Il report di febbraio 2025 di Acn (Agenzia per la cybersicurezza nazionale) fotografa un aumento del numero di eventi, mentre si registra calma piatta per gli incidenti, la cui cifra è circa nella media del semestre.
“I dati proposti nel nuovo Operational Summary di febbraio 2025 dell’Agenzia per la Cybersicurezza Nazionale suggeriscono una aumento della resilienza complessiva dell’ecosistema italiano“, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“La fotografia del panorama delle minacce Italiane rispecchia alcuni dei trend che si stanno verificando a livello globale, ed in particolar modo le tensioni geopolitiche del mondo reale che si riflettono inevitabilmente nel cyberspazio”, aggiunge Paolo Passeri, Cyber Intelligence Principal di Netskope.
“La cyber security in Italia si trova in un momento cruciale. I responsabili della sicurezza, i Ciso, sono sempre più consapevoli dei rischi, soprattutto di quelli legati all’errore umano, che rimane il tallone d’Achille delle nostre difese digitali”, avverte Emiliano Massa, Area Vice President, Sales Seur di Proofpoint.
“I dati del report Acn di febbraio confermano come l’aumento degli attacchi cyber sia ormai una tendenza preoccupante, soprattutto per la Pubblica amministrazione e il settore energetico, bersagli sempre più colpiti dai cyber criminali”, sottolinea Paolo Lossa, Country Sales Director di CyberArk Italia.
Ecco i settori dove gli incidenti mietono più vittime e come mitigare il rischio.
Indice degli argomenti
Il report di febbraio di Acn: i punti salienti
Partiamo dalle buone notizie. Le nuove CVE pubblicate è in significativo calo rispetto a gennaio. Dei 181 attacchi DDoS del mese di febbraio, soltanto il 3% ha provocato disservizi, comunque di natura temporanea. Infatti, nel periodo è salito il numero di eventi, mentre gli incidenti sono rimasti nella media del semestre.
“A fronte di un incremento degli eventi di sicurezza, con particolare impatto sulla Pubblica Amministrazione e il settore energetico, non sono corrisposti eventi di particolare criticità o che abbiano causato danni significativi alle organizzazioni prese di mira”, sottolinea Paganini.
I settori con più vittime sono stati Pubblica amministrazione locale, PA centrale ed energia.
In particolare, la Pubblica Amministrazione centrale è stata colpita dagli attacchi DDoS, in aumento.
Le tensioni geopolitiche portano inevitabilmente “a una crescita degli eventi caratterizzati da hacktivismo“, mette in risalto Paolo Passeri.
“L’aumento degli attacchi DDoS e delle attività di hacktivismo, spesso riconducibili a gruppi filorussi o legati alla causa palestinese, ha avuto principalmente finalità propagandistiche“, conferma Paganini, ma “con impatti operativi davvero limitati“.
Il report dell’Acn evidenzia, infatti, attività di hacktivismo, in cui spiccano gli attacchi DDoS e alcuni defacement contro soggetti pubblici e privati, riconducibili ad attacchi con matrici politico-ideologiche.
Attacchi alla catena di approvvigionamento
Maggiormente preoccupante è invece “la crescente frequenza degli attacchi alla catena di approvvigionamento da parte di cyber criminali opportunistici“, avverte Passeri: “È interessante notare come le due diverse modalità di attacco si traducano in effetti opposti per le potenziali vittime: gli attacchi da parte di hacktivisti, anche se numerosi, mirano principalmente ad attirare l’attenzione dei media, e si traducono principalmente in un danno di immagine per le organizzazioni colpite che non implica necessariamente un disagio continuativo per l’utenza”.
Invece “gli attacchi alla catena di approvvigionamento seguono il paradigma di colpire una singola organizzazione per compromettere molteplici vittime, massimizzando il cosiddetto ritorno sull’investimento da parte degli attaccanti. In questo caso, con una sola operazione si colpiscono molteplici obiettivi con disagi, a livello di immagine ed economici, che si possono ripercuotere in molteplici livelli della catena di business, che spaziano dai partner dell’organizzazione colpita ai loro clienti”, conclude Paolo Passeri.
Attacchi ransomware
La crescita dei numeri relativi al ransomware è da attribuire a un solo attacco che è stato in grado di compromettere non solo la disponibilità dei sistemi informatici di un’azienda del settore energetico, ma anche l’erogazione dei servizi ai suoi clienti, causando così disservizi a cascata, su altri operatori del settore.
“Sebbene gli attacchi ransomware pare siano in calo, occorre mantenere alta l’allerta, proprio in virtù dell’aumentata capacità da parte di alcuni attori malevoli”, mette in guardia Paganini.
I gruppi più attivi per rivendicazioni ransomware, in numero, a febbraio sono stati Fog e Akira.
“l ransomware continua a mietere vittime, gli attacchi DDoS disturbano la nostra vita online e l’intelligenza artificiale aiuta i cyber criminali a creare email di phishing sempre più convincenti. Degno di nota il fatto che l’Italia, pur rappresentando solo l’1% del PIL mondiale, ha subito il 10% degli attacchi globali, evidenziando una sproporzione allarmante, giustamente messa in luce dal recente Rapporto Clusit. C’è preoccupazione per l’uso dell’AI generativa (che il 45% dei CISO italiani considera un rischio per la sicurezza della propria organizzazione) e per la fuga di dati quando i dipendenti cambiano lavoro”, evidenzia Emiliano Massa.
Il fattore umano, anello debole
Il rapporto evidenzia inoltre che “tra principali vettori di attacco sono le email malevole, le vulnerabilità note e l’uso di credenziali compromesse continuano a monopolizzare lo scenario”, secondo Paganini.
“Per il 72% dei Ciso l’errore umano è il principale rischio di cyber security, secondo la nostra ricerca Voice of the CISO, seguito da malware (53%), attacchi ransomware (38%) e DDos (30%)”, sottolinea Emiliano Massa.
Inoltre “la crescente migrazione di servizi verso ambienti cloud rende sempre più redditizie le attività di spoofing delle credenziali. Per questo motivo, oltre all’implementazione di sistemi di MFA, diventa fondamentale adottare strategie di monitoraggio continuo, oltre che per gli ambienti on premise, anche per quelli cloud con l’obiettivo di individuare tempestivamente eventuali compromissioni e anomalie nei tentativi di accesso”, sottolinea Giuseppe Del Fiacco, Cyber Security Sales Specialist di Axitea.
Come mitigare il rischio
L’incremento degli attacchi via email e lo sfruttamento di credenziali compromesse sottolineano “una verità inequivocabile: l’identity security è diventata la prima linea di difesa di ogni organizzazione – o lo deve diventare molto velocemente”, mette in evidenza Paolo Lossa.
“Come abbiamo osservato nel 2024, e sarà ancora più evidente quest’anno, gli attaccanti prendono di mira le identità, umane o macchina, dotate di privilegi elevati – come quelle di sviluppatori, cloud architect e team IT. È fondamentale che le aziende ridefiniscano il loro approccio alla protezione di tutte le identità, implementando controlli di sicurezza robusti e mirati per prevenire accessi non autorizzati, compromissioni e pericolose interruzioni che possono bloccare attività e produttività, con un impatto su reputazione e fiducia da parte di clienti”, conclude Paolo Lossa.
“Ancora una volta la responsabilità della componente umana nella catena di sicurezza è tangibile. Gli attacchi di social engineering, grazie anche a nuove tecnologie come l’IA, continuano ad essere efficaci”, aggiunge Paganini: “I dati evidenziano anche ritardi delle organizzazioni colpite nelle attività di patch management così come nell’adozione di processi di threat intelligence e threat monitoring per prevenire lo sfruttamento di credenziali compromesse e spesso facilmente reperibili nell’underground criminale”.
In quest’ottica “i nuovi quadri normativi in materia di cyber sicurezza (Dora, Nis 2 eccetera, ndr) concorreranno ad aumentare il livello di resilienza complessiva delle nostre imprese”, conclude Paganini.
“I Ciso si sentono più preparati, investono in nuove tecnologie e vedono un miglioramento nel dialogo con i vertici aziendali. Insomma, la battaglia per la sicurezza digitale è in corso, e richiede un impegno costante e una visione strategica per proteggere aziende, persone, dati e tecnologie”, conclude Emiliano Massa.
Altri consigli per la PA e le imprese
Questi dati che “confermano ancora una volta la necessità di un rafforzamento della postura di sicurezza sia per il settore pubblico che per quello privato”, avverte Giuseppe Del Fiacco: “La Pubblica Amministrazione deve migliorare la propria resilienza contro gli attacchi tipici dell’hacktivismo, in particolare i DDoS, adottando strategie di mitigazione avanzate per proteggere i servizi esposti e garantire la continuità operativa“.
Relativamente alle attività dei gruppi ransomware più attivi, “le aziende private devono concentrarsi sulla protezione degli asset esposti con soluzioni avanzate di sicurezza per le email e servizi di vulnerability management al fine di avere una visione chiara delle vulnerabilità presenti nella propria infrastruttura e applicare le misure più adeguate per la mitigazione del rischio”, avverte Giuseppe Del Fiacco.
