La trasformazione digitale in atto e l’ampliamento della superficie d’attacco sta ponendo la cibersicurezza in vetta alle priorità dei policy maker globali. L’UE è pienamente impegnata nell’affrontare la sfida della sicurezza informatica e gli ultimi dati pubblicati dalla European Union Agency for Cybersecurity (ENISA) non fanno che avvalorare la necessità di concentrarsi su questo ambito.
IL THREAT LANDSCAPE: UNA FOTOGRAFIA DELLA MINACCIA CYBER IN EUROPA
L’ENISA la settimana scorsa ha pubblicato il suo annuale “Threat Landscape” report che osserva il periodo luglio 2023-giugno 2024 e che restituisce una fotografia della minaccia cyber certamente preoccupante. Il rapporto infatti quantifica in 19.754 il numero complessivo di vulnerabilità individuate, di cui il 9,3% rientrante nella categoria “critica” e il 21,8% nella categoria “alta”.
A primeggiare, dal punto di vista della tipologia di attacco, sono denial of service (DDOS) e ransomware, mentre dal punto di vista settoriale, la pubblica amministrazione si posiziona al primo posto per il numero di attacchi subiti (19%), seguita da trasporti (11%) e settore bancario/finanziario (9%). Anche gli eventi che riguardano le infrastrutture digitali e i servizi alle imprese costituiscono una parte sostanziale degli eventi osservati (8%), così come quelli rivolti alla società civile e dunque non necessariamente a un settore particolare. Si tratta, in quest’ultimo caso, di campagne di social engineering o di manipolazione delle informazioni. Phishing e pretexting rappresentano ben il 73% degli incidenti di social engineering. Nelle campagne di social engineering un importante ruolo è ricoperto dall’intelligenza artificiale, in particolare quella generativa, che supporta ad esempio la creazione di operazioni di phishing su misura, in cui gli aggressori sfruttano le informazioni open source delle loro vittime per creare testi esca allettanti e convincenti.
La minaccia principale è stata il DDoS che ha colpito l’intera gamma dei settori con la pubblica amministrazione che appunto primeggia (33% degli eventi DDoS), seguita da trasporti (21% degli eventi DDoS), banche (12% degli eventi DDoS) e infrastrutture digitali (6% degli eventi DDoS).
Dopo il DDoS si posizionano, per importanza, gli attacchi ransomware e le minacce legate ai dati. Il ransomware sembra colpire indistintamente diversi settori nel periodo esaminato da ENISA, con i servizi alle imprese (18% degli eventi di ransomware), l’industria manifatturiera (17% degli eventi di ransomware) e la sanità (8% degli eventi di ransomware) che appaiono essere i più colpiti. Anche le minacce legate ai dati hanno preso di mira tutti i settori, anche se ad essere colpiti sono stati in particolare quelli che detengono informazioni personali. A primeggiare infatti sono il pubblico in generale (15%), la pubblica amministrazione (12%), le infrastrutture digitali (10%), la finanza (9%) e i servizi alle imprese (8%).
Il 29% degli eventi con malware ha interessato il pubblico in generale, seguito dalle infrastrutture digitali (25%) e dalla pubblica amministrazione (11%).
Molto interessante l’analisi, ormai giunta alla terza edizione, delle motivazioni alla base degli incidenti osservati durante il periodo di riferimento, individuate in guadagno finanziario, spionaggio, distruzione ed ideologia. Cruciale e straordinariamente rilevante il ruolo della geopolitica, che come evidenziato dalla relazione, continua a svolgere un ruolo catalizzante le operazioni cyber continuando ad essere sempre più frequentemente celata dietro i simboli degli hacktivisti così come degna di nota la sovrapposizione delle attività di questi ultimi a quelle degli attori statali.
DALLE TENDENZE GLOBALI AL CONTESTO NAZIONALE
Lo scenario europeo descritto da ENISA trova pieno riscontro nel panorama globale. Ed infatti, l’ultimo rapporto dell’Associazione Italiana per la Sicurezza Informatica (Clusit), pubblicato a marzo 2024, ha fornito una chiara panoramica di come le minacce informatiche siano cresciute costantemente nel corso degli ultimi anni analizzando 10.858 cyber attacchi, che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali, o che comunque prefigurano scenari preoccupanti, registrati nel periodo tra gennaio 2019 e dicembre 2023. Il rapporto Clusit, in particolare, ha rilevato un andamento degli attacchi cyber decisamente preoccupante nell’ultimo anno: nel 2023 si sono verificati ben 2.779 eventi malevoli, il 12% in più rispetto al 2022 e, in particolare, il 67% in più rispetto al 2019.
L’andamento degli attacchi informatici per anno a livello globale
A livello territoriale, nel 2023 i numeri più elevati si sono registrati nel continente americano, il quale presenta una quota crescente rispetto all’anno precedente (si è passati dal 38% al 44%). L’Europa si colloca subito dopo, al secondo posto, subendo il 23% delle azioni dei cybercriminali, in calo dell’1% rispetto all’anno precedente. L’ultimo posto è occupato dall’Africa che sia nel 2022 che nel 2023, complice certamente un inferiore grado di digitalizzazione, è stata vittima dell’1% degli attacchi informatici gravi.
Geografia delle vittime (2022-2023)
I dati forniti da ENISA evidenziano come la minaccia cibernetica debba assumere un ruolo sempre più centrale tra le sfide nazionali, eurounitarie e globali affrontate dai policy makers, soprattutto in virtù dell’instabilità geopolitica degli ultimi anni che influenza in maniera considerevole il panorama della sicurezza informatica.
Rispetto alle categorie d vittime, ciò che emerge a livello globale emerge come la maggioranza degli eventi non abbia visto un destinatario specifico, bensì target multipli, che sono stati oggetto di quasi un quinto (19%) degli attacchi analizzati. Ciò posto, a livello la salute primeggia (14%), seguita dalle Pubbliche Amministrazioni (12%). Il settore del commercio e le organizzazioni, al contrario, hanno registrato numeri decisamente meno preoccupanti (rispettivamente 3% e 2%).
Distribuzione delle vittime per categoria (2023)
In questo contesto generale anche l’Italia si trova ad affrontare la minaccia informatica con grande sforzo e determinazione. Lo scorso 24 aprile l’Agenzia per la Cybersicurezza Nazionale (ACN) ha presentato al Parlamento la Relazione annuale sulle attività svolte nel corso del 2023 evidenziando un incremento degli eventi cyber anche in Italia. Nello specifico, sono stati riscontrati 1.411 eventi cyber nel 2023 e 303 incidenti ad impatto confermato, un totale più che raddoppiato rispetto al 2022, in cui se ne contavano 126. Il Computer Security Inciden Response Team (CSIRT) ha monitorato 3.624 problemi di sicurezza in capo a dispositivi e servizi, 584 tentativi di phishing, 56 attori ransomware e 265 hacktivisti.
In questo contesto di aggravamento della minaccia cyber, ACN ha nei giorni scorsi pubblicato il report “Operational Summary, Agosto 2024”, che raccoglie i dati e gli indicatori mensili sull’analisi e l’andamento della minaccia cibernetica, concentrandosi sui principali settori merceologici impattati e le tipologie di minacce più frequenti a livello nazionale ed europeo, tra cui malware, DDoS e ransomware. Ad agosto 2024, in particolare, sono stati individuati 122 eventi cyber, in diminuzione del 29% rispetto al mese precedente, complice probabilmente il fattore stagionale. Di questi, 41 sono stati classificati quali incidenti. Se si guarda al numero di vittime di eventi per settore impattato e alla variazione rispetto alla media del semestre precedente, il report evidenzia una forte impennata nel settore Università e ricerca dovuto al rilevamento di un dataleak, pubblicato su un forum criminale, con impatti su oltre 60 soggetti, che dunque si pone alla guida, seguito dalla PA centrale (+4,2% rispetto al semestre precedente) e dal settore tecnologico che addirittura registra un incremento del 122%. Gli eventi registrati hanno riguardato 242 soggetti nazionali di cui 193 appartenenti alla constituency – che comprende soggetti che operano nei settori NIS, Perimetro, Telco o nella Pubblica amministrazione, nei confronti dei quali il CSIRT Italia offre servizi e supporto in termini di prevenzione, monitoraggio, rilevamento, analisi e risposta al fine di prevenire e gestire gli eventi cibernetici -, mentre i restanti hanno riguardato cittadini e società private operanti in settori non critici.
CONCLUSIONI
La trasformazione digitale che sta rivoluzionando tutti i settori sta determinando un ampliamento della potenziale superficie esposta cui si prevedibilmente si accompagna un incremento del numero di attacchi. Le tendenze globali, europee e nazionali non fanno che evidenziare quanto il cyber crime sia attivo ed organizzato e quanto sia importante mettere in campo tutte le iniziative in grado di garantire la sicurezza e resilienza dell’ambiente digitale senza tuttavia porre freni all’innovazione.
L’Europa negli ultimi anni ha lanciato una serie molto ampia di iniziative, che partono dalla NIS1 (Dir. 2016/1148) e sono andate avanti con l’adozione della NIS2, del Cybesercurity Act, del Cyber Resilience Act, del Digital Operational Resilience Act (DORA) che stanno componendo un puzzle ad elevatissima complessità, cui si aggiunge a livello nazionale la disciplina sul perimetro di sicurezza nazionale cibernetica, nel tentativo di arginare i rischi di attacchi cyber e circoscriverne gli effetti. Si tratta di una sfida irrinunciabile che tuttavia deve necessariamente fare i conti con la necessità, allo stesso modo irrinunciabile e ben palesata nel rapporto sul futuro della competitività europea a firma di Mario Draghi recentemente presentato, di garantire un ecosistema normativo sostenibile, di valutare attentamente gli impatti della normativa sui vari settori e di bilanciare attentamente gli interessi coinvolti affinché la compliance cessi di essere avvertita come un ostacolo agli investimenti e alla competitività dell’UE.