Tanti report, risultato comune: gli attacchi digitali aumentano rispetto agli stessi periodi di osservazione del 2023. Una piaga che si allarga, non troppo allegramente, verso la potenziale apocalisse digitale.
Sebbene possa sembrare di leggere sempre la stessa notizia, da qualche anno a questa parte, ovvero, di ‘fare attenzione agli attacchi digitali esistenti’, di fatto la minaccia non resta immutabile, non si ferma, ma anzi, cresce, si evolve, cambia, si specializza.
Restare aggiornati seguendo le sue evoluzioni può aiutare a comprendere meglio come trattare il rischio che si verifichi un attacco, cosa e come proteggere al meglio i propri asset aziendali, pianificare una spesa adeguata al valore da proteggere e finalmente considerare i rischi di sicurezza informatica al pari degli altri rischi di business. Perché da una compromissione digitale ci si può riprendere se e solo se si è lavorato ad hoc in anticipo.
L’indagine OAD 2024 (Osservatorio Attacchi Digitali), il rapporto Clusit del secondo semestre 2024, il report Q3 APT di Kaspersky e lo 2024 State of Malware Report di Malwarebytes, fotografano una situazione di larga e grave diffusione di attacchi digitali con forti impatti sui sistemi informativi (SI) delle aziende considerate dalle rispettive analisi. La tendenza di rischio non sembra migliorare per il 2025 come risulta dal Risk outlook 2025 di SOS.
Indice degli argomenti
Evidenze dai report di Security
L’indagine OAD 2024 rappresenta una survey indipendente online sugli attacchi digitali intenzionali ai Sistemi Informativi (SI) delle aziende e degli enti pubblici operanti in Italia.
Pubblicata da AIPSI, Associazione Italiana Professionisti Sicurezza Informatica (capitolo italiano di ISSA, organizzazione mondiale no-profit di persone professionalmente coinvolte a vario titolo e ruolo nella sicurezza digitale n.d.r.), fa riferimento agli attacchi intenzionali rilevati nel 2023, coprendo tutti i settori merceologici, includendo sia l’ambito pubblico centrale e locale sia l’ambito privato con feedback dalla grande industria, dalle aziende PMI e gli studi professionali (avvocati, commercialisti, notai, etc.).
L’edizione 2024 è la diciassettesima dell’osservatorio. Il Rapporto fotografa tre ambiti: gli attacchi rilevati dalle aziende/enti rispondenti, gli attacchi agli ambienti web, e gli attacchi ai sistemi OT, Operational Technology.
Dai risultati si apprende che il 72,4% delle aziende/enti rispondenti ha subito attacchi digitali fra i quali il più tipo più diffuso riguarda un 31,7%, di modifiche malevoli/non autorizzate ai programmi e alle configurazioni dei sistemi ICT. Le aziende maggiormente colpite sono il medio grandi, mentre le piccole sono coinvolte in attacchi mirati oppure in campagne di attacco “di massa” come quelle legati ai ransomware o alle campagne di phishing.
Per il secondo ambito, quello degli attacchi web, Il 58,4% delle aziende/enti rispondenti ha rilevato attacchi alle applicazioni ed agli ambienti online, e di questi il 60,6% li ha subiti nei propri ambienti cloud, con tempi di downtime maggiori o uguali a due giorni. L’impatto economico è stato significativo per l’86,5% delle aziende vittima, con un aumento dei costi sul budget del sistema informativo, mentre per il 24% i costi hanno provocato impatti anche sul bilancio dell’azienda/ente.
In tema di attacchi agli ambienti OT (Operational Technology) ne è stato interessato un 37 % dei rispondenti e per circa 1/3 di questi il blocco è durato tra 2 e 3 giorni, mentre per circa la metà è durato più di 3 giorni.
Dal rapporto Clusit del secondo semestre 2024 si possono osservare dati coerenti con il rapporto OAD2024. Il primo semestre 2024 conferma il trend di crescita delle incursioni cibernetiche a livello globale, con 1.637 attacchi cyber rilevati nel mondo in media di 273 al mese, (pari ad una crescita del 23% rispetto al semestre precedente) contro i 230 dello scorso anno (crescita del 11%) e i 139 del 2019.
Anche la gravità dei danni ha visto un aumento con l’81% degli eventi registrati che ha causato impatti gravi verso gli obiettivi. I dati comparati degli ultimi cinque anni mostrano un incremento degli attacchi globali del 110%, dal 2019 al 2024 con una media di nove attacchi al giorno nel 2024.
Parte degli ingenti danni sono dovuti all’uso di minacce persistenti e avanzate (Advanced Persistent Threats, APT n.d.r.) le cui caratteristiche sono state fotografate dal report Q3 APT di Kaspersky centrato sulle tendenze APT nel terzo trimestre 2024. Queste minacce dai nomi spesso criptici (ad es. Awaken Likho, Epeius, Trojanized USB management software) costituiscono tipologie di attacchi sofisticati rispetto ai quali la difesa è più complessa e deve essere altrettanto strutturata quanto la catena di azioni che costituiscono l’attacco (cosiddetta kill chain n.d.r.).
David Emm, Principal Security Researcher di Kaspersky spiega che “è in aumento l’uso di strumenti open-source da parte degli attori delle minacce APT; normalmente i criminali tendono ad aggiornare costantemente i loro strumenti e ampliano la portata delle loro attività, allargando i loro obiettivi, sia in termini di target che aree geografiche”.
Infine, i settori più critici oggetto di attacchi sono gli ambiti del mercato finanziario/assicurativo, manifatturiero e la sanità (fonte: Rapporto Clusit) come anche il settore dell’education con un aumento del 70% degli attacchi ransomware solo nell’ultimo anno, secondo il 2024 State of Malware Report di MalwareBytes.
I suggerimenti di approccio
Andrea Zapparoli Manzoni, del comitato scientifico Clusit ha osservato come “nel primo semestre 2024 il numero di incidenti subiti dal nostro Paese è sproporzionatamente alto rispetto alla nostra popolazione ed al PIL nazionale in rapporto col PIL mondiale, il che certamente merita un’attenta riflessione ed azioni concrete di mitigazione”.
Per Orlando Scott-Cowley, public sector tech and business development manager presso AWS è necessario un cambio di approccio basato sulla cultura promossa e sostenuta dal board aziendale, perché “per promuovere un cambiamento concreto, la leadership è fondamentale e deve promuovere e sostenere una cultura che favorisca la cybersecurity a tutti i livelli. La cybersecurity non riguarda solo la tecnologia: deve partire dal vertice dell’organizzazione”.
Anche Pierguido Iezzi, Direttore aziendale strategico presso Tinexta Cyber commentando i dati di attacco condivide riflessioni legate ai “dati riportati dai vari report, inclusi quelli di OAD e Clusit, che trovano conferma anche nel recente report di Tinexta Cyber (Cyber risk report H1 2024, n.d.r)”.
“Il documento – continua Iezzi – sottolinea come le minacce informatiche siano in costante evoluzione, colpendo in modo pervasivo settori chiave come istruzione, servizi professionali e industria manifatturiera. Questi comparti, spesso popolati in gran parte da PMI, sono tra i più bersagliati”.
E ancora: “Potrebbe sembrare una questione di consapevolezza, ma questa è una mezza verità. Il problema non è la mancata conoscenza dei rischi, bensì, spesso, la capacità di affrontarli: costi elevati, difficoltà di accesso a risorse qualificate come esperti di cyber security, perdita di competitività rispetto ai mercati extra-UE e un labirinto di normative e obblighi creano un insieme di sfide complesse”.
L’approccio da tenere, secondo Iezzi, è basato sulle priorità: “Quali affrontare per prime e a chi affidarsi per iniziare un percorso efficace? L’introduzione della normativa NIS2, che estende gli obblighi di sicurezza lungo la catena di fornitura di aziende importanti ed essenziali, aumenta ulteriormente la pressione, obbligando le PMI ad adottare strumenti di protezione per non mettere a rischio la resilienza dell’intero ecosistema aziendale e nazionale. Le PMI vogliono e possono affrontare queste sfide, ma necessitano di un supporto concreto”.
Ma come si può concretizzare? “Il lavoro dell’ACN è encomiabile, così come il ruolo svolto dalle associazioni di categoria, come Assintel con il Cyber Think Tank, che offrono formazione e servizi gratuiti. Tuttavia, è indispensabile individuare strumenti finanziari più efficaci, come la defiscalizzazione degli investimenti o altre formule di sgravi fiscali, per sostenere le PMI nel loro percorso di trasformazione e resilienza”.
Sostenibilità economica degli interventi di sicurezza informatica
Il tema economico legato a sostenere gli interventi di sicurezza è spesso sottostimato. Da un lato sono ingenti le perdite economiche legate alle conseguenze di attacchi tanto che secondo il recente rapporto Kaspersky IT Security Economics, le aziende stanno pianificando di aumentare gli investimenti nella sicurezza informatica, in risposta alle crescenti perdite finanziarie causate dai cyber attacchi.
Dall’altro non si approccia correttamente il tema degli investimenti per gli interventi di difesa preventiva. In Italia, è stata registrata una media di 16 incidenti, che hanno coinvolto le aziende di tutte le dimensioni, con una spesa pari a 2,1 milioni di dollari e si prevede un investimento in cyber security pari a circa 1 milione di dollari su 9,1 milioni di dollari destinati all’IT. Gli aumenti stimati secondo la ricerca per i budget destinati alla sicurezza informatica potrebbero aumentare fino al 9%.
Ma è su come spendere che forse si dovrebbe ragionare modo più efficace. Marco Ramilli, founder IdentifAI e Group Chief Innovation Officer di Tinexta S.P.A. indica come rendere sostenibile l’approccio alla difesa: “Per ottimizzare i costi nella cyber security, l’approccio più efficace è adottare un modello basato sul rischio (“risk-based”).
Questo significa – aggiunge – identificare i rischi specifici per la propria organizzazione e concentrarsi su di essi. È fondamentale essere consapevoli dei rischi più significativi, tenendo conto della natura dei dati trattati (ad esempio, dati sanitari o educativi) e delle vulnerabilità specifiche. Gli investimenti dovrebbero essere prioritizzati in base ai rischi identificati, affidandosi anche a partner esterni specializzati per gestire le aree più critiche.
Inoltre – conclude Ramilli – oggi è possibile collaborare con organizzazioni no profit o associazioni che si occupano di proteggere il perimetro cibernetico delle aziende. Esistono numerose realtà di questo tipo che offrono servizi preziosi per garantire una protezione efficace in ambito cyber security”.
Trend di rischio non solo tecnologici per il 2025
I principali rischi che dovranno essere fronteggiati dalle aziende nell’anno a venire sono tracciati dal rapporto Risk Outlook 2025 secondo cui mantenere la continuità operativa e proteggere la propria forza lavoro saranno temi centrali.
La crescente incertezza è legata ad un contesto definito di permacrisi, in cui sono percepite ripercussioni legate alle sfide geopolitiche nel 2025 secondo il 69% dei decisori, mentre per il 75% degli intervistati i disordini sociali e politici rappresentano uno dei rischi principali.
Infine, il 78% ritiene che il burnout e lo stress avranno un notevole impatto sulle aziende e/o sui dipendenti nel prossimo anno.
La soluzione alle prime due sfide risiede secondo Franco Fantozzi, Senior Security Advisor di International SOS in “un passaggio da strategie reattive a strategie predittive, basate sull’utilizzo di informazioni accurate e collaborazioni di tipo trasversale. Per quanto le sfide siano numerose, le organizzazioni che adottano un approccio sistematico per comprendere e mitigare tali rischi multistratificati non solo possono tutelare la propria forza lavoro e capacità operativa, ma anche rafforzare la propria resilienza”.
Rispetto a stress e burnout il Fareed Ahmed, Medical Director di International SOS suggerisce una cura basata su “un investimento proattivo nel benessere dei propri dipendenti costruendo così una reale resilienza operativa”.
È inoltre necessario “creare un ambiente di lavoro sano in cui proteggere e promuovere la salute mentale, non solo per contrastare lo stress, ma anche per aumentare l’impegno, la produttività e la fidelizzazione, elementi essenziali per affrontare un mondo in continuo cambiamento”.
