Anche quest’anno l’Agenzia per la Cybersicurezza Nazionale (ACN) ha presentato al Parlamento la Relazione annuale sulle attività svolte nel corso del 2023. Si tratta di un appuntamento fondamentale che permette di far luce sullo scenario della cibersicurezza nazionale, evidenziando le principali minacce che hanno afflitto l’Italia e le misure di intervento intraprese per prevenirle e contrastarle.
I dati di riferimento derivano dall’intensa attività del Computer Security Inciden Response Team (CSIRT Italia), che riceve le notifiche obbligatorie e volontarie previste dalla normativa di riferimento in caso di incidenti cibernetici, occupandosi anche di confrontare ed esaminare le informazioni derivanti da fonti aperte, chiuse, commerciali o da altre strutture omologhe nazionali e internazionali. Nello specifico sono stati riscontrati 1411 eventi cyber nel 2023 e 303 incidenti ad impatto confermato, un totale più che raddoppiato rispetto al 2022, in cui se ne contavano 126. Peraltro, il CSIRT ha monitorato 3624 problemi di sicurezza in capo a dispositivi e servizi, 584 tentativi di phishing, 56 attori ransomware e 265 hacktivisti.
L’attività di allertamento svolta dall’Agenzia è avvenuta tramite il portale pubblico e il portale di collaboration ad accesso riservato, pervenendo quasi un raddoppiamento degli alert e dei bollettini. Un grave incremento colpisce anche i soggetti target (nel 2023 se ne registrano 3302) e i cosiddetti asset a rischio (3624 nel 2023). In quest’ultimo caso la ragione principale del quadro peggiorativo potrebbe essere collegata al miglioramento delle capacità di monitoraggio dell’ACN che individua, oltre agli asset potenzialmente compromessi, anche quelli potenzialmente vulnerabili.
UNA FOTOGRAFIA DEGLI EVENTI E DEGLI INCIDENTI CYBER
All’interno del primo capitolo viene dedicata una parentesi importante all’analisi degli eventi e degli incidenti cibernetici, per cui è necessario operare una distinzione tra questi due concetti. Come indicato nella Relazione, il termine “evento” fa riferimento ad un “case con potenziale impatto su almeno un soggetto nazionale, ulteriormente analizzato e approfondito, per il quale, in base alle circostanze, il CSIRT Italia dirama alert e/o supporta, eventualmente anche in loco, i soggetti colpiti”; diversamente, quando parliamo di “incidente”, abbiamo a che fare con “un evento cyber con impatto su confidenzialità, integrità o disponibilità delle informazioni confermato dalla vittima”.
Osservandone innanzitutto la distribuzione temporale durante il 2023, rispetto al totale di 1411 eventi cyber, il CSIRT ne ha rilevata una media di 117 al mese. I numeri più bassi sono stati riscontrati a gennaio, dicembre e aprile (71, 76, 94), registrando un picco nel periodo di ottobre, con 169 eventi, in discesa nel successivo mese di novembre (145). In merito agli incidenti, dei complessivi 303 classificati in tale categoria, si evince una media di circa 25 al mese, con numeri tendenzialmente stabili, leggermente più alti nei mesi di agosto (31), luglio, ottobre (32) e settembre (33).
Con riferimento ai dati sulla tipologia di eventi cyber, nel grafico sottostante è evidente come tra i primi dieci un ruolo di spicco spetti agli attacchi Distributed Denial of Service (DDos), che mirano a compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria. Specificamente, durante il 2023 se ne sono registrati 319, un numero elevato a cui seguono i casi di diffusione di malware tramite e-mail (275) e di phishing (240), un attacco funzionale a carpire informazioni sensibili con l’invio di false e-mail generiche a un gran numero di indirizzi, create per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Al terzo posto invece vi sono gli attacchi ransomware che, come vedremo in seguito, anche quest’anno hanno destato importanti preoccupazioni sia al settore pubblico che a quello privato, potendo contare ben 240 eventi.
Note: Ognuno di tali eventi può essere stato associato a una o più tipologie.
Tra i settori di attività dei soggetti target prevalgono le telecomunicazioni (216 eventi), oltre alla Pubblica Amministrazione a livello locale (140) e centrale (201). Per interpretare correttamente il dato, è importante sottolineare che ciascun evento può essere associato a uno o più settori di attività e che non sono stati considerati gli eventi rilevati a seguito di monitoraggio proattivo per non creare sbilanciamenti verso quei comparti più interessati da tale attività. Al quarto posto vi è il settore dei trasporti (115), a cui seguono i servizi finanziari (81), il settore tecnologico (75) ed energetico (68). In coda alla classifica, invece, abbiamo le aziende operanti nella difesa (22), costruzioni (10) e aerospazio (9).
UN FOCUS SUL FENOMENO RANSOMWARE
L’attacco ransomware costituisce una minaccia ricorrente nelle relazioni presentate dall’ACN al Parlamento. Si tratta di un’operazione con cui l’attaccante, di regola, si introduce nei sistemi di un privato o di un’organizzazione per cifrarne i dati, al fine di ottenere il pagamento di un riscatto necessario a rendere le informazioni nuovamente disponibili al legittimo proprietario e/o a non diffonderle pubblicamente. Nel 2023, l’Italia è risultata al terzo posto tra i Paesi UE più colpiti da eventi di questo genere, seguendo soltanto Germania e Francia, mentre detiene il sesto posto a livello globale, dove lo scenario più critico vede protagonisti gli Stati Uniti. Durante l’anno scorso l’Agenzia ha osservato 165 eventi diretti verso operatori privati e PA, il 27% in più rispetto al 2022, con numeri maggiormente elevati nei mesi di ottobre (24), luglio (21) e novembre (18). Tale dato rappresenta solo una parte degli attacchi ransomware effettivamente avvenuti, in quanto le vittime – in particolare le piccole e medie imprese – spesso non segnalano l’evento impedendo che venga pubblicamente conosciuto e che sia posta la dovuta attenzione da parte delle istituzioni competenti nel monitorare e contrastare il fenomeno.
È importante considerare che le vittime appartengono prevalentemente al settore privato (84%), mentre il 16% al pubblico. Le imprese più colpite sono quelle di piccole dimensioni (46,3%), seguite dalle medie (30,6%) e grandi (23,1%). Il settore manifatturiero è stato il più bersagliato (30), insieme alla vendita al dettaglio (16), al sanitario (10) e al tecnologico (10). Di converso, gli attaccanti hanno prestato meno interesse per il settore della fornitura di acqua potabile, il farmaceutico (entrambi 3) e dei servizi finanziari (4).
Peraltro, da un punto di vista geografico le zone più interessate dal fenomeno sono Roma, Milano e i distretti industriali del Nord-Ovest e Nord-Est. Ciò potrebbe essere presumibilmente determinato dalla maggiore presenza, in questi luoghi, di imprese operanti nel settore manifatturiero. Infine, con riguardo ai threat actors, nel 2023 gli attacchi sono stati principalmente condotti da venti gruppi, tra i quali i più attivi sono stati LockBit 3.0, LockBit e NoEscape.
CONCLUSIONI
Dalla lettura della Relazione, appare evidente l’impegno dell’Agenzia che mira al rafforzamento della cyber resilienza nazionale, raggiungibile solo mediante l’adozione di un approccio sistemico orientato alla gestione, prevenzione e mitigazione del rischio, che inevitabilmente necessita di un supporto normativo coerente orientato verso una transizione digitale sicura a protezione degli asset critici del Paese. Gli attacchi ransomware hanno messo a dura prova le imprese anche nel 2023, le quali, in alcuni casi limite, hanno optato per il pagamento del riscatto, in quanto non sussiste una norma nel nostro ordinamento giuridico che vieti tale pratica quando ad oggetto del sequestro vi siano dati e informazioni. Va però tenuto conto che non sempre cedere al pagamento comporti l’automatica restituzione dei dati, potendo invece generare un effetto a catena con rischi di riattacco particolarmente elevati. Sarebbe perciò opportuno valutare il nostro sistema penale considerando l’esigenza di rispondere al meglio a tali minacce, riconoscendo – come affermato anche dall’avvocato Stefano Mele durante la sua audizione presso le Commissioni Affari Costituzionali e Giustizia della Camera dei Deputati in merito al disegno di legge per il rafforzamento della cybersicurezza nazionale e di reati informatici – previsioni volte ad imporre “un obbligo di notifica (quantomeno all’ACN) dell’azione di pagamento del riscatto, in modo da avere una reale e concreta contezza del fenomeno e far emergere i casi di sommerso”.
