Esistono diversi tipi di attacchi orientati a rubare le informazioni riservate delle persone e delle aziende. Dal phishing agli attacchi alle connessioni, dal furto di password ai malware: le minacce alla sicurezza informatica e personale sono moltissime. Ne abbiamo parlato con Gabriele Faggioli, presidente di Clusit – Associazione Italiana per la Sicurezza Informatica, che ci ha fornito anche qualche suggerimento utile su come tutelarci e difenderci.
I cyber attacchi sono un fenomeno preoccupante. Quali i dati in Italia che ci lasciamo alle spalle per il 2023? E com’è iniziato il 2024? Come si posiziona l’Italia rispetto al resto del mondo?
«Il Rapporto Clusit 2024 indica che il numero degli attacchi cyber di elevata gravità nel 2023 è cresciuto in Italia del 65% rispetto al 2022, più che nel resto del mondo, dove si è registrato il +12%. Nel complesso, nel nostro Paese lo scorso anno è andato a segno l’11% degli attacchi globali rilevati dal Clusit, dato in crescita rispetto al valore percentuale di 7,6 rilevato nel 2022 (anno nel quale la percentuale di aumento del fenomeno rispetto all’anno precedente fu di oltre il 150%). Oltre la metà degli attacchi perpetrati verso vittime italiane – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023. Si tratta di dati che rappresentano una situazione critica per il nostro Paese, sulla quale occorre riflettere. È evidente che c’è ancora tanto da fare in termini di capacità del sistema Paese di difendersi. Siamo davanti a uno scenario estremamente complesso, che vede il Paese arretrato da un punto di vista di competenze digitali, come dimostrato dall’indice DESI della Commissione Europea, che nel Report 2023 ci vede quart’ultimi su ventisette per competenze digitali di base e ultimi per laureati in materie ICT. Inoltre, come evidenzia il Politecnico di Milano, gli investimenti in cybersicurezza italiani nel 2023 sono stati pari a 2,149 miliardi di euro, circa 0,12% del PIL; sappiamo però che Paesi europei a noi confrontabili, come la Francia e la Germania, spendono il doppio in termini di percentuale sul PIL, per non parlare di nazioni come gli USA che dedicano alla cybersecurity lo 0,3% del PIL. Si tratta di differenze immense (basta pensare ai valori assoluti) che incidono sulla efficacia complessiva delle misure adottate a protezione dei sistemi perché in tutta evidenza il nostro Paese ogni anno resta irrimediabilmente indietro. Pensiamo che per rallentare, e possibilmente ridurre il trend, debbano essere concepite e adottate strategie nuove, che si fondino sul knowledge sharing e sulla messa a fattor comune degli investimenti. La frammentazione di infrastrutture e servizi che caratterizza la cyber security nel nostro Paese rischia di produrre una moltiplicazione di sforzi, ciascuno in sé poco efficace, basti pensare al poco che possono spendere le tantissime PMI italiane: tanti rivoli di spesa, tutti simili, di bassissima efficacia. Riteniamo quindi particolarmente significative iniziative come quella del Polo Strategico Nazionale e della strategia Cyber Nazionale, soprattutto in un momento di cambiamento della componente della schiera degli attaccanti, in relazione ad uno scenario geopolitico incerto. Altrettanto fondamentale è affermare l’assunzione di responsabilità verso la comunità per chi deliberatamente decide di non proteggere adeguatamente la propria struttura, con ciò arrecando danno all’intero ecosistema Paese».
Quali sono gli attacchi più frequenti e chi è maggiormente nel mirino? Perché?
«I dati dell’ultimo Rapporto Clusit evidenziano che il settore governativo/militare è stato quello più colpito in Italia nel 2023 (a causa della guerra della Russia alla Ucraina che ha determinato un numero elevato di attacchi DDOS verso il nostro Paese per motivi ideologici) e che un quarto del totale degli attacchi analizzati dal Clusit rivolti al settore manifatturiero a livello globale riguarda realtà del nostro Paese. Il settore dei trasporti/logistica in Italia ha visto un grave incremento percentuale anno su anno sul totale degli attacchi – il 620%. Crescita a tre cifre anche per il settore finanziario/assicurativo, che ha visto una variazione percentuale sul totale del +286% rispetto al 2022. Aggiungiamo che in Italia nel 2023 per la prima volta da diversi anni, la maggior parte degli attacchi – ovvero il 36% del totale degli incidenti registrati – non è avvenuta tramite malware, bensì per mezzo di DDoS, tecnica che ha fatto segnare una variazione percentuale annua sul totale del 1486%. Questa forte crescita è probabilmente dovuta, come indicato nel Rapporto Clusit, all’aumento di incidenti causati da campagne di hacktivism, che puntano a interrompere l’operatività di servizio dell’organizzazione o istituzione individuata come vittima».
Quali sono gli obiettivi di questi attacchi?
«Come accennavo, nel 2023 è stato registrato in Italia un aumento degli attacchi con matrice di hacktivism, che hanno rappresentato il 36% degli attacchi totali andati a segno e sono cresciuti in variazione percentuale anno su anno del 761%. La crescita di questa tipologia di attacchi nel nostro Paese dimostra la forte attenzione di gruppi di propaganda che hanno l’obiettivo di colpire la reputazione delle organizzazioni. Gli eventi avvenuti nei primi nove mesi dell’anno, secondo i ricercatori di Clusit, si riferiscono per la maggior parte al conflitto in Ucraina, nei quali gruppi di attivisti hanno agito mediante campagne dimostrative rivolte tanto all’Italia che alle altre nazioni del blocco filo-ucraino. La maggior parte degli attacchi in Italia nel 2023 – il 64% – continua come in passato ad avere finalità di cybercrime, il cui obiettivo è l’ottenimento di denaro. Si tratta di una criminalità oggi molto aggressiva con alta tecnologia a disposizione, possibilità di spesa per un settore ad alti guadagni e bassissimo rischio. Infine, è stato leggermente superiore nel nostro Paese rispetto al resto del mondo l’impatto degli attacchi portati a segno attraverso tecniche di phishing e di ingegneria sociale, in crescita dell’87% in valore assoluto rispetto al 2022. È quindi ancora necessario focalizzare l’attenzione sul tema della consapevolezza, i dati ci dicono che quanto fatto fino ad oggi non è ancora sufficiente».
Gabriele Faggioli-presidente di Clusit
Preoccupa l’intelligenza artificiale?
«I trend messi in evidenza dall’ultimo Rapporto Clusit, in particolare in merito alle tecniche di attacco, indicano che è certamente da tenere monitorato l’utilizzo dell’Intelligenza Artificiale da parte dei cyber criminali, che utilizzano la tecnologia più all’avanguardia per selezionare i target e scansionarli, al fine di trovare falle, per analizzare codici e trovare nuove vulnerabilità e per produrre contenuti per phishing o codice per malware. Si tratta di una tendenza in rapida ascesa, di cui tuttavia riteniamo che sarà possibile osservare gli effetti solo in un prossimo futuro. Ci sono diversi ambiti dove l’AI può essere fortemente utile ai criminali: campagne di phishing particolarmente elaborate, difficili da intercettare e individuare, sempre più veritiere e credibili; attacchi malware basati su codici sempre nuovi, che diventa difficile individuare su base esperienziale; sfruttamento di vulnerabilità 0-day, cioè non conosciute. Ovviamente l’AI viene usata anche per combattere il fenomeno. Sarà un confronto duro».
Come riconoscere un attacco hacker e soprattutto come difendersi? Può fornirci qualche indicazione utile per le aziende e per gli utenti singoli?
«Dipende di quali attacchi stiamo parlando. I phishing è insidioso, se fatto bene. Gli attacchi di social engineering sfruttano le conoscenze che si possono avere del nostro ecosistema familiare o professionale. Gli attacchi malware spesso sfruttano la distrazione o la incapacità di comprendere il rischio. Se dovessi dare una singola indicazione direi: attenzione. Bisogna usare le tecnologie stando attenti, senza fretta, senza fare cose che non si comprendono, evitando e scansando ogni promessa che ci viene fatta di qualcosa di gratis o incredibilmente scontato. Se è troppo bello, non è vero. Bisogna conoscere e capire i rischi sottesi alle attività che si compiono, capirne le potenzialità. La tecnologia ci porta ad accorciare pensiero e azione. Bisogna fare il contrario. Ci sono poi alcuni punti su cui tutti dovremmo fare attenzione, per mitigare i rischi: back up dei dati, che dovrebbe essere quotidiano o settimanale, meglio se duplicato in cloud e su un hard disk, che andrà poi staccato dal PC e messo al sicuro. Il back up dovrà inoltre essere immutabile, ovvero garantire che file non siano cancellabili o modificabili, poiché, in caso di intrusione, i criminali sono ormai in grado di accedere a qualsiasi dato; l’autenticazione a più fattori ogni volta che sia possibile. Le semplici password non bastano più e può essere complicato ricordare tutte quelle che usiamo per i diversi servizi o, magari, da dispositivi in cui non sono memorizzate. Oggi possiamo tranquillamente dire addio a numeri, lettere e caratteri speciali, a favore di una autenticazione sicura, che può comprendere l’autenticazione multi-fattore tramite app o la biometria, disponibili gratuitamente sui servizi digitali più comuni. La loro efficacia va molto oltre il vecchio concetto di password; le insidie di cyber security sono però anche relative alla privacy: sicurezza è, infatti, anche riservatezza. Non tutte le attività che svolgiamo in ufficio possono essere compiute da altri luoghi. Per esempio, meglio evitare le telefonate di lavoro che riguardano informazioni riservate fatte dalla strada o sui mezzi di trasporto, a portata di orecchie estranee. Altra tentazione a cui non cedere è quella di pubblicare puntualmente e dettagliatamente sui social le proprie informazioni personali. Sapere i nostri prossimi spostamenti potrebbe essere una indicazione importante per i cyber criminali (e non solo): non è infrequente, infatti, che questi dati siano utilizzati da criminali per furti in appartamenti rimasti vuoti o, in maniera più sofisticata, in modalità di social engineering, per produrre attacchi di phishing mirati relativi al luogo in cui siamo o alle nostre attività; infine, un consiglio che meno ha a che fare con la cybersecurity, ma ugualmente importante e non scontato per preservare i nostri dati: attenzione a non lasciare il PC o comunque i propri dispositivi personali aziendali nel bagagliaio dell’auto, in hotel o momentaneamente incustoditi durante un viaggio in treno, per esempio. Anche in questo caso, la disattenzione di un momento può rivelarsi fatale per i nostri dati».
E’ chiaro che gli attacchi informatici rappresentano una minaccia quanto mai viva e diffusa nel nostro Paese, tanto che sul fronte della prevenzione e degli investimenti sono stati stanziati 623 milioni di euro al fine di migliorare le difese del Paese, ponendo la cybersicurezza e la resilienza a fondamento della trasformazione digitale sia della pubblica amministrazione sia del settore privato.
