Dall’ultimo report dell’Osservatorio Cybersecurity di Exprivia “Threat Intelligence” emerge che nei primi tre mesi del 2024 i cyber attacchi hanno registrato un calo dell’11% rispetto alla fine del 2023.
Ma a suscitare forte preoccupazione è il fatto che è scarso il livello di sicurezza di dispositivi medicali connessi come gli apparecchi per radiografie, risonanze e microscopi, oltre a tecnologia Wearable per la telemedicina.
“Gli strumenti di laboratorio e di diagnostica per immagini stanno sempre più assomigliando a
dispositivi di rete informatica: in altre parole a server di rete con associati dei sensori di tipo ottico, chimico, fisico di grande accuratezza”, spiega l’ingegner Paolo Campigli, RTD Azienda Ospedaliero-Universitaria Careggi di Firenze. E ciò li espone ai rischi cyber.
Inoltre, “non è facile comprendere se AI in una delle sue forme (generative, ML, DL eccetera) sia stata usata durante un attacco“, commenta a CyberSecurity360 Domenico Raguseo, direttore Cybersecurity di Exprivia. Ma più di tre attacchi cyber su dieci potrebbero essere legati all’AI.
Ecco tutti i dettagli del rapporto di Exprivia, da cui emerge “la significativa attenzione dei threat actor per il settore finanziario, ICT e le infrastrutture critiche, che conferma – ancora una volta – l’importanza e, per certi versi, la necessità della galassia di normative introdotte dall’Unione Europea negli ultimi anni, alla quale appartengono, per esempio, il regolamento DORA e le direttive CER e NIS2″, commenta Enrico Morisi, ICT Security Manager.
Indice degli argomenti
Report Exprivia: cyber attacchi in calo, ma cresce il presunto ruolo dell’AI
Nel primo trimestre, i fenomeni legati cyber crimine sono scesi dell’11%. In tutto si sono verificati 559 casi rispetto ai 626 dell’ultimo trimestre del 2023. Di questi, 437 attacchi, 96 incidenti (attacchi andati a buon fine) e 26 violazioni della privacy.
Infatti “negli ultimi 3 mesi (1Q2024) il numero degli incidenti è il 21% rispetto agli attacchi, mentre nei 3 mesi precedenti (4Q2023) era il 48% ed il periodo precedente era dell’28% (3Q2023). Per avere una percentuale di incidenti dell’11% dobbiamo risalire al 2Q2023 quanto però gli attacchi erano 549“, spiega Domenico Raguseo.
Nonostante il declino generale del primo trimestre, però, il settore finanziario è quello più colpito (-16%). Rallentano anche gli attacchi ai danni della Pubblica Amministrazione (-29%) e del Retail (-30%). Invece accelerano a doppia cifra quelli contro il settore ICT (+53%) e le infrastrutture critiche (+54%).
Il mese di febbraio ha sfiorato la metà dei casi totali (230). Tuttavia, rispetto allo stesso trimestre del 2023, i cyber attacchi hanno registrato un incremento del 128%. Invece gli incidenti sono scesi del 7% e le violazioni della privacy hanno messo a segno un incremento del 117%.
“Il numero di attacchi e incidenti è sostanzialmente costante dagli ultimi mesi del 2023 e sembra non risentire della contingenza sociale ed economica, così la motivazione principale degli attaccanti resta sempre focalizzata sul furto dei dati e di denaro – conferma Domenico Raguseo -. È importante osservare il quadro complessivo dell’andamento tra il vecchio e il nuovo anno e non solo, con la preoccupante crescita – del 50% circa – dei fenomeni complessivi, se paragoniamo l’ultimo trimestre dello scorso anno e i primi tre mesi del 2024 con lo stesso periodo tra fine 2022 e inizio 2023”.
Settori più colpiti
Il settore finanziario è il maggiormente colpito dagli attacchi informatici, con 236 casi, sebbene in declino del 16% rispetto all’ultimo trimestre del 2023 (281 casi).
Quello Software/Hardware ha messo a segno un incremento del 53%, passando da 66 a 101 attacchi, che lo porta al secondo posto tra i settori più colpiti.
La Pubblica Amministrazione ha visto un calo del 29%, con 69 casi rispetto ai 97 del periodo ottobre-dicembre dello scorso anno. Nel settore Retail si sono verificati 57 attacchi, in calo rispetto agli 81 del trimestre precedente (-30%). Nelle infrastrutture critiche, invece, i cyber attacchi sono passati da 13 a 20 casi (+54%).
Il furto dei dati
Il furto dei dati sensibili si piazza ai primi posti, seguiti dalle richieste di riscatto e dalle interruzioni di servizio.
Al primo posto tra le principali tipologie di danni provocati dagli hacker, costituiscono circa il 56% dei casi totali (311 su 559), sebbene in flessione del 14% rispetto alla rilevazione precedente (363 casi).
Al secondo posto si trova il pagamento di un riscatto (attacchi di tipo ransomware), che rappresenta circa il 27% dei casi totali, nonostante il calo del 30% rispetto al trimestre precedente.
La terza categoria di danno più diffuso è stata l’interruzione di servizio quando si arresta il normale funzionamento della rete, di un’app o di un servizio software, che supera il 7% dei casi.
Calano phishing e malware
Ai primo posti si piazzano il phishing/social engineering che ha subito un calo di quasi il 9% rispetto al trimestre precedente (233 fenomeni rispetto a 255). Scendono anche gli attacchi tramite malware, al secondo posto con 214 casi rispetto ai 252 di quelli tra ottobre e dicembre 2023.
Il cybercrime rappresenta la principale minaccia per la sicurezza in rete in Italia, con oltre l’80% dei casi (484) rispetto ai fenomeni complessivi.
L’hacktivism rappresenta circa il 7% (37 casi), mentre il privacy breacher (con distruzione, perdita, modifica, accesso o divulgazione non autorizzata dei dati personali) registra il 5% degli eventi rilevati.
Dispositivi IoT: a rischio i dispositivi medici smart
I dispositivi IoT connessi in rete in Italia è salito del 3% rispetto all’ultimo trimestre del 2023, sfiorando otto milioni di device. Tuttavia, sta peggiorando la sicurezza dei dispositivi medicali smart, come apparecchiature per radiografie e risonanze, microscopi e dispositivi indossabili e connessi per la telemedicina (cardiologici).
“Stiamo assistendo a una fase della Internet revolution, la cosiddetta Internet of Things, caratterizzata dal tentativo di portare online tutto ciò che sia alimentato da corrente elettrica, tipicamente capace anche di eseguire istruzioni, di memorizzare informazioni e di comunicare con l’esterno, in definitiva dei computer a tutti gli effetti, che però tendono a introdurre un numero sempre maggiore di rischi, di livello anche molto elevato”, spiega Enrico Morisi, “evidente che quando si tratta di device utilizzati in ambito medicale, il rischio diviene estremamente critico, potendo impattare anche significativamente sulla salute delle persone”.
“La necessità di ottenere i risultati dell’esame (siano essi valori numerici, immagini, sequenze di caratteri – si pensi ai sequenziatori NGS) in breve tempo ed in formati condivisibili “, avverte Paolo Campigli, “porta sempre più verso la necessità di collegare in rete locale tali strumenti e a dotarsi di opportuni applicativi e storage per la loro gestione. Non è infrequente vedere sui pannelli di controllo degli strumenti le familiari schermate dei sistemi operativi più diffusi (Windows e Linux) nelle versioni server o client”.
“Questa parte ‘a valle’, ma sempre più fondamentale degli esami ha portato a confrontarsi con la sicurezza IT che fino a pochi anni fa era sostanzialmente esterna al mondo laboratoristico”, sottolinea Campigli: “E non è sempre così semplice inserire tali strumenti in un dominio aziendale, dotarli di antivirus e curarne il costante aggiornamento“.
“Per non parlare poi della necessità di accesso remoto per assistenza a tali dispositivi, che troppo spesso è ancora realizzato con applicativi free o comunque non integrati con le logiche di cybersecurity aziendale“, conclude Campigli.
Le logiche della security by design e by default
“D’altro canto, anche se un dispositivo fosse stato progettato seguendo le logiche della security by design e by default”, aggiunge Morisi, “esso dovrà poi essere necessariamente calato in un contesto che potrebbe anche mettere in crisi la sua security posture: diviene quindi di fondamentale importanza adottare un approccio multi-risk-based e resilience-based sui sistemi reali di cui occorra garantire un livello di sicurezza ritenuto accettabile”.
Al contrario, il grado di sicurezza dei servizi esposti in rete ha compiuto progressi nel trimestre analizzato, rendendo più difficile per gli attaccanti comprometterne la reperibilità o la disponibilità, evitando così inefficienze nei sistemi.
Cyber attacchi: il ruolo dell’AI
In questo scenario ancora non è chiaro che ruolo svolga l’AI.
“Per esempio è difficile essere sicuri del fatto che una mail di phishing sia stata scritta da un umano o essere il risultato di qualche algoritmo di AI generativa. Analizzando però le tattiche di attacco per cui esistono dei POC (proof of concept) nell’uso di AI oppure ci sono evidenze di incidenti in cui tali tattiche sono state utilizzate con il supporto di AI, possiamo stimare che il 35% di questi attacchi potrebbe essere collegato all’utilizzo di AI“, mette in guardia Domenico Raguseo.
“Identificare le contromisure necessarie a compensare un aumentato efficientamento delle tattiche di attacco supportate da AI sarà la sfida che gli esperti di sicurezza dovranno affrontare nei prossimi giorni. A dispetto dell’efficientamento delle tattiche di attacco grazie ad AI, dobbiamo comunque registrare una riduzione della forbice tra attacco e difesa“, conclude Raguseo.
“L’Intelligenza Artificiale è e sarà sempre più sfruttata nelle TTP (Tattiche, Tecniche e Procedure) di attacco”, conferma Morisi, “e dovrà quindi essere necessariamente introdotta nei framework di cybersecurity adottati dalle organizzazioni, al fine di potenziare le fondamentali attività di threat intelligence, di gestione del rischio, prestando attenzione anche ai rischi derivanti dalla stessa introduzione dei sistemi di IA, scongiurando le cosiddette ‘allucinazioni’, foriere di possibili illeciti, e, infine, del SOC (Security Operation Center) in particolare per rendere più efficiente ed efficace l’analisi dell’immensa mole di informazioni provenienti da tutte le soluzioni tecnologiche a supporto, al fine di intercettare il più rapidamente possibile eventuali minacce”.
Il framework di gestione e controllo: l’AI Act
Come già accennato, però, “l’IA porta con sé anche dei rischi, per cui occorre introdurre parallelamente un framework di gestione e controllo permanente dei sistemi di IA, al fine di attestare che si è fatto tutto ciò che ragionevolmente sia possibile fare per evitare che commettano errori che possano configurarsi come illeciti, per esempio ai sensi dell’AI Act, fondamentalmente a causa di una base dati incompleta o ‘avvelenata’, della presenza di bug nei sistemi stessi o di un errore nelle loro modalità di addestramento, illeciti di cui evidentemente risulta responsabile l’organizzazione”, conclude Morisi.
