IL BLOG DI
MISTER CREDIT
In Italia crescono i reati informatici, sia in numero che in gravità. Ne abbiamo già parlato quando abbiamo riportato i dati dell'ultimo rapporto dell'Osservatorio Cyber, e ora lo conferma anche l'indagine annuale di Clusit, l'Associazione italiana per la sicurezza informatica che rappresenta un fondamentale punto di riferimento per la cybersicurezza nel nostro paese.
Ma cosa sta accadendo nel mondo del cybercrime? E come sta reagendo il nostro paese? Siamo pronti ad affrontare le sfide attuali e future per proteggerci dai criminali informatici? Ne parliamo con Luca Bechelli, membro del comitato scientifico di Clusit.
Non c’è dubbio che il quadro rappresentato dai dati del Rapporto è particolarmente preoccupante. Non solo gli attacchi informatici che abbiamo potuto censire crescono in numero, ma le conseguenze sono via via peggiori per le vittime. Bisogna anche ricordare che i dati del nostro Rapporto sono basati sugli eventi che raggiungono le cronache: non è da escludere che la stessa stampa ormai non dia rilievo a tutte le notizie relative alla cybersecurity, ma solo ai fatti più eclatanti. Qualunque sia quindi la causa, lo scenario è innegabilmente peggiore degli scorsi anni. A conferma di questo, una recente classifica del Sole24Ore sugli indici di criminalità basata sui dati del dipartimento di Pubblica Sicurezza del Ministero dell’Interno, pone le truffe e frodi informatiche denunciate da cittadini e imprese seconde solo ai furti generici in molte delle principali città italiane. Questo tipo di reato è ormai parte dell’esperienza della vita comune, e questo a nostro avviso è il sintomo più emblematico del cambiamento ormai avvenuto.
Dare una risposta netta e chiara a questa domanda è molto difficile. Un tempo, i bersagli principali dei criminali informatici erano facilmente identificabili: pubbliche amministrazioni centrali, soggetti operanti nei settori bancario e finanziario, società che consentivano di accedere alle cosiddette “autostrade informatiche”. L’avvento dei ransomware e la possibilità di ottenere il pagamento di riscatti in modo pressoché anonimo hanno ampliato la platea delle possibili vittime in modo inimmaginabile, raggiungendo organizzazioni di ogni dimensione, con una distribuzione sempre più uniforme tra i diversi settori. Restano bersagli privilegiati gli organismi governativi di livello nazionale e gli operatori di telecomunicazioni, ma staccano di poco altri settori altrettanto bersagliati come quello della sanità, che da qualche tempo ha superato anche l’ambito banking/finance; seguono, con distacchi sempre meno evidenti, tutti gli altri.
Credo che la domanda nasconda in sé diverse questioni sulle quali il Paese si muove a velocità diverse. In termini di sistema, non investiamo sulla cultura del digitale quanto sarebbe necessario. A partire dalla scuola, dove le materie informatiche, quando presenti, non sempre vengono realmente svolte, e lo sviluppo delle competenze e conoscenze relative ai rischi e alle opportunità della “vita digitale” non è visto come prioritario. Si tratta di un tema di grandissima urgenza, con impatti già ben visibili in fenomeni come le fake news, il cyberbullismo, il revenge porn. E la scarsa consapevolezza dei rischi che porta a subire frodi informatiche tanto a livello personale che nel contesto lavorativo.
Vi è poi un secondo livello, che è quello delle Istituzioni. Qui possiamo dare solo buone notizie, in quanto molto si è fatto nell’ultimissimo periodo, come ad esempio con la creazione dell’Agenzia per la Cybersicurezza Nazionale e tutto l’aggiornamento del corpo di norme, regole, competenze per la gestione della tematica almeno a livello di organi centrali. Non poteva capitare in un momento migliore, dato il recente conflitto in Ucraina che si sta manifestando anche sul dominio digitale. Ma è d'obbligo ricordare che, rispetto ad altri paesi, siamo indietro di decine di anni e tale ritardo deve essere urgentemente colmato.
Vengono poi le imprese e le pubbliche amministrazioni, centrali e locali. Qui il tema è più complesso, ma lo scenario non è ottimale. Chi è in grado di accedere a risorse e competenze adeguate, indipendentemente da quanto risulti “appetibile” per gli attaccanti, dimostra effettivamente una maggiore capacità di resistenza. Ecco allora che la pressione dei criminali informatici, come un fiume in piena, si riversa verso quelle aziende e pubbliche amministrazioni che non sono in grado di esprimere lo stesso livello di sicurezza. Un esempio per tutti è la notevole crescita degli attacchi verso il settore sanitario, che per un lungo periodo ha sacrificato gli investimenti in sicurezza.
Questo fiume, fintanto che troverà ambiti dove sfogare la propria pressione, continuerà ad avanzare. Ma occorre anche sottolineare un altro aspetto importante: nella maggior parte dei casi, osserviamo attacchi ancora poco avanzati rispetto alle possibilità e alle risorse del cybercrime; operando in logiche di economia di scala, i criminali sfruttano al massimo strumenti ormai consolidati e del tutto “standard” per compiere gran parte delle proprie scorribande informatiche sul web, e continueranno così fino a che tali strumenti si manterranno efficaci. Come a dire: siamo ancora in una fase in cui il livello di sicurezza è determinato non tanto dalla capacità di difesa delle organizzazioni, ma dalla volontà di offesa dei criminali informatici.
Infine, le forze dell’ordine: facendo un paragone con quanto avviene negli altri paesi, il grado di preparazione di quelle italiane è senza dubbio adeguato e virtuosamente arricchito anche da collaborazioni tra pubblico e privato. D’altro canto, tuttavia, l’estensione e la natura tipicamente transnazionale delle campagne di hacking non permettono alle forze dell’ordine di perseguire in modo completo l’elevata mole di reati informatici “comuni” subiti dai cittadini, se non altro per la quantità di risorse necessarie e la complessità delle attività di indagine. Anche se la quantità di risorse allocate per combattere il cybercrimine è cresciuta negli ultimi anni, in linea con quanto accade negli altri paesi le campagne di indagine si concentrano ancora oggi prevalentemente sui reati “digitali” di maggiore rilievo e impatto sulla società, o nel perseguire gruppi di cybercriminali responsabili della più elevata quantità degli attacchi.
Ad oggi, il rischio sicuramente più elevato è costituito dai cosiddetti. ransomware, ovvero i malware che, a seguito dell’infezione, compromettono l’operatività e i dati delle organizzazioni chiedendo, per l’eventuale ripristino (sempre meno garantito), un riscatto. Tale tipologia di attacco ha subito recentemente una preoccupante evoluzione, con l’introduzione della “double extorsion”: lo stesso codice, oltre a rendere indisponibili le informazioni, esegue contestualmente anche l’esfiltrazione degli stessi dati. In questo modo, il soggetto che è in grado di superare l’infezione ricorrendo ai backup, deve fare i conti con la minaccia che le informazioni siano rese pubbliche, o vendute ai propri competitor, ed in ogni caso con un danno di reputazione.
Costituiscono poi ancora un rischio elevato gli attacchi di phishing e social engineering, e non sono da meno quelli basati su vulnerabilità note dei sistemi, che addirittura crescono con percentuali a doppia cifra nell’ultimo anno. Si tratta di attacchi che potrebbero essere considerati “obsoleti”, perché facilmente superabili grazie agli aggiornamenti periodici distribuiti dai vendor. Un altro caso emblematico di come i criminali informatici abbiano ancora vita facile rispetto alle aziende, le quali sono provate da tagli ai costi, riduzioni del personale, complessità e velocità di cambiamento sempre crescenti.
Servono interventi tattici, ma soprattutto una maggiore visione strategica. Nel primo caso, ricorrere a tutte quelle buone pratiche da sempre elencate dagli esperti del settore: autenticazione multi fattore, “non fare click” su contenuti provenienti da sconosciuti, non compiere azioni che violino le regole di sicurezza dell’organizzazione in cui si opera, cifrare se possibile le informazioni, ricorrere esclusivamente a software di cui si conosce la provenienza, installare gli aggiornamenti, dotarsi di soluzioni anti-malware, formare e sensibilizzare periodicamente il personale, effettuare test di vulnerabilità o di hacking etico, per citarne alcune.
Mi interessa però sottolineare maggiormente l’esigenza di definire una strategia di medio/lungo termine, soprattutto per quelle realtà di medie o piccole dimensioni che costituiscono il tessuto economico del nostro paese. Occorre prendere coscienza della propria capacità e volontà di affrontare le sfide della sicurezza e del digitale con le proprie forze, o mediante il ricorso a tutti gli strumenti che il mercato mette a disposizione. Non c’è una scelta migliore di un’altra, ma ciascuna porta con sé dei pro e dei contro. Sono convinto che molte realtà non possono, né in realtà vogliono, mantenere al proprio interno le competenze e gli investimenti oggi necessari per operare garantendo il livello di sicurezza che servirebbe davvero. Queste realtà corrono un rischio crescente di vedere compromesse le proprie opportunità e competitività a causa degli attacchi informatici, che sfruttano opportunisticamente una sempre maggiore dipendenza del business dagli strumenti messi a disposizione dalla digitalizzazione. Tali realtà hanno oggi a disposizione una rete sempre più radicata nel territorio di operatori del settore ICT che si stanno notevolmente fortificando sui temi di cybersecurity, così come un accesso sempre più sostenibile a servizi cloud avanzati.
É il momento di una scelta di campo, di intraprendere un percorso. Dall’altra parte, altrettanto elevato è il numero di realtà che stanno affrontando correttamente le sfide della cybersicurezza. Significa superare con le proprie forze le difficoltà ed i rischi che le tecnologie impongono, ma anche goderne appieno i benefici e maturare un know how sempre più importante per competere nel futuro. A prescindere dal settore di un'azienda, è innegabile che l’ICT non può più essere considerata solo una commodity, ma un fattore di primaria importanza nella costruzione del suo futuro.
Il dato relativo agli attacchi phishing e di ingegneria sociale nel Rapporto Clusit rappresenta un trend in calo, ma come abbiamo già ricordato sopra, il Rapporto enumera gli attacchi a più rilevante impatto e visibilità dell’ultimo anno, tralasciando necessariamente tutti gli eventi a valenza locale o a impatto limitato. Ciò comporta necessariamente che la moltitudine di attacchi che colpiscono i privati cittadini e le piccole e medie aziende, con conseguenze per evento che vanno a poche centinaia fino a qualche decina di migliaia di euro, siano esclusi dalla nostra statistica. Abbiamo tuttavia già ricordato come i dati del dipartimento di Pubblica Sicurezza del Ministero dell’Interno descrivano un’ampissima estensione del fenomeno delle frodi e dei furti online, in maniera consistente determinato proprio da attacchi di tipo phishing. Tali frodi sono ormai così elaborate da superare, in diverse situazioni, anche soluzioni tecniche di sicurezza estremamente sofisticate, come l’autenticazione multi-fattore, a dimostrazione del fatto che il tema della cybersecurity non può essere affrontato esclusivamente sul piano tecnologico.
Nel contesto bancario e dei servizi di pagamento, de facto completamente basato su questi strumenti di accesso avanzati, ancora oggi il fenomeno degli attacchi di ingegneria sociale è, seppure fortemente mitigato, lontano dall'essere superato. Se i settori fortemente interessati riescono comunque a mantenere il passo nella continua evoluzione delle minacce e dei sistemi di controllo, chi ne fa le spese sono prevalentemente la maggioranza degli altri settori di mercato, nei quali si sconta una minore disponibilità di risorse, conoscenze e strumenti.
A questo si aggiunge una problematica ulteriore la cui rilevanza è, e sarà, sempre crescente nel prossimo periodo, ovvero la costituzione nel dark web di grandi database alimentati dal continuo susseguirsi dei data breach. Sebbene molti di questi attacchi non abbiano causato conseguenze dirette sui cittadini, è indubbio che la correlazione tra identità e-mail, social, anagrafiche bancarie, anagrafiche di servizi cloud SaaS e altre informazioni similari, consenta oggi agli attaccanti di ottenere una ricchezza di informazioni personali che mai ha avuto precedenti nella storia. Ed è così che diventano possibili attacchi come la cosiddetta Business Email Compromise, ovvero azioni di phishing mirato, in cui il contenuto del messaggio è altamente personalizzato e realistico.
Un caso tipico è l’e-mail fasulla diretta ad una funzione di amministrazione, con richiesta di erogazione di un pagamento ad un fornitore: in questo casi l’e-mail ha (apparentemente) come mittente un richiedente legittimo, come destinatario una figura realmente abilitata a svolgere l’operazione bancaria, si riferisce ad un vero fornitore, per un’attività realmente svolta (o realisticamente realizzabile) presso l’organizzazione, e una fattura corrispondente a molte già ricevute dallo stesso fornitore. Solo l’IBAN è “sbagliato”, così come la richiesta, che cerca di aggirare i processi formali previsti dall’organizzazione per le operazioni di pagamento. Ancora una buona occasione per ricordare, se mai ce ne fosse bisogno, che avere e osservare delle procedure è necessario: anche in questo consiste la sicurezza informatica.
Cerca
Fai la tua ricerca sul sito