Cybercrime e Sicurezza IT: stato dell’arte e trend 2017

Quali sono i trend 2017 in campo cybercrime e come si stanno muovendo le aziende italiane sul fronte Sicurezza IT? I dati tratti da recenti report di Cisco, del Clusit e del Politecnico di Milano e dai commenti degli analisti che li hanno presentati tracciano uno scenario con qualche nota positiva, ma che sostanzialmente conferma un gap preoccupante tra i progressi compiuti dal cybercrime e quelli, molto più lenti, fatti dalle aziende nel cercare di proteggersi.

Attacchi informatici: quali sono i trend 2017?

Per quanto riguarda i cyber security trend 2017 ecco una prima serie di indicazioni tratte da due ricerche svolte a livello globale: il Rapporto Clusit 2017 (panorama degli eventi di cybercrime del 2016 gravi e noti; fondamentale quest’ultima precisazione che definisce il campione: restano esclusi incidenti di piccola entità e tutti quelli non dichiarati alle autorità) e l’Annual Cybersecurity Report Cisco (analisi che si basa sulle informazioni estrapolate dalla rete di sensori che l’azienda ha dislocati in tutto il mondo, nonché dal confronto con le aziende).

Secondo il Clusit:

1. Cresce il Cybercrime – Nel 2016 rispetto al 2015 aumenta del 9,80% il numero, già alto nel 2015, di attacchi gravi volti a generare un guadagno immediato (Cybercrime) e osservando le tecniche di attacco (figura 1), è significativo che siano in forte aumento il Phishing e il Social Engineering (da 6 attacchi noti nel 2015 a 76 nel 2016) e che sia sempre molto diffuso e ancora in crescita il Malware comune (+116% sul 2015; 22% del totale degli attacchi), che viene sfruttato non solo per attacchi “spiccioli” (volti a generare margini su grandissimi numeri) ma anche contro bersagli importanti e/o con impatti significativi: “Il cybercrime non usa sistemi sofisticati se non serve, tant’è che gli 0-day non sono particolarmente diffusi”, dice Andrea Zapparoli Manzoni del Consiglio direttivo del Clusit.
2. Finance e Health sempre più attaccati – La crescita percentuale maggiore di attacchi gravi si osserva verso le categorie Health (+ 102%), GDO/Retail (+70%) e Finance (+64%). Riguardo al mondo della sanità, come ha spiegato Alessio Pennasilico, Consiglio Direttivo e CTS, Clusit: “È un ambiente estremamente interessante per i cybercriminali. I dati sanitari hanno un valore economico molto alto ed è un contesto dove è più facile chiedere riscatti con successo: se un attacco blocca i sistemi informativi, un ospedale sarà più portato a fare quanto gli viene chiesto pur di non tenere ferme delle sale operatorie”. Zapparoli Manzoni ha invece commentato il settore Finance: “Il 2016 è stato l’anno in cui si è registrato un picco di attacchi a Swift, sistema che gestisce le operazioni finanziarie internazionali tra banche, da sempre considerato sicuro. Si dava per scontato che le operazione caricate su Swift fossero vere, e legittime, transazioni bancarie; invece sono stati rubati centinaia di milioni di dollari facendo credere che certe operazioni fraudolente aggiunte dai cybercriminali fossero legittime”.

Ed ecco i trend 2017 estrapolati dal report Cisco:

3) Aumenta la superficie di attacco – La crescita del flusso dati, guidata da mobility, IoT e big data, amplia la superficie d’attacco, che sempre più sarà difficile da proteggere: Cisco prevede nel 2020 un traffico globale di 2,3 ZByte, di cui il 66% sarà generato da dispositivi wireless e mobile, in virtù di una velocità broadband media due volte superiore. Anche l’uso crescente delle cloud application di terze parti  introdotte dai dipendenti nell’ambiente aziendale (magari col nobile scopo di aumentare l’efficienza lavorativa) dissipa i perimetri aziendali ed espone a nuovi rischi: il 27% di queste applicazioni sono classificate da Cisco ad alto rischio (figura 2).

4) Ritorna lo spam – Il volume di spam globale aumenta con livelli che non si vedevano dal 2010: secondo i dati, è spam quasi i due terzi (65%) delle e-mail, delle quali risultano dannose l’8%; spesso viene diffuso sfruttando le botnet (reti al servizio degli attaccanti composte da dispositivi Iot infettati da malware specializzato).

5) I Broker coprono i criminali – Se da un lato tecniche collaudate tornano alla ribalta, dall’altro i cybercriminali “fanno innovazione”; è il caso dell’introduzione dell’uso dei “broker”: gli utenti sono indirizzati agli exploit kits (suite software progettate per girare su server web per identificare le vulnerabilità dei programmi installati nei client che comunicano con esso, così da poter caricare ed eseguire codice malevolo ad hoc sul pc della vittima) sfruttando principalmente due modi, siti compromessi e malvertising. Gli hacker generalmente posizionavano in una pubblicità malevola o in un sito compromesso un link che puntava direttamente agli exploit kits; si sta invece ora diffondendo l’utilizzo di un link intermedio, detto broker, che si frappone tra il sito compromesso (o la pubblicità malevola) e l’exploit kit server, mascherando le attività dannose dei cybercriminali ed eludendone il rilevamento.

Cybercrime: perché cresce così rapidamente?

I dati del Clusit e le riflessioni degli analisti che li hanno commentati hanno chiarito la catena di cause ed eventi che porta oggi il cybercrime a proliferare con i ritmi descritti. Gli analisti hanno definito il quadro emerso dai dati nel complesso “disastroso”: “Siamo ormai giunti –  si legge nel report – a una condizione di costante, quotidiano allarme rosso […] La tendenza generale, se il fenomeno non sarà contrastato con grandissima determinazione, è verso un ulteriore peggioramento”.

Prima di tutto c’è da considerare la progressiva industrializzazione del cybercrime e la conseguente automatizzazione delle operazioni: “Quando i cybercriminali da artigiani sono diventati industriali, la quantità di vittime che hanno potuto colpire è aumentata in modo esponenziale; ci troviamo di fronte a macchine e software che attaccano altre macchine e altri software”, spiega Zapparoli Manzoni che quindi, per chiarire, ricorda il problema delle botnet e in particolare il noto caso Dyn (provider che in Usa fornisce il servizio di DNS per svariati noti siti Internet che un attacco Ddos ha reso irraggiungibili per diverse ore): “Per lanciare quel Ddos sono state sfruttate 200mila telecamere di sicurezza connesse a Internet; queste sono state individuate grazie a un’altra macchina programmata per fare una scansione della rete e prendere il controllo dei sistemi più facilmente violabili”. Se dunque da un lato la potenza di fuoco del cybercrime aumenta e il mondo del crimine informatico si fa via via più organizzato (ogni attacco viene gestito da più specialisti, esistono accordi contrattuali, servizi in hosting ecc.), dall’altro le aziende, come vedremo anche dai dati del Politecnico, aumentano le spese in sicurezza ma non abbastanza e senza riuscire ad avere un approccio strategico e per quanto il Gdpr (il regolamento generale sulla protezione dei dati emesso dalla UE e che dovrà essere applicato entro il 25 maggio 2018), come afferma lo stesso Pennasilico, stia tracciando una rotta corretta, sul piano legislativo ci sono gravi vuoti, in primis sul piano della security by design: “Siamo consumatori di tecnologia ‘spericolati’ – dice Zapparoli Manzoni – eppure non esistono leggi che obbligano a produrre software sicuro: se compro un ERP costosissimo, nella licenza c’è scritto ‘Use at your own risk’: il mondo del software è l’unico caso in cui chi vende un prodotto è immune dai difetti dello stesso”. D’altra parte, come raccontano gli speaker, in alcuni paesi ex comunisti, dove nel codice penale non c’è una distinzione chiara tra software e malware, i produttori di malware, lavorano persino ‘alla luce del sole’ con una insegna da software house.

Aggiungiamo infine altri due motivi per i quali il mercato cybercriminale crese: il primo è che i ricavi che si possono ottenere ne fanno il business più remunerativo attualmente esistente e si resta quasi sempre impuniti poiché la segmentazione delle operazioni criminose tra varie figure specializzate e svolte in diverse giurisdizioni del mondo rende generalmente impossibile rintracciare i colpevoli; il secondo è che poiché molti attacchi sono diventati “as a service”, chiunque, attratto dai guadagni, anche senza particolari competenze informatiche, può iniziare a operare in questo mercato criminoso alimentandone la crescita.

Sicurezza It: alle aziende manca strategia

Come si stanno muovendo le aziende del nostro paese per rispondere al quadro descritto (a detta del Clusit la situazione globale rispecchia infatti anche quella italiana)?

L’ultimo report del Politecnico di Milano (intervistati 951 CISO, CSO e CIO di grandi imprese e PMI) rileva una crescita del mercato della security: “Si stima un mercato di poco meno di 1 miliardo con un tasso di crescita, del 5%, allineato a quello internazionale”, ha detto Alessandro Piva, Direttore, Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, che tuttavia segnala una serie di elementi che vanno a mitigare l’ottimismo che questo dato suggerisce. In riferimento alle grandi imprese infatti:

1) Manca un approccio strategico: solo il 7% delle aziende ha un orizzonte di pianificazione pluriennale per adeguarsi al Gdpr (che promuove un approccio alla sicurezza basato sulla gestione del rischio e misure tecnologiche, organizzative e di processo coerenti) e il 50% delle organizzazioni non ha ancora un budget dedicato (figura 3). “Nelle interviste dirette – aggiunge Piva per chiarire quali sono gli aspetti trascurati dalle aziende – è emerso come molte realtà stiano lavorando sull’identificazione delle direttive di analisi del rischio [senza dunque aver messo ancora in campo azioni concrete – ndr] ma manchi ancora la capacità di impostare piani di risposta agli attacchi in tempo reale e prontezza nel garantire il ripristino dei servizi interrotti” (sull’importanza non solo di prevenire ma anche di sviluppare una resilenza agli attacchi, ormai all’ordine del giorno, si sono espressi anche gli speaker dell’annual meeting del World Economic Forum, che hanno anche sottolineato l’importanza di rendere prassi la sicurezza by design, sopra citata, nonché di educare gli utenti, sempre più spesso vittime di social engineering). Poca strategia anche tra le Pmi che risultano guidate nelle scelte di spesa soprattutto dall’adeguamento normativo (48%), a riprova di una mancanza di consapevolezza del valore di business che ha in sé oggi la sicurezza.

2) Non aumentano i CISO (Chief Information Security Officer): solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del CISO, percentuale sostanzialmente invariata rispetto al 2015; su questo fronte Piva fa notare il ritardo italiano rispetto ai trend internazionali e aggiunge: “Tolto il 10% dei casi in cui questo riporta direttamente al board aziendale, questa figura è oltretutto affondata all’interno dell’IT e riporta al CIO o ad altre aree aziendali” (figura 4).

3) Formazione ancora inadeguata: rispetto alle iniziative volte a sensibilizzare gli utenti, quelle più in uso riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (78%) e corsi di formazione (66%): meno di un terzo delle realtà ha progetti strutturati e/o attiva vulnerability assessment sui dipendenti. Interessante a questo proposito l’intervento di Sonja Codnich, Banking Service Lines Management Division – Advocacy Manager, UniCredit Business Integrated Solutions che ha fatto emergere come elementi utili per l’impostazione di un percorso formativo il coinvolgimento diretto degli utenti nell’individuazione dei rischi e delle aree di miglioramento (con key leader capaci di interagire con cluster di colleghi in logica informale) e l’impostazione di workshop per armonizzare le pratiche e creare consapevolezza “tenendo presente che il senso di responsabilità delle persone non passa mai dalla mera adozione di procedure e formalità attivate solo al fine di essere compliance”.