“Italia nel mirino degli hacker”: è esplicativo il titolo che Clusit ha dato al suo Rapporto 2023, relativo alle rilevazioni effettuate nel 2022. Anno, quello di riferimento, che di fatto si prospetta come il peggiore per la cybersecurity, in una situazione che è ormai da anni in continuo peggioramento. Gabriele Faggioli, Presidente di Clusit, ha aperto la presentazione alla stampa parlando di “numeri preoccupanti, che non lasciano vedere nessun cambio di direzione, nonostante ci siano una serie di elementi positivi sia nel nostro Paese che nel resto del mondo, in termini di investimenti e di attenzione verso la sicurezza informatica”.

Il focus ovviamente è sull’Italia, dove la complessità della situazione è da ricondurre, secondo Faggioli, agli anni di ritardo accumulati dal nostro Paese, che ormai deve gestire una carenza di skill e una mancanza di investimenti degli ultimi anni che rappresentano un fardello difficile da lasciarsi alle spalle.

L’anno dei record

Sofia Scozzari, membro del Comitato Direttivo Clusit e co-autrice del Rapporto, ha sottolineato più volte nel corso dell’sposizione del report il fatto che il 2022 sia stato l’anno dei record. Il primo riguarda il numero degli attacchi cyber registrati da Clusit: 2.489 attacchi gravi di pubblico dominio; un numero enorme se si pensa che negli ultimi 5 anni Clusit ha registrato complessivamente 9.633 incidenti a livello globale. Rispetto al 2018, nel 2022 c’è quindi stato un incremento del 60%, di cui il 21% solo nell’ultimo anno.

L’altro record riguarda il numero di attacchi mensili: 207, contro i 171 in media del 2021, con un picco a marzo 2022, quando il conteggio è salito a 238 attacchi in corrispondenza dell’inizio del conflitto Russia-Ucraina. Un evento quest’ultimo che ovviamente ha segnato tutto l’anno e ha influenzato non solo il numero degli incidenti, ma anche la loro natura e il ritorno di tipologie di attacchi erano scomparse come l’hacktivismo.

Andando per ordine però torniamo all’andamento dell’ultimo anno perché è importante evidenziare un dato: al contrario di quanto avveniva in passato, durante festività natalizie si è registrato un calo degli attacchi, il che significa che gli attaccanti non hanno approfittato delle festività e del personale ridotto. In compenso, è evidente un picco primaverile, probabilmente legato di nuovo al conflitto bellico.

Sulla distribuzione degli attaccanti la situazione è per grandi linee molto simile a quella di novembre 2022 e degli anni precedenti: il cybercrime padroneggia la scena internazionale, seguono sabotage/espionage a grande distanza. Terzo posto vede un raddoppio della percentuale dell’information warfare (4% del 2022 contro il 2% dei tre anni precedenti) e in ultimo il grande ritorno dell’hacktivismo, a cui è riconosciuta una percentuale del 3% contro l’1% dell’anno antecedente, quantificabile in una crescita del 320%.

Anticipiamo l’analisi della gravità degli attacchi per segnalare due aspetti importanti. Il primo è che questa impennata dell’hacktivismo ha portato a incidenti dimostrativi di bassa gravità. La parte di sabotage/espionage è probabilmente sottostimata perché gli incidenti di questo tipo restano tipicamente silenti per anni e la loro scoperta di solito è incidentale. Gli esperti di Clusit a questo proposito aggiungono che l’attuale situazione potrebbe verosimilmente cambiare nel prossimo futuro. L’impiego in Ucraina di strumenti cyber-offensivi sofisticati (come per esempio i malware wiper) sarà difficilmente reversibile, e in prospettiva potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma sostanzialmente impreparato ad affrontare minacce di questa natura.

Sono poche invece le novità relative alla distribuzione delle vittime, che vede ancora i multiple target in prima linea con una proporzione del 22%, seguiti da sanità (12%), dal comparto governativo e militare. Successivamente troviamo financial, education e manifacturing.

Il focus sull’Italia

Uno degli aspetti che preoccupa maggiormente Clusit è relativo alla geografia delle vittime. I dati esposti finora sono globali, ma andando a ripartire le aree si nota che per la prima volta nel 2022 gli attacchi in USA sono diminuiti e cono scesi sotto alla soglia del 40%. Per contro sono aumentate molto le vittime in Europa, che per la prima volta hanno raggiunto il 24%, ossia quasi un quarto del campione: un risultato che – sottolinea Sofia Scozzari – non si era mai visto prima.

Questo dato va a braccetto con i dati italiani, dove l’aumento degli attacchi è enorme. Clusit calcola che nell’anno di riferimento gli attacchi contro il Belpaese hanno rappresentato il 7,6% del totale con una progressione spaventosa se si pensa che nel 2018 la percentuale era dell’1,9% e che nel 2021 eravamo fermi al 3,4%. Siamo quindi di fronte all’ennesimo record dell’edizione 2023 del Rapporto Clusit, con una impennata del +168%. Come sottolinea Faggioli, infatti, questo dato è in contrapposizione col fatto che l’Italia rappresenta solo lo 0,75% della popolazione mondiale e il 2,2% del PIL globale.

@ra

Peraltro la situazione non è molto differente da quella globale: il cybercrime domina, il malware è la tecnica più usata (è presente in oltre la metà degli attacchi) e i settori più colpiti sono quello governativo/militare, seguito da manifacturing e soggetti multipli. Un dato importante è quello relativo alla severity degli attacchi, ossia alla loro gravità proporzionata con i danni causati: il 37% degli attacchi è classificato come critico, e in linea generale la severity degli attacchi registrati in Italia è allineata a quella globale, seppure con un leggero accento in più per il Belpaese.

In relazione alla situazione italiana, Faggioli ribadisce quanto già sottolineato più volte in passato: è necessaria una evoluzione nell’approccio alla cybersecurity. È necessario che si attivino a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità. “Serve inoltre – rimarca Faggioli - pensare in ottica di razionalizzazione degli adempimenti normativi, oltre ad evolvere in chiave di economia di scala, di condivisione della conoscenza, delle risorse e dei costi cyber, considerando che tanti piccoli investimenti autonomi non fanno una grande difesa ma solo tante inefficienti difese”.

L’auspicio, già sottolineato dal World Economic Forum, è un partenariato pubblico-privato in cui “le iniziative istituzionali siano sostenute dalle singole imprese e pubbliche amministrazioni, tramite la costituzione e l’evoluzione di processi adeguati di monitoraggio della sicurezza, incident management, crisis management, e servizi SOC, tra gli altri”.

La Pubblica Amministrazione

In questa edizione, il Rapporto Clusit propone un focus sulla Pubblica Amministrazione. I dati sono globali e riferiscono di una ripartizione delle vittime assolutamente bilanciata fra USA ed Europa: 43% negli Stati Uniti e 43% nel Vecchio Continente. Complessivamente gli attacchi contro la PA registrati nel 2022 sono stati il 9,5% del totale, in leggero calo rispetto all’anno precedente.

Quanto alle armi usate per sferrare gli attacchi, ritroviamo il malware al primo posto, ma è da sottolineare un incremento degli eventi DDoS che riallacciano alle azioni politicamente motivate e legate al conflitto ucraino. In crescita le onnipresenti tecniche multiple. Quello che Clusi evidenzia è che nel caso specifico delle PA la complessità attacchi è cresciuta: nel 95% dei casi si registrano impatti gravi/gravissimi.