«Il rapporto dei record». Così Gabriele Faggioli, presidente di Clusit esordisce nel presentare l’ultima edizione del report sullo stato della cybersecurity in Italia e nel mondo. «Vediamo numeri preoccupanti, ma non vediamo cambi di direzione. Ci sono elementi positivi, relativi anche agli investimenti, ma il tempo perso negli anni passati, caratterizzati da carenza di investimenti e di competenze, ci lascia un gap importante».
Ma quali sono i record di cui parla Faggioli? Fondamentalmente tre: nel 2022 Clusit ha rilevato 2.489 incidenti informatici, il numero più elevato mai registrato (erano 2.049 nel 2021), con una media di ben 207 al mese. Un secondo record è invece relativo all’Italia, che rappresenta da sola il 7,6% degli incidenti. Un dato impressionante, se si considera che l’Italia rappresenta meno dell’1% della popolazione globale e circa il 2,2% in termini di Pil. Questo significa due cose: che il Bel Paese è sempre più preso di mira dagli attaccanti, ma anche che i passi avanti fatti in termini di consapevolezza del rischio e contromisure informatiche non bastano. Il terzo dato è relativo all’Ue, che rappresenta circa un quarto (24%) di tutti gli incidenti di sicurezza registrati. Va notato che al contrario di altre analisi, il report di Clusit non prende in considerazione i tentativi di attacco informatico, ma solamente quelli andati a buon fine.
Cybersecurity: cosa è successo a livello globale nel 2022
Come anticipato, non si sono mai visti così tanti attacchi informatici. 2.489, con una media di 207 al mese. Il picco si è verificato a marzo, con 238 attacchi andati a buon fine, il numero più alto rilevato in un singolo mese. Non un mese qualsiasi, tra l’altro: a fine febbraio 2022 la Russia ha invaso l’Ucraina dando il via al conflitto, ed è proprio in questo periodo che si sono concentrati gli attaccanti. Un dato che non deve destare scalpore perché, come sottolinea Sofia Scozzari, board member di Clusit, «quello che accade nel mondo reale si riflette in quello cyber». Altri periodi di relativa calma sono stati il mese di gennaio 2022 e di maggio 2022.
È interessante notare anche la tipologia di attacchi, che ci permette di comprendere anche le motivazioni alla loro base. La stragrande maggioranza (82%) è composta da operazioni di cybercrime: fondamentalmente, gruppi di criminali che prendono di mira i sistemi informatici di aziende ed enti governativi con l’obiettivo di guadagnare. Cifrando i dati delle vittime e chiedendo loro un riscatto, ma anche sfruttando sempre più tecniche come quelle della doppia estorsione: prima di rendere illeggibili i dati tramite ransomware, gli attaccanti li copiano sui loro sistemi minacciando di renderli pubblici nel caso non venga pagato un riscatto, spesso milionario. Al secondo posto (11%) troviamo gli attacchi legati a operazioni di spionaggio o sabotaggio: qui possiamo annoverare le operazioni condotte per esempio dai gruppi legati ai vari governi. Il 4% è rappresentato da information warfare, fondamentalmente la propaganda (in buona parte filorussa, visto il periodo, ma non solo) mentre il rimanente 3% degli attacchi è a opera di hacktivisti.
Solitamente, questi ultimi si limitano a mettere fuori servizi i sistemi delle loro vittime tramite attacchi Ddos (Distributed denial of service), rendendoli temporaneamente inaccessibili ma senza sottrarre o danneggiare dati o risorse. Si tratta di attacchi politici, scagliati per lo più da persone comuni e non gruppi criminali. Questi sono anche gli attacchi che hanno avuto la maggiore crescita rispetto al 2021, registrando un +320%. Non ci sono dubbi che sia stata la guerra in Ucraina a dare il via a questa ondata. Lo stesso dicasi per l’information warfare, cresciuto del 110%. Va notato che gli attacchi di cybercrime diminuiscono leggermente in termini percentuali, ma non per quanto riguarda i numeri assoluti: il numero degli incidenti informatici cresce infatti del 15%.
Chi sono le vittime?
Nessun settore è escluso: ovunque ci sia la possibilità di monetizzare, gli attaccanti non se la lasciano scappare. Anche perché è lontana l’epoca in cui l’immaginario dipingeva l’hacker coma una figura solitaria. Oggi parliamo di una vera e propria industria, dove ogni gruppo fa la sua parte. Ci sono gli access broker, che si occupano di trovare le vulnerabilità nei sistemi delle vittime; i gruppi di attaccanti, che le sfruttano; i team che realizzano i malware e li vendono ai precedenti. E, in certi casi, anche gruppi dedicati che si occupano delle varie fasi della negoziazione, offrendo a tutti gli effetti l’assistenza tecnica alle vittime che cedono al ricatto per il ripristino dei sistemi nel caso dei ransomware.
Proprio questo fa capire come la maggior parte delle vittime siano bersagli multipli: i criminali non si concentrano insomma su un particolare settore, ma vanno ovunque vedano una possibilità di monetizzazione. Rispetto al precedente anno, gli attacchi verso bersagli multipli sono quasi raddoppiati (+97%). Analizzando nello specifico i settori, l’healthcare rimane il più colpito e rappresenta il 12% di tutti gli incidenti rilevati (era il 13% nel 2021). In leggera diminuzione rispetto al 2021 anche gli attacchi a siti militari e governativi (12%, erano il 15% nel 2021). A vedere una crescita delle vittime sono i settori finanziario e assicurativo (+40%) e soprattutto il manifatturiero, con un preoccupante +70%.
Un aspetto significativo che emerge dal report di Clusit è che per la prima volta si vede una diminuzione (in percentuale) delle vittime negli Usa, che rappresenta meno del 40% degli incidenti informatici. La brutta notizia è che il terreno dello scontro cyber sembra essersi spostato verso l’Europa: nel Vecchio Continente sono stati registrati il 24% degli attacchi, circa uno su quattro.
In aumento anche la severity, cioè la gravità degli attacchi. L’80% degli attacchi registrati nel 2022 ha avuto un impatto definito “importante” o “gravissimo”. Il 36% degli incidenti rilevati sono stati categorizzati come “critici”. Un ulteriore record che si va a sommare a quelli già citati all’inizio.
La situazione in Italia: il punto di Fastweb
L’Italia storicamente ha accumulato un ritardo sotto il profilo delle competenze cyber, un ritardo tale che anche la crescita degli investimenti in cybersecurity fatica a colmare. A fare il punto sullo stato della sicurezza nel Bel Paese è Gabriele Scialò, product manager – cybersecurity di Fastweb che spiega come la crescita di investimenti per la sicurezza cyber così come una maggiore consapevolezza da parte delle aziende abbiano permesso di contenere leggermente l’incremento degli incidenti di sicurezza, che è stato in ogni caso importante. In Italia nel 2022 sono stati registrati più di 56 milioni di eventi di sicurezza, con una crescita del 25% rispetto al 2021.
Da un lato, è evidente che le aziende stanno prestando più attenzione alla protezione dei loro asset digitali, tanto che diminuisce del 9% il numero di endpoint con servizi esposti su Internet (che rappresenta un grave rischio per la sicurezza). «La diffusione del lavoro flessibile e la digitalizzazione hanno portato pià consapevolezza sia per le aziende private sia per la Pa. Questi sforzi però non sono sufficienti», spiega Scialò. Tanto che l’Italia è al quarto posto a livello globale per il numero di attacchi agli applicativi. Nel Bel Paese soon stati registrati circa 1.800 eventi DDos nel 2022, con una diminuzione del 25% rispetto al precedente anno. I settori più colpiti sono la finanza e la Pubblica Amministrazione, seguiti dai service provider.
A spaventare è la gravità degli attacchi contro le imprese italiane: l’83% di questi incidenti ha un impatto “grave” o “gravissimo”, contro la media globale dell’80%.
Ma come reagisce l’Italia a queste crescenti ondate di attacchi? Non benissimo, a dire il vero. Gli investimenti in cybersecurity stanno aumentando, trainati anche dai fondi del Pnrr, molti dei quali saranno destinati alla digitalizzazione del Paese e della Pa. Nel 2022, sono stati investiti in Italia circa 2 miliardi di euro, con un incremento del 16% rispetto al precedente anno. C’è anche da dire che il peso dell’inflazione non è trascurabile in questo periodo. Come spiega Scozzari, però, sono ancora troppo pochi. Rappresentano circa l’1% del Pil. Francia, Germania e Canada investono in cybersecurity il 2% circa del loro Pil, mentre Regno Unito e Usa addirittura il triplo. E non si tratta solo degli ultimi anni: il ritardo accumulato in questo ambito continua a crescere, e se non si interviene rapidamente il rischio è enorme. Come abbiamo visto, il manifatturiero, che è una delle industrie nostrane più importanti, è infatti preso pesantemente di mira dagli attaccanti (è al secondo posto dopo enti governativi e militari), così come le istituzioni e la Pa in genere.
«L’Italia col tempo arretra perché non investe a sufficienza», dice Alessio Pennasilico, membro del comitato tecnico scientifico di Clusit. «Questo deriva anche dal fatto che il Bel Paese è in fondo alla classifica Desi. O si cambia rapidamente o il gap che si sta creando con paesi più avanzati aumenterà».
