Lo scorso 19 ottobre è stata pubblicata l’undicesima edizione dell’ENISA Threat Landscape (ETL), un rapporto annuale fondamentale per delineare lo stato attuale della cybersecurity, soprattutto con riferimento al territorio dell’Unione Europea. Esso esprime le principali tendenze in termini di attacchi informatici, con un focus sul tipo di minaccia e di soggetto agente che l’ha condotta. È per questa ragione che il report dell’Agenzia dell’UE per la cibersicurezza viene preso in considerazione per l’assunzione di decisioni rilevanti al fine di salvaguardare i delicati equilibri dello spazio cibernetico. L’ETL fa riferimento al periodo temporale che va da luglio 2022 a giugno 2023, durante il quale il panorama della cybersecurity ha osservato un aumento significativo sia in termini di qualità e varietà, sia di quantità, degli attacchi cibernetici e delle relative conseguenze.
LE OTTO CATEGORIE DI PRIME THREATS
Tra le principali minacce identificate e analizzate dall’ENISA, ci sono:
– Attacchi Ransomware (gli attori delle minacce prendono il controllo delle risorse di un obiettivo e chiedono un riscatto in cambio della restituzione della disponibilità delle stesse);
– Malware (software o firmware volto a impattare negativamente sulla riservatezza, l’integrità, la disponibilità, la confidenzialità di un sistema);
– Ingegneria sociale (attività che tentano di sfruttare l’errore o il comportamento umano per ottenere l’accesso a informazioni o servizi);
– Minacce contro i dati (violazioni di sicurezza che comportano la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati personali);
– Denial of Service (gli utenti di un sistema o di un servizio non sono in grado di accedere a dati o altre risorse rilevanti a causa dell’esaurimento delle stesse o del sovraccarico delle componenti dell’infrastruttura di rete);
– Minacce via Internet (interruzioni del funzionamento di Internet o delle comunicazioni elettroniche che si sostanziano in blackout, chiusure o censure);
– Manipolazione e interferenza delle informazioni (modelli di comportamenti che minacciano o possono avere un impatto negativo su valori, procedure e processi politici);
– Attacchi alla supply chain (hanno come bersaglio il rapporto tra le organizzazioni e i loro fornitori).
Nel periodo di riferimento, gli attacchi ransomware e DDoS (Distributed-Denial-of-Service) sono stati i più segnalati e hanno rappresentato quasi la metà degli eventi osservati, raggiungendo rispettivamente una quota di 1480 (31,3%) e 1010 (21,4%).
PRINCIPALI TIPOLOGIE DI IMPATTI
Tra i principali tipi di impatti derivanti dagli attacchi malevoli primeggia, innanzitutto, quello digitale che riguarda il danneggiamento di sistemi, file di dati corrotti, la loro esfiltrazione o intrusione dannosa. Nello specifico, l’ENISA ha osservato un impatto digitale nella quasi totalità degli attacchi informatici rilevati, distinguendolo in tre categorie: evidenza di inattività (prevalentemente associata a eventi di tipo DDoS), violazione di dati, oppure facendo fede a quanto dichiarato dalla vittima. Al secondo posto c’è l’impatto economico, che si è registrato nel 19% degli eventi segnalati, il quale si concretizza nelle perdite finanziarie dirette o nei danni alla sicurezza nazionale determinati, ad esempio, da una richiesta di riscatto. Al terzo posto viene individuato l’impatto sociale (18%), che si riferisce a qualsiasi effetto che potrebbe colpire la società (ad esempio, è il caso di incidenti che interrompono il sistema sanitario nazionale di un Paese). Inoltre, viene in considerazione anche l’impatto reputazionale, il quale concerne la potenziale pubblicità negativa o l’influenza sulla percezione che l’opinione pubblica ha di una vittima. Infine, l’impatto fisico consta in un qualsiasi tipo di lesione o danno a dipendenti, clienti o pazienti, mentre quello psicologico riguarda qualsiasi stato di confusione, disagio, frustrazione, preoccupazione o ansia arrecato a tali vittime.
LO SPACCATO SETTORIALE
Il rapporto dell’ENISA prende in considerazione oltre 2.500 attacchi e, mediante un’analisi settoriale, sottolinea che a livello globale una parte consistente degli incidenti rilevati (19%) ha interessato la pubblica amministrazione, seguita dal settore sanitario (8%), dalle infrastrutture digitali (7%) e dai fornitori di servizi digitali (6%). Inoltre, l’11% dei cyberattacchi registrati rientra nella categoria “Individui mirati”, la quale ricomprende gli incidenti che hanno colpito la società civile in generale e non un particolare settore, sostanziandosi in attacchi di ingegneria sociale (es. phishing) o campagne di disinformazione. Tra i comparti meno colpiti, invece, si evidenziano quello della difesa (2%) e del food (1%).
Peraltro, associando il dato settoriale con le prime threats individuate dall’ENISA, emerge chiaramente che il ransomware abbia impattato su ciascuno dei settori considerati nel presente rapporto, in particolar modo sul manifatturiero (15% degli attacchi di tipo ransomware), sanitario (13%) e pubblica amministrazione (11%). Presentano numeri piuttosto elevati anche gli attacchi di tipo DDoS, i quali hanno bersagliato soprattutto il segmento dei trasporti (17%) e i settori bancario e finanziario (9%), così come le minacce contro i dati, le quali hanno interessato maggiormente la PA (16%), la categoria “individui mirati” (15%) e il settore sanitario (10%).
MANIPOLAZIONE DELLE INFORMAZIONI E INTELLIGENZA ARTIFICIALE
Il report evidenzia un preoccupante aumento di attacchi state-sponsored, prevalentemente tramite e-mail di phishing e richieste sui social network, nei confronti di politici, funzionari governativi, giornalisti e attivisti. Sebbene larga parte di questi attacchi sia funzionale all’utilizzo del ransomware, il tornaconto economico non risulta l’unica ragione alla base di simili attività. Difatti, in alcuni casi, la principale motivazione è quella di determinare la diffusione di informazioni per scopi politici, oppure influenzare i flussi elettorali. Inoltre, va considerato che la data manipulation rappresenta una categoria di cyberattacchi particolarmente insidiosa, poiché mira a convertire i dati affidabili in dati falsificati per il tramite dei sistemi di IA che elaborano tali informazioni, modificando di conseguenza la percezione della realtà da parte degli individui che, in qualche modo, utilizzano gli output di tali sistemi. Ad esempio, ciò può realizzarsi attraverso il data poisoning, cioè l’avvelenamento dei dati di addestramento delle IA per ridurre l’accuratezza del modello su cui si basano, oppure tramite la manipolazione delle informazioni, che si sostanzia in un attacco intenzionale volto alla creazione o alla condivisione di informazioni false o fuorvianti, le quali possono influenzare la percezione delle persone circa un evento specifico. Tali attacchi, come è evidenziato dal rapporto oggetto di analisi, sono amplificati dall’emergere di sistemi di IA di facile accesso e utilizzo, che consentono di generare immagini e testo abbastanza realistici e affidabili. In particolare, non andrebbe sottovalutata la capacità dei chatbots e, più in generale, delle IA generative di consentire una disinformazione interattiva e personalizzata per il target.
QUALI RISCHI PER LE DEMOCRAZIE?
Lo scenario che si evince dalla lettura dell’ENISA Threat Landscape 2023 pone l’accento su una nuova ondata di rischi per la sicurezza di cittadini e Stati, tra cui non vanno sottovalutate le inferenze nei processi elettorali previsti per le prossime votazioni europee. Pertanto, al fine di contrastare il fenomeno, appare necessario aumentare il livello di cooperazione istituzionale su più fronti. Innanzitutto, quanto detto traspare sul piano internazionale dove sia il vertice del G7 di Hiroshima, sia la riunione del Consiglio per il commercio e la tecnologia, hanno valutato, nel mese di maggio, la manipolazione e l’interferenza di informazioni straniere come una questione chiave da affrontare e non sottovalutare. A livello comunitario sono state intraprese diverse azioni, tra le quali rientra l’elaborazione del Codice di Condotta sulla Disinformazione che definisce una serie di norme di autoregolamentazione per contrastare il fenomeno e, inoltre, è stato emanato il Digital Services Act (DSA), che tra i suoi requisiti riconosce misure per ostacolare la diffusione di contenuti illegali online, oltre a imporre obblighi alle piattaforme digitali per mitigare diversi rischi, compresi quelli legati alla manipolazione delle elezioni. A livello tecnico, sono emerse varie policy per supportare una raccolta strutturata di dati e/o un’analisi della manipolazione delle informazioni nelle sue varie concettualizzazioni. Sul tema sono state proposte numerose iniziative, ad esempio il Joint Research Centre (JRC) e l’European Centre of Excellence for Countering Hybrid Threats (Hybrid CoE) hanno avanzato la proposta di un modello (Comprehensive Resilience Ecosystem – CORE) per la gestione delle minacce ibride, inclusa la disinformazione; o anche la pubblicazione delle “Linee guida per le indagini OSINT di interesse pubblico” volte a fornire alle organizzazioni che conducono indagini open source un quadro di best practices in termini di metodologia, strumenti, competenze, documentazione e ambienti di lavoro.
In conclusione, riprendendo quanto espresso dal direttore esecutivo dell’ENISA Juhan Lepassaar, per riconoscere piena fiducia al processo elettorale che coinvolgerà a breve l’UE sarà opportuno rafforzare le infrastrutture di sicurezza informatica, garantendo integrità alle informazioni in circolazione, poiché altrimenti tra le vittime censite inizieranno ad esserci le democrazie.