Secondo il Security Summit del Clusit a Roma, il cyber crimine sta sferrando attacchi nei confronti della PA e della sanità in Italia, dove la crescita è superiore al resto del mondo.
“Gli attacchi della criminalità verso l’Italia sono aumentati, anno su anno, nel 2023 del 65% contro il 12% nel resto del mondo”, commenta Corrado Giustozzi, Founding Partner & Chief Strategist, Rexilience, componente del Consiglio Direttivo di Clusit, oltreché moderatore della tavola rotonda dell’evento del Clusit, “l’anno prima era andata ancora peggio, con un aumento del 170% (contro il 25% nel resto del mondo). E gli attacchi contro la PA sono iniziati prima degli attacchi contro l’Italia (2022), con il picco d’incremento nel 2021, una anno prima. Nel 2023 più di un attacco su dieci (11%) colpisce l’Italia (l’anno precedente, l’8%, quello ancora prima il 3,5%)“.
“Nel corso della tavola rotonda sui temi di sanità sono stati presentati i dati sugli incidenti nel settore, con un’anticipazione sul primo quarto del 2024. Ne emerge un aumento importante degli incidenti in Europa rispetto al resto del mondo, aumento che dovrà essere eventualmente confermato nelle prossime analisi, ma che rappresenterebbe una brutta notizia per l’Europa. L’analisi del Rapporto Clusit dovrebbe contribuire ad orientare, almeno in parte, le prossime scelte di investimento del settore”, si augura Claudio Telmon, Senior Partner – Information & Cyber Security presso P4I – Partners4Innovation.
Indice degli argomenti
Security Summit: i dati del Clusit sugli attacchi contro Pa e sanità
Il “Rapporto Clusit Italia e PA” e “Sanità” sono stati al centro dell’edizione romana di Security Summit, il convegno organizzato dall’Associazione Italiana per la Sicurezza Informatica, con Astrea, a cui hanno partecipato circa 250 professionisti e rappresentanti del mondo accademico e delle istituzioni (fra cui Polizia Postale e Garante Privacy).
del 65% tra il 2022 e il 2023 (verso una crescita del 12% a livello globale).
“Dai dati del Clusit emerge che in Italia stiamo attraendo la criminalità più di altri Paesi“, sottolinea Giustozzi, per la situazione critica della Pubblica Amministrazione italiana, contro cui l’aumento degli attacchi è di oltre sei volte. Siamo infatti passati da meno di dieci attacchi rilevanti nel 2019 a quasi sessanta nel 2023.
Le cause sono molteplici e risalgono a “una digitalizzazione tardiva e affrettata delle nostre imprese ed amministrazioni”, ma., “soprattutto, nella atavica mancanza di una corretta e consolidata cultura della sicurezza nella maggior parte degli operatori economici e produttivi nazionali, che sono costituiti da imprese e pubbliche amministrazioni di dimensioni piccole e piccolissime”, spiega Giustozzi.
Nel primo trimestre 2024, gli attacchi alla PA tricolore includono nello specifico un limitato numero di casi di attivismo di matrice politico-ideologica, condotti con tecniche DDoS.
Nel 2023 gli attacchi verso il settore pubblico italiano oscillano fra il 15% e il 30% del totale. Il settore pubblico ha subito in media fra un attacco su tre e un attacco su sei. Nell’anno obiettivi governativi, a seguito della situazione geo-politica globale, sono stati nel mirino di un picco di azioni dimostrative.
Attualmente, tuttavia, gli attacchi verso la Pubblica Amministrazione crescono a un ritmo lievemente inferiore rispetto ad altri settori, probabilmente ritenuti più lucrativi da parte delle organizzazioni criminali in cerca di profitto immediato.
Vettori di attacco
Le modalità di attacco verso il settore vedono soprattutto l’utilizzo di malware, anche se la tecnica è in flessione nel 2023 a favore di un rialzo dei DDOS. Secondo gli esperti di Clusit, la spiegazione risiede nel recente e forte spostamento dal piano criminale a quello dimostrativo-ideologico degli attacchi. Scarsamente rilevanti sono invece gli attacchi basati su tecniche di social engineering, generalmente più sfruttate nei confronti delle vittime del settore privato.
Sono in flessione gli attacchi con severità critica, mentre crescono quelli con severità alta e media, ma anche questo riflette, secondo gli esperti di Clusit, la matrice ideologica e dimostrativa dei cyber criminali contro il settore pubblico, che sferrano attacchi meno gravi rispetto a quelli propriamente di natura criminale.
Gli attacchi verso la sanità
I cyber attacchi di successo e noti al pubblico verso il comparto healthcare sono in crescita nel 2023. Stanno quasi raddoppiando rispetto al 2018, dopo essere stati fermi nel biennio precedente. Tuttavia, almeno per il primo trimestre del 2024, si è assistito a un calo della quota di crescita rispetto al totale internazionale.
“Il settore della sanità unisce servizi particolarmente critici per la collettività a sistemi informativi complessi e con problemi importanti di obsolescenza, combinazione particolarmente rischiosa”, avverte Telmon: “A questo si aggiungono la sempre maggiore apertura, ad esempio verso il territorio, e l’utilizzo di tecnologie anche avanzate, come l’intelligenza artificiale“.
Da gennaio a marzo di quest’anno sono in allarmante aumento gli incidenti in ambito sanitario in Europa: dal 10% del 2023 al 33% del 2024 (nell’area delle Americhe, 63% nel primo trimestre 2024, contro l’84% nel 2023).
Nel primo trimestre dell’anno la severity degli attacchi ai danni del settore sanitario italiano è risultata “critica” nel 40% dei casi (contro il 37% del 2023), “elevata” nel 53% (47% l’anno scorso).
“La sanità è la vittima perfetta per tre motivi: l’arretratezza tecnologica per motivi economici e culturali (dove l’IT non è visto come driver di business, ma come ‘ostacolo per accedere al dato’ e i sistemi elettromedicali non sono aggiornabili senza perdere la certificazione e richiedono sistemi vulnerabili come Windows Xp…); impreparazione culturale (la sanità non si aspetta un attacco da parte della criminalità, equivalente all’espressione ‘sparare sulla crocerossa’); infine, il terzo fattore cruciale è il fatto che il costo di un attacco in sanità non si misura in un danno economico, ma in perdite di vite umane. In un’organizzazione il costo di un attacco si calcola in soldi: quanto si perde, quanto costa proteggersi, quanti sono i danni diretti e indiretti. Invece un attacco (per esempio di tipo ransomware, ndr) alla sanità può provocare la morte di un paziente. Ciò ha un valore incommensurabile”.
Significa che un attacco alla sanità crea “una pressione psicologica straordinariamente forte”, mette in guardia Giustozzi, “gli attacchi alla sanità sono dunque attacchi contro lo Stato. Un ospedale non può pagare un riscatto, ma lo Stato sì, come per un rapimento di una persona che lavora per una Ong”.
Come mitigare il rischio
“L’aumento degli attacchi registrati da Clusit nel settore sanitario in maniera costante è iniziato già diversi anni fa; la criminalità informatica è, infatti, decisamente consapevole che l’Healthcare deve minimizzare i disservizi in modo da poter offrire continuità nella sua funzione; d’altro canto, i sistemi informativi della sanità sono particolarmente complessi, critici ma con problemi anche di obsolescenza importanti, e richiederebbero certamente maggiori investimenti per quanto riguarda la cyber security”, spiega Telmon.
Il Rapporto Clusit dovrebbe aiutare a orientare gli investimenti, anche nell’ambito della formazione e della consapevolezza dei rischi, per non abbassare la guardia.
“Fra i punti di attenzione evidenziati ci sono stati l’importanza degli aspetti organizzativi e di gestione del rischio nell’approccio alla sicurezza in generale ed ancor più alla rilevazione ed al contenimento degli incidenti, ambito in cui l’efficacia può dipendere più dall’effettiva attenzione dell’intera azienda alla sicurezza, che da investimenti importanti”, spiega Telmon.
Occorre investire nei backup offline ed è necessario limitare i danni dovuti al fattore umano.
“Si è poi discussa l’importanza dei backup offline che, dove disponibili, hanno permesso di limitare in modo importante i danni causati dal ransomware. Si è discusso del fattore umano e della necessità di prendere atto che fra i tanti utenti, rimarrà sempre qualcuno che continuerà ad avere comportamenti poco accorti, nonostante le pur indispensabili attività di formazione e sensibilizzazione“.
Infine bisogna insistere sulla necessità di limitare i permessi delle utenze, dal momento che le credenziali vengono compromesse da persone poco accorte o distratte, anche se l’uso di un password manager aiuterebbe ad evitare i disastri
“Infatti, è stata condivisa la necessità soprattutto di adottare logiche attente e metodiche di confinamento, partendo dalla limitazione dei permessi delle utenze, anche tecniche, a quanto necessario, per arrivare alla segregazione a livello architetturale. La compromissione delle credenziali di un utente, evento che prima o poi dobbiamo accettare che si verificherà, può infatti rimanere un problema contenuto se quelle credenziali hanno possibilità limitate di azione, ma può diventare un disastro, come è stato in diversi casi discussi, se permettono invece di accedere ad ampie ed eccessive risorse che consentano all’attaccante di ampliare il proprio controllo sul sistema informativo”, conclude Telmon.
