di Marco Frojo ♦ Cresce l’aggressività del cybercrime : un’azienda su due verrà bucata nei prossimi dodici mesi. Il 25 maggio entrerà poi in vigore la nuova normativa europea sulla protezione dei dati privati. Ecco che cosa fare e come difendersi. Parlano Faggioli (Clusit) e Mondelli (Assiteca Sicurezza Informatica)
Il 17 luglio scorso FedEx ha annunciato ai mercati finanziari che l’attacco informatico subito dalla sua controllata europea Tnt Express avrebbe avuto un “impatto significativo” sui suoi conti. Per Wall Street si è trattata di una prima assoluta: in precedenza nessuna società – e tanto meno una delle dimensioni del colosso statunitense della logistica – aveva mai lanciato un profit warning a causa di un virus. La novità è però presto diventata una consuetudine perché a FedEx hanno fatto seguito gli annunci di numerose altre società, fra cui la tedesca Beiersdorf, il produttore della crema Nivea. E dopo il ransomware Wannacry, quello responsabile dell’attacco a FedEx, è arrivato NotPetya, un malware analogo che ha mietuto vittime altrettanto illustri.
2017: l’anno del cybercrime
Il 2017 ha dunque rappresentato un punto di svolta nel rapporto fra le imprese e la sicurezza informatica e la svolta non è di certo stata in meglio. Per dirla con le parole di Gabriele Faggioli, presidente di Clusit, la principale associazione italiana nel campo della sicurezza informatica nata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano,«se l’anno scorso abbiamo scritto nel nostro Rapporto annuale che eravamo “davanti a uno scenario che si potrebbe definire da incubo”, ora questo scenario non l’abbiamo davanti, ci stiamo vivendo dentro».
Nel 2017 il Cybercrime farà segnare il nuovo record di sempre in termini di danni causati ed è sempre più chiaro che l’obiettivo dei criminali informatici è quello di arricchirsi. Nel 2016, a livello globale, ben il 72% degli attacchi mirava ad estorcere denaro, una percentuale esattamente doppia rispetto al 36% del 2011. A conferma di questo trend c’è la diminuzione delle operazioni di Cyber Espionage (-8%) e Hacktivism (-23%).
Si tratta di dati molto allarmanti per l’industria manifatturiera italiana che è per lo più costituita da imprese piccole e medie che non sono certo dotate di importanti divisioni It. I dati raccolti da Clusit dicono che qualsiasi organizzazione, indipendentemente dalla dimensione o dal settore di attività, è a rischio concreto di subire un attacco informatico di entità significativa entro i prossimi 12 mesi. Oltre il 50% delle organizzazioni nel mondo ha infatti subito almeno un attacco grave nell’ultimo anno.
Il 2018 si delinea quindi come l’anno in cui le aziende del Belpaese dovranno seriamente correre ai ripari e mettere la sicurezza informatica in cima alla lista delle loro priorità. Non c’è infatti solo il rischio di subire un attacco che, a seconda della sua gravità, rischia da solo di mettere in ginocchio le imprese con le spalle meno larghe ma c’è anche una importantissima scadenza: il 25 maggio prossimo entrerà definitivamente in vigore il Regolamento n. 679/2016 UE (Regolamento generale sulla protezione dei dati – GDPR, General data Protection Regulation), e da quella data in poi al danno dell’attacco informatico rischia di aggiungersi la beffa di una pesante sanzione amministrativa se il sistema di protezione dei dati non è risultato conforme alle norme stabilite.
Sei mesi vissuti pericolosamente
«Nel primo semestre 2017 la cyber-insicurezza ha effettuato un salto quantico a livello globale, raggiungendo livelli in precedenza inimmaginabili – spiega Andrea Zapparoli Manzoni, membro del comitato direttivo Clusit e tra gli autori del Rapporto Clusit 2017 – Questo a fronte di investimenti in Sicurezza Ict ancora del tutto insufficienti rispetto al valore del mercato di beni e servizi Ict, nonché alla percentuale di Pil generato tramite l’applicazione dell’Ict da parte di organizzazioni pubbliche e private e dai privati cittadini».
Secondo l’esperto è quindi necessario «mettere a punto un nuovo modello di investimenti in Cyber Security, commisurandoli adeguatamente alle minacce attuali. Pena una crescente e significativa erosione dei benefici attesi dal processo oggi in atto di digitalizzazione della società». Il Cybercrime è stata la prima ragione di attacchi gravi nei primi sei mesi dell’anno: i criminali hanno colpito le loro vittime nel 75% dei casi con l’obiettivo di estorcere denaro. Questa tipologia di attacco ha registrato una crescita del 13,26% rispetto ai sei mesi precedenti.
In aumento – a tre cifre, sempre sul confronto con la seconda metà del 2016 – anche i crimini riferibili al Cyber Espionage (+126%). La crescita percentuale maggiore è stata però quella dei cosiddetti “Multiple Targets” (+253%), ovvero intrusioni compiute in parallelo dallo stesso attaccante contro numerose organizzazioni appartenenti a categorie differenti. Seguono i settori “Research/ Education” (+138%) e Infrastrutture Critiche (+23%) e il “Banking/ Finance” (+12%). Da segnalare infine la crescita (+16%) dei crimini informatici verso la categoria “Ricettività” (hotel, ristoranti, residence e collettività), che hanno tipicamente l’obiettivo di colpirne i clienti finali.
«Sottostima dei rischi e investimenti insufficienti in sicurezza cyber sono le principali cause della curva ascendente dei crimini informatici negli ultimi sei mesi – si legge nel Rapporto Clusit – Contestualmente, si assiste all’inarrestabile espansione della superficie di attacco esposta dalla nostra società digitale: la rapida diffusione di smart working, che si avvale di strumenti quali mobile, cloud e social, spesso utilizzati in maniera indiscriminata mescolando profili personali e lavorativi, e dell’Internet of Things, con apparecchiature per lo più prive delle più elementari misure di sicurezza, costituiscono punti di accesso sempre più immediati verso i sistemi informativi delle organizzazioni».
Nei sei mesi analizzati dal Rapporto Clusit gli attacchi sferrati con malware comune sono stati il 36% del totale, in crescita dell’86% rispetto al secondo semestre 2016. Scendendo nel dettaglio, il 27% degli attacchi realizzati tramite malware è stato compiuto utilizzando ransomware e il 20% tramite malware specifico per piattaforme mobile (7% iOS, 13% Android), un fenomeno che sta facendo registrare alti tassi di crescita.
Questo trend preoccupa non poco gli esperti Clusit, che evidenziano come la maggior parte di questi sistemi non sia provvista di alcuna protezione. Appare inoltre evidente dall’analisi delle tecniche di attacco la sempre maggiore facilità nel reperire strumenti offensivi anche molto sofisticati sul mercato nero e la loro crescente accessibilità in termini economici, secondo logiche prettamente “industriali”. Da segnalare anche il balzo del “Phishing e Social Engineering” (+85%). L’associazione delle aziende di sicurezza informatica mette infine in guardia contro i rischi specifici che corrono alcuni contesti produttivi, quali l’Industry 4.0, oppure alcune applicazioni critiche come per esempio in ambito e-health e smart-city.
La situazione delle Pmi italiane
In un contesto così difficile e rischioso le aziende italiane, soprattutto quelle di dimensioni più piccole, non sembrano esser pronte a raccogliere la sfida. Almeno per ora. La stragrande maggioranza non ha mai affrontato seriamente il problema e, in molti casi, ha subito attacchi senza neanche rendersene conto.
«Fino a qualche anno fa molte imprese non prendevano neanche in considerazione le raccomandazioni di rafforzare le propria sicurezza informatica – racconta Guido Mondelli, amministratore di Assiteca Sicurezza Informatica e uno tra i massimi esperti di cyber security in Italia – Le cose stanno però cambiando nel senso che la consapevolezza di dover affrontare la problematica sta crescendo. Di recente ho partecipato a uno stage organizzato da Confindustria Brescia a cui hanno partecipato 600 persone; qualche anno fa un evento analogo ne avrebbe attirato solo una cinquantina. Una volta terminato lo speech, ben 62 mi hanno contattato perché hanno capito che, se non corrono ai ripari, potrebbero avere problemi seri».
Secondo Mondelli nell’industria manifatturiera italiana si sta diffondendo la “consapevolezza” dell’importanza della sicurezza informatica, un primo importantissimo passo nella direzione giusta, anche se la strada da fare è ancora lunga. «In molti casi le aziende non sono proprio dotate di una divisione It e anche in quelle dove è presente essa viene vista come un centro di costo e non come un’opportunità – prosegue Mondelli – In Italia solo lo 0,05% del Pil viene investito in sicurezza informatica, mentre in Germania questo valore sale all’1,6%, circa trenta volte tanto. Oggi le aziende ti chiamano solo dopo esser state attaccate e in molti casi è ormai troppo tardi».
L’esperto di Assiteca fa notare come un solo attacco informatico possa mettere in ginocchia un’azienda: «Prendiamo per esempio il comparto della componentistica auto e mettiamo che una grande casa automobilistica straniera si sia rivolta a un’azienda italiana per produrre un determinato componente di una nuova auto, di cui ovviamente fornisce i disegni. In seguito a un attacco informatico il progetto del nuovo veicolo viene sottratto dai server dell’impresa italiana che neanche si accorge del furto. Dopo poco la casa automobilistica straniera scopre che il suo progetto non è più riservato e si rivolge al produttore di componenti chiedendo di verificare quali sono i suoi sistemi di sicurezza informatica. È facile intuire che l’impresa italiana ha poche probabilità di continuare a produrre pezzi per quella casa automobilistica e, nel caso in cui la voce si diffonda, avrà problemi anche a trovare nuovi committenti».
Le vulnerabilità dell’Industry 4.0
I rischi salgono poi esponenzialmente per quelle imprese che hanno adottato un modello produttivo basato sull’Industry 4.0: tutti i macchinari sono interconnessi e producono una mole enorme di dati. Un attacco rischia di mandare in crisi l’intera catena di produzione e le “porte di accesso” sono numerosissime. Tutti i dispositivi mobili forniti ai dipendenti, siano essi smartphone e tablet, sono collegati al sistema aziendale e come tali rappresentano un fattore di rischio; e lo stesso discorso vale per l’Internet of Things (IoT), un altro pilastro della cosiddetta “fabbrica intelligente”.
E proprio per sfruttare queste debolezze è stata per prima la criminalità informatica a farsi “industria”: «Non è più un segreto il fatto che il cybercrime abbia ormai adottato modelli organizzativi e di business paragonabili a quelli delle principali realtà operanti in settori leciti e ben più consolidati. Gli interessi in gioco sono ormai elevatissimi e spaziano dalle azioni di spionaggio industriale alla possibilità di mettere a disposizione di organizzazioni e singoli individui strumenti in grado di realizzare attacchi e azioni malevole on demand», scrivono gli esperti del Clusit nel loro Rapporto.
Va però anche detto che, soprattutto fra le aziende più strutturate, c’è quanto meno la volontà di prendere delle contromisure. Secondo una ricerca condotta da Idc, il 38,3% delle imprese con più di 50 dipendenti intende muoversi da soluzioni reattive a proattive/preventive , un altro 37,6% avverte l’esigenza di automatizzare la gestione delle operazioni relative alla Sicurezza It e un ulteriore 30,3% la necessità di stare al passo con lo scenario delle minacce emergenti (il totale è superiore a 100% perché si poteva indicare più di una risposta).
La nuova normativa Gdpr
A favorire una maggiore consapevolezza dei rischi informatici e l’implementazione di strategia di difesa non c’è però solo il crescente numero di attacchi e l’opera di informazione svolta da organizzazioni come quella confindustriale. All’orizzonte c’è anche un’importantissima novità normativa: il 25 maggio prossimo entrerà definitivamente in vigore il Regolamento n. 679/2016 UE (Regolamento generale sulla protezione dei dati – GDPR, General data Protection Regulation). « Molte aziende che oggi si rivolgono ai consulenti informatici lo fanno anche perché vogliono essere compliant – dice Mondelli – Si tratta di una svolta normativa di enorme importanza, perché rappresenta una sorta di carta dei diritti del terzo millennio. La legge affronta tre tematiche, una legale, una procedurale e una informatica, e il suo obiettivo è quello di portare un effettivo miglioramento nella protezione dei dati personali».
Nato dopo quattro anni di dibattiti e trattative il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016. Le disposizioni mirano a rafforzare la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro. Le violazioni del GDPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.
Fra gli obblighi per le aziende è previsto quello di informare entro 72 ore le autorità di protezione dei dati di ogni violazione che metta a rischio i diritti degli individui e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio. Questo impedirà che si ripetano casi di attacchi taciuti e rivelati solo a distanza di anni; per le aziende sarà inoltre impossibile minimizzare l’impatto della violazione dei suoi sistemi o ridurne i numeri. «Certamente ci sono settori più toccati dalla protezione dei dati personali di altri; tutti però condividono il processo di progressiva digitalizzazione dell’economia e delle relazioni sociali che va sotto il nome di Digital Transformation. Proprio il trattamento digitale dei dati personali è alla base della Digital Transformation – si legge nel Rapporto Clusit – La ragione per cui occorre affrontare seriamente il tema della compliance al GDPR sta proprio nei rischi connessi al non far nulla mentre tutti i processi di mercato si trasformano e diventano sempre più digitali e basati su dati personali».
Per l’associazione delle imprese attive nel campo della sicurezza informatica non sono solo i reparti It e Sicurezza a essere coinvolti, né le sole tecnologie e metodologie che occupano l’offerta di sicurezza dei vendor e delle società di consulenza le uniche rilevanti. La compliance al GDPR coinvolge, in modi diversi, l’intera azienda ed una vasta gamma di tecnologie e metodologie che riguardano specificamente la gestione delle identità e dei dati, strutturati e non, e dei processi aziendali.
La nuova normativa introduce, fra le altre cose, anche l’obbligo di progettare la Privacy fin dalle prime fasi di disegno sia dei processi che delle architetture informatiche. Si tratta di un principio di governance che punta a soluzioni “nativamente sicure” e non “nativamente vulnerabili” come quelle con successive stratificazioni di sicurezza che le rendono spesso inefficaci e quasi sempre inefficienti. Per le imprese si prospettano dunque non solo grandi novità ma anche un cambio di mentalità nell’approccio alla sicurezza informatica. «Le aziende dovranno necessariamente dotarsi di una divisione It interna perché solo così saranno in grado di difendersi efficacemente. Il ricorso a consulenti va bene nella fase iniziale ma una volta costruita la struttura It la gestione quotidiana dovrà essere affidata a dipendenti interni», consiglia Mondelli di Assiteca.
In Italia manca però il personale qualificato
Il compito delle aziende, già difficile di per sé, è reso ancora più complicato dalla mancanza di figure professionali in ambito Ict. Per rafforzare la propria sicurezza informatica non basta infatti solo volerlo e destinare una parte del budget aziendale a questo tipo di investimenti, bisogna anche trovare i candidati giusti da assumere. E in Italia questo rappresenta un grosso problema. «Ci sono due o tre università molto valide, fra cui il Politecnico di Torino, quello di Milano e l’Università degli studi di Modena e Reggio Emilia – afferma Mondelli – Il problema è che i laureati sono poche decine ogni anno e comunque non in numero sufficiente a soddisfare la domanda del mercato del lavoro. I ragazzi continuano ad iscriversi a facoltà con basse probabilità di trovare un impiego, come per esempio Giurisprudenza ed Economia, mentre disertano i corsi universitari in materie legate all’Ict».
In questo caso però il problema non è solo italiano. L’Unione Europea stima che entro il 2020 ben 900mila posizioni in ambito informatico (programmatori, data analysts, sviluppatori di software, etc.) rimarranno aperte. Secondo l’Istat “in Italia, rispetto all’insieme dell’Unione europea (Ue28), la percentuale delle forze di lavoro con competenze digitali elevate è considerevolmente inferiore (il 23% contro il 32%). Tra i cinque maggiori Paesi europei, l’Italia mostra il più basso livello di diffusione delle competenze digitali”. E questo nonostante l’andamento dell’occupazione nelle professioni Ict sia stato più favorevole di quello dell’occupazione nel suo complesso, anche durante la crisi.
«In Italia, gli occupati in questo aggregato di professioni sono stimati nel 2016 in 750mila persone, in aumento del 4,9% nell’ultimo anno (rispetto al +1,3% nel complesso dell’occupazione) e di oltre il 12% rispetto al 2011 (rispetto al +0,7% dell’occupazione totale) – afferma ancora l’istituto di statistica – Si tratta di dinamiche che segnalano la presenza di un trend strutturale che va oltre le dinamiche cicliche. L’incidenza sull’occupazione totale è stimata al 3,3%, una quota solo lievemente inferiore a quella di Francia e Germania che, nel 2015, registravano incidenze rispettivamente del 3,6% e del 3,7%. Inoltre, tra il 2011 e il 2016, è cresciuta all’interno delle professioni Ict la rilevanza di quelle dirigenziali e tecniche ad elevata qualificazione (ingegneri elettronici e delle telecomunicazioni, analisti e amministratori di sistema, specialisti di Rete e della sicurezza informatica): il loro peso sul totale dell’occupazione in professioni Ict è salito dal 23% al 30,9%».
Il problema è ben chiaro anche a Carlo Calenda, ministro dello Sviluppo economico nonché colui che ha dato il proprio nome al Piano nazionale Industria 4.0, che nella bozza della Legge di Bilancio 2018 ha voluto inserire un credito d’imposta per le spese di formazione in ambito Fabbrica 4.0. Il credito previsto dovrebbe essere pari al 50% del costo del personale dipendente impegnato nei corsi di formazione per un importo massimo di 300.000 euro per periodo d’imposta. In particolare, verranno ammesse le spese per attività di formazione svolte per acquisire e/o consolidare conoscenze per l’applicazione, fra le altre cose, di big data e analisi dei dati, cloud computing, cyber security, sistemi cyber-fisici, sistemi di visualizzazione e realtà aumentata, robotica avanzata e collaborativa, interfaccia uomo macchina e internet delle cose. Se tutto questo basterà è presto per dirlo. Anche se dubitarne è lecito.
