Il panorama delle minacce informatiche, qualora volessimo analizzarlo nel dettaglio, ci fornirebbe quotidiani casi di cronaca da far rabbrividire qualsiasi responsabile IT: dalla recentissima violazione dei computers del Comune di Torino, alla violazione SIAE di qualche settimana addietro al recente ritorno in vita di eMule nel traffico di Green Pass. Questo per tacere delle strategie globali messe in atto da paesi ostili di cui abbiamo parlato in un recente articolo e che scatenano i fatti di cronaca.
Il quadro più generale
Magari uno tende a pensare che siamo i soliti italiani che non badano alla sicurezza informatica, che di informatica poco ne capiscono e mal volentieri, e così via. Il che è assolutamente vero, purtroppo, al netto di rare e illuminate eccezioni.
Allora qual’è la situazione oltre confine? ENISA e Clusit hanno realizzato indagini sul panorama delle minacce che qui vorremmo andare ad analizzare più attentamente.
ENISA
La struttura dell’indagine è tanto semplice quanto importante: capitolo a carattere generale in cui vengono presentate una serie di evidenze statistiche con relative riflessioni e analisi sistematica di ciascun genere di minaccia, a partire dalla peggiore: l’uomo, o come diremmo noi “mio cuggggino” ad arrivare ai temutissimi Ransomware. Per ogni tipo di minaccia viene condotta un’analisi specifica e puntuale e proposte delle soluzioni dei rimedi, sì perché esistono dei rimedi!
Intanto puntiamo gli orologi, il documento ENISA Threat Landscape 2021 analizza un arco temporale compreso tra l’aprile del 2020 e il luglio di quest’anno. In questo arco temporale il panorama delle minacce informatiche è andato peggiorando in tutti i paesi europei.
Crescita
Cybersecurity attacks have continued to increase through the years 2020 and 2021, not only in terms of vectors and numbers but also in terms of their impact.
Gli attacchi alla sicurezza informatica hanno continuato ad aumentare negli anni 2020 e 2021. Non solo in termini di vettori e numeri, ma anche in termini di impatto.
E questo è ahinoi il primo dato che ci tocca rilevare. A confermare questa tendenza il rapporto Clusit (Associazioni Italiana Sicurezza Informatica) 2021 sulla sicurezza in Italia
Per quanto riguarda la severity: nel 2020 gli attacchi con impatto “Critico” rappresentavano il 13% del totale, quelli di livello “Alto” il 36%, quelli di livello “Medio” il 32% e infine quelli di livello “Basso” il 19%.Complessivamente, gli attacchi gravi con effetti molto importanti (High) o devastanti (Critical) nel 2020 erano il 49% del campione. Nel primo semestre 2021 la situazione è molto diversa, e francamente impressionante: gli attacchi gravi con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical) rappresentano il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto basso solo il 4%.In questo caso gli attacchi con impatto Critical e High sono il 74%.
Apparentemente il re pare proprio essere nudo…
Quali attacchi?
Al momento ENISA rende noto che tra gli attacchi più costanti e gravi in atto ci sono quelli basati su Ransomware e relativi cryptolockers. Mentre i vecchi malware sembrano attraversare una fase di declino in quanto non permettono una monetizzazione ma si limitano a crea un danno. Non vanno dimenticate altre minacce: le azioni di governi palesemente ostili sul teatro cyber (vedere il recente pezzo sulla cyberwafare), alcune minacce sfruttano la paura del Covid-19 attraverso attacchi e-mail e crescenti attacchi al settore sanitario.
Ma non è tutto. L’attività di Phishing e di minaccia costante alle mail è data in aumento. Anche lo spostamento degli attacchi di DDoS (blocco dei servizi) verso i sistemi Mobile e la IoT.
IA
Non è per fare venire paure di matrixiana memoria, ma l’intelligenza artificiale è usata in modo molto scaltro dagli attaccanti.
Dove gli attacchi?
ENISA ha categorizzato in quattro etichette la distanza. A seconda che i sistemi attaccati siano tutti entro i confini EU (NEAR), vitali per EU ma controllati all’estero (MID), esteri con impatti critico sull’EU (FAR) o globali (GLOBAL).
In particular, the category NEAR has a constantly rising number of observed incidents related to prime threats, which implies their significance in the context of the EU.
In particolare, la categoria NEAR presenta un numero sempre crescente di incidenti osservati connessi a minacce principali, il che dimostra la loro importanza nel contesto dell’UE.
Per quanto concerne il Bel Paese i dati confermano che gli attacchi sono in costante aumento a partire dal 2018, in particolare il rapporto Clusit mette bene in chiaro come i settori che hanno avuto il maggior incremento sono quelli afferenti alle attività correlate alla criminalità informatica (+21,1%) e all’informazione warfare (+18,2%).
Chi?
Ecco, qui le note diventano veramente dolenti. Come si nota dal Grafico del report è ben evidente come la pubblica amministrazione e le strutture sanitarie suscitino il morboso interesse degli hackers.
I dati italiani sono lievemente differenti e non poco allarmanti.
la crescita maggiore nel numero di attacchi gravi si osserva verso le categorie “Transportation / Storage” (+108,7%), “Professional, Scientific, Technical” (+85,2%) e “News & Multimedia” (+65,2%), seguite da “Wholesale / Retail” (+61,3%) e “Manufacturing” (+46,9%).
Aumentano anche gli attacchi verso le categorie “Energy / Utilities” (+46,2%), “Government” (+39,2%), “Arts / Entertainment” (+36,8%) e “Healthcare” (+18,8%).
Lasciamo perdere un attimo i numeri
Facciamo un attimo un passo indietro. Quanto andiamo a rilevare da questa analisi sono alcuni informazioni.
Primo, l’infrastruttura informatica mondiale è fragile a livelli non previsti e in pochi si sono interrogati con serietà sulle cause di questa fragilità. O meglio adesso che gli attacchi si fanno sempre più dannosi ci si inizia a muovere. In tal senso osserviamo il Decreto-legge 14 giugno 2021, n. 82 che sancisce la nascita dell’Agenzia per la cybersicurezza nazionale. Torneremo molto presto su questa tematica.
Secondo, l’impreparazione che ha generato la fragilità è lungi dall’essere debellata (vedere le risposte del manager SIAE dopo il databreach “hanno preso SOLO i dati dei dipendenti“). Andrebbe anche capito di chi sia figlio questo analfabetismo informatico e quali fasce della popolazione ne sono affette. Ovviamente ci si dovrebbe interrogare anche su come scolarizzare doverosamente le nuove generazioni e come recuperare chi è rimasto indietro.
Terzo, il flusso di dati che vengono rubati ed entrano all’interno del dark web è sempre in aumento. Questo pone delle problematiche sotto molteplici punti di vista, quali ad esempio quanto correlato alla Protezione dei Dati (ad esempio il GDPR o le direttive NIS) o al riciclaggio di denaro negli ambiti più disparati.
