Il 12 maggio scorso i computer di circa 200 mila utenti, in almeno 150 Paesi nel mondo, sono stati messi ko da un virus chiamato WannaCry. Solo l’ultimo in ordine di tempo. Prima, infatti, c’erano state le violazioni di 500 milioni di account Yahoo, le presunte azioni di cyberspionaggio durante le elezioni presidenziali americane, fino ad arrivare all’attacco al ministero degli esteri italiano per un totale, solo lo scorso anno, di 1.050 incidenti noti, classificati come gravi. Tanto che il 2016 si è conquistato il titolo di annus horribilis della sicurezza sul web, strappando il primato al 2011. Istituzioni, imprese o navigatori privati: nessuno può ritenersi immune dai correlati danni in termini economici, di reputazione o diffusione di dati sensibili.
A confermare quella che potrebbe sembrare solo una percezione di maggiore vulnerabilità dei sistemi informatici arrivano i dati del Rapporto Clusit 2017: il cybercrime, ossia l’insieme dei reati informatici compiuti con l’obiettivo di estorcere denaro alle vittime, o di sottrarre informazioni per ricavarne denaro, è causa del 72% degli attacchi verificatisi nel 2016 a livello globale, confermando un trend di crescita costante dal 2011, quando questa tipologia di attacchi era al 36%. Crescita a tre cifre (117%) per la cosiddetta «guerra delle informazioni» (cyber warfare) e addirittura a quattro cifre l’incremento degli attacchi compiuti con tecniche di Phishing (+1.166%).
Le imprese, dal canto loro, non restano a guardare: il mercato delle soluzioni di sicurezza informatica, in Italia nel 2016, raggiunge i 972 milioni di euro, in crescita del 5% rispetto al 2015, con una spesa concentrata tra le grandi imprese (74%) suddivisa tra tecnologia (28%), servizi di integrazione It e consulenza (29%), software (28%) e managed service (15%). Tuttavia le minacce richiedono nuovi modelli di organizzazione e solo il 39% delle grandi imprese ha un piano di investimento pluriennale, il 46% ha in organico un chief information security officer e appena il 15% ha attivato assicurazioni sul rischio Cyber. Insomma, la strada da fare per colmare il ritardo nella gestione della sicurezza è ancora lunga, come testimonia la ricerca dell’Osservatorio Information security and privacy della School of management del Politecnico di Milano.
Il rapporto Clusit 2017. Il rapporto, frutto del lavoro di un centinaio di esperti e della collaborazione di un gran numero di soggetti pubblici e privati, che hanno condiviso con Clusit (Associazione italiana per la sicurezza informatica), informazioni e dati e le proprie esperienze sul campo, mette in evidenza che, se si escludono gli attacchi informatici effettuati per finalità politiche o sociali, soprattutto dimostrative (hacktivism, caso tipico sono gli attacchi contro le forze dell’ordine), in sensibile calo (-23%), e le attività di spionaggio, portate a termine soprattutto in ambito industriale sulla proprietà intellettuale (cyber espionage, -8%), sono preceduti dal segno più sia gli attacchi effettuati mediante l’uso di strumenti informatici, volti spesso a estorcere denaro (cyber crime, +9,8%) sia la cosiddetta guerra delle informazioni, svolta per finalità politiche anche a supporto di attività militari o paramilitari (cyber warfare, +117%).
A farne maggiormente le spese è il settore della sanità, nel quale gli attacchi sono raddoppiati (+102%), a seguire la Grande distribuzione organizzata (+70%) e l’ambito bancario/finanziario (+64%). Seguono le infrastrutture critiche, dove gli attacchi gravi sono aumentati del 15% rispetto allo scorso anno.
Diverse le tecniche d’attacco utilizzate, buona parte (32%) risultano sconosciute (in aumento del 45% rispetto al 2015), soprattutto a causa della scarsità di informazioni in merito tra le fonti di pubblico dominio. In crescita anche gli attacchi tramite malware (+116%), ossia software «cattivi» che infettano i server aziendali per raccogliere informazioni, creare malfunzionamenti o criptare dei dati, e oggi utilizzati non solo per attacchi di piccola entità, ma anche contro bersagli più importanti. Ma l’impennata maggiore, e per questo più preoccupante, l’hanno fatta registrare gli attacchi compiuti con tecniche di Phishing /Social Engineering (+1.166%), ossia le pratiche che utilizzano la buona fede degli internauti per rubare dati, informazioni, password e quant’altro per sferrare l’attacco vero e proprio.
Ciò che fa scattare il campanello d’allarme è il dato secondo cui un attacco su due (56%) è portato a termine tramite tecniche banali (SQLi, DDoS, Vulnerabilità note, phishing, malware semplice) il che indica, secondo gli esperti del Clusit, la facilità di azione dei cybercriminali e la possibilità di compiere attacchi con mezzi esigui e bassi costi.
La ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano. La ricerca, per la quale sono state coinvolte 951 tra grandi imprese (148) e pmi (803), rileva che la tattica di difesa usate dalle aziende italiane consiste nell’identificare i rischi e nel cercare di proteggersi dagli attacchi. Ancora poco diffusi, invece, il supporto alla rilevazione degli eventi e poi la risposta e il ripristino. Così come sono ancora poche le aziende che hanno definito al loro interno strutture ad hoc deputate alla sicurezza informatica. Solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del chief information security officer (ciso), nel 12% è presente ma non formalizzata, nel 9% è prevista l’introduzione nei prossimi 12 mesi. Nei restanti casi non esiste una figura e il presidio dell’information security è demandato direttamente al chief information officer (28%) o a figure esterne all’Ict (5%).
L’immaturità contraddistingue anche il mercato italiano dell’assicurazione del rischio cyber. Solo il 15% delle imprese ha già attive coperture assicurative, sebbene solo in poco più della metà dei casi (8%) si tratti di polizze espressamente orientate al rischio cyber, mentre nei restanti casi si tratta di coperture generalistiche che la offrono tra le condizioni. Il 29% è in valutazione di coperture assicurative, mentre il 32% non ritiene sufficientemente maturo il mercato cyber insurance o non ritiene il problema rilevante.
Non meno incerta la situazione tra le pmi. Il 93% ha dedicato un budget nel 2016, ma con poca consapevolezza. Infatti, le principali motivazioni a investire sono l’adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). La maggior parte delle pmi ha soluzioni di sicurezza di base (76%) come antivirus e antispam contro un 62% che dichiara di disporre anche di soluzioni sofisticate, come ad esempio firewall o sistemi di intrusion detection. Un’organizzazione su quattro (25%) però si fa guidare dal buon senso, senza un approccio tecnologico definito. Il 46% ha policy aziendali ben definite, mentre solo il 10% ha programmi di formazione orientati ad aumentare la consapevolezza.
Roxy Tomasicchio
