale della cyber security in sé. Ed è qui che – in Italia come nel mondo – casca il proverbiale asino.
Cosa non dice il rapporto Clusit 2024
Una prima lettura di ciò che il report non dice è sotto gli occhi di tutti: manca la cultura digitale, la cultura del dato come quanto e, di conseguenza, mancano la sensibilità e la consapevolezza necessarie per proteggerlo.
Un problema strutturale, come evidenzia Giorgio Sbaraglia: “Uno dei concetti che cerco di rimarcare sempre nella mia attività di formazione è che la cybersecurity prima ancora che un problema tecnico è un problema culturale. Non è – in altre parole – un’attività che compete al solo dipartimento IT. Tutti ne sono coinvolti, perché tutti utilizzano un computer, uno smartphone, un dispositivo o un macchinario connesso alla rete.
Questo assunto si scontra purtroppo con la situazione dell’Italia: il livello di cultura digitale nel nostro Paese è ben rappresentato dal Rapporto Digital Economy and Society Index (DESI) 2022 redatto dalla Commissione Europea: l Italia si colloca al 18° posto fra i 27 Stati membri dell’UE ed addirittura al 25° per la componente “Fattore Umano”.
A ciò si aggiunge una criticità tipica della nostra Nazione: in Italia il tessuto imprenditoriale è costituito per oltre il 90-95% da PMI nelle quali spesso mancano figure e competenze in ambito cybersecurity.
Inoltre, l’investimento delle aziende italiane in sicurezza informatica è ancora molto ridotto: nel 2023 è solo lo 0,12% del PIL italiano, che è circa 3 volte in meno rispetto agli paesi più avanzati.
Tutto ciò crea le condizioni – ben evidenziate dal Rapporto Clusit – per la ‘tempesta perfetta’: il fattore umano è notoriamente la causa di almeno il 90% degli incidenti informatici e in Italia il fattore umano è molto debole, perché siamo una Nazione digitalmente poco evoluta”.
Uno spiraglio c’è
Le minacce, così come emerge anche dal rapporto Clusit 2024, sono in crescita sia dal punto di vista della quantità sia da quello della qualità e, tra le imprese, sta nascendo una certa consapevolezza: “Qualcosa si sta muovendo e lo riscontro ogni giorno nella mia professione: l’attenzione delle aziende per la sicurezza informatica è cresciuta, grazie anche alla risonanza mediatica dei tanti incidenti che le aziende subiscono e che vengono resi pubblici. Oggi le aziende stanno iniziando a comprendere che la spesa in Cybersecurity non è un costo improduttivo ma un investimento strategico. Non è ancora così per tutte le organizzazioni, perché sento ancora qualcuno – soprattutto nelle PMI e nel pubblico – che pensa ‘Perché dovrebbero attaccare proprio la mia azienda? Non abbiamo dati importanti…’. A parte questi casi, che rappresentano un errore culturale da parte di chi ancora sottovaluta i rischi, ritengo che la crescita in consapevolezza ed investimenti sia stia vedendo, ma è una crescita lineare, mentre quella dei nostri avversari, i cybercriminali, è esponenziale. Quindi il divario tra chi attacca e chi si deve difendere rischia addirittura di ampliarsi”, spiega l’ingegner Sbaraglia.
Le vie d’uscita
Si profila quindi una realtà bidimensionale: in una dimensione ci sono imprese che si stanno dando da fare in materia di cyber security (seppure con gradi diversi di consapevolezza) e, nell’altra dimensione, ci sono organizzazioni che non avvertono il pericolo.
Per uscire dal vortice delle mentalità e degli atteggiamenti noncuranti, conclude l’ingegner Giorgio Sbaraglia “Le sfide sono enormi, perché il nemico è sempre più organizzato ed aggressivo.
Dobbiamo essere consapevoli che i cybercriminali che attaccano le nostre organizzazioni sono sempre più forti, attrezzati e motivati (perché sono molto grandi le opportunità di guadagno in denaro).
Ormai il ‘nemico’ non è il singolo hacker, quello con la felpa e il cappuccio che vediamo nei film. Oggi sono vere aziende, con un una struttura organizzativa ed un business model equiparabile a quelle di un’azienda normale.
Quindi deve aumentare soprattutto la consapevolezza dei rischi e la cultura informatica. L’Italia dovrà anche essere capace di formare un maggior numero di figure professionali nella sicurezza informatica, di cui oggi c’è grande carenza.
Sempre il Rapporto DESI evidenzia che la percentuale degli specialisti digitali nella forza lavoro italiana è inferiore alla media dell’UE e le prospettive per il futuro sono indebolite dai modesti tassi di iscrizione e laurea nel settore delle TIC (Tecnologie dell’Informazione e della Comunicazione). L’Italia ha una percentuale molto bassa di laureati nel settore TIC: solo l’1,4 % dei laureati italiani sceglie discipline TIC, il che rappresenta il dato più basso registrato nell’UE (media UE 3,9%). Dovremo invertire questa tendenza, anche perchè nel settore le opportunità professionali per i giovani sono molto interessanti.
Infine consideriamo l’aspetto normativo: ci stanno venendo in aiuto le norme e regolamenti che impongono alle organizzazioni una maggiore attenzione alla protezione dei dati: abbiamo avuto il GDPR nel 2016 ed oggi la Direttiva europea NIS 2 che a breve dovrà essere applicata da molte aziende italiane (oltre 10.000 secondo la stima del Clusit) e che avrà necessariamente un impatto molto significativo nel migliorare la postura di sicurezza informatiche non solo delle aziende coinvolte, ma anche dei fornitori di queste”.