Quali sono i trend 2017 in campo cybercrime e come si stanno muovendo le aziende italiane sul fronte Sicurezza IT? I dati tratti da recenti report di Cisco, del Clusit e del Politecnico di Milano e dai commenti degli analisti che li hanno presentati tracciano uno scenario con qualche nota positiva, ma che sostanzialmente conferma un gap preoccupante tra i progressi compiuti dal cybercrime e quelli, molto più lenti, fatti dalle aziende nel cercare di proteggersi.
Indice degli argomenti
Attacchi informatici: quali sono i trend 2017?
Per quanto riguarda i cyber security trend 2017 ecco una prima serie di indicazioni tratte da due ricerche svolte a livello globale: il Rapporto Clusit 2017 (panorama degli eventi di cybercrime del 2016 gravi e noti; fondamentale quest’ultima precisazione che definisce il campione: restano esclusi incidenti di piccola entità e tutti quelli non dichiarati alle autorità) e l’Annual Cybersecurity Report Cisco (analisi che si basa sulle informazioni estrapolate dalla rete di sensori che l’azienda ha dislocati in tutto il mondo, nonché dal confronto con le aziende). Andrea Zapparoli Manzoni Consiglio direttivo, Clusit
- Cresce il Cybercrime – Nel 2016 rispetto al 2015 aumenta del 9,80% il numero, già alto nel 2015, di attacchi gravi volti a generare un guadagno immediato (Cybercrime) e osservando le tecniche di attacco (figura 1), è significativo che siano in forte aumento il Phishing e il Social Engineering (da 6 attacchi noti nel 2015 a 76 nel 2016) e che sia sempre molto diffuso e ancora in crescita il Malware comune (+116% sul 2015; 22% del totale degli attacchi), che viene sfruttato non solo per attacchi “spiccioli” (volti a generare margini su grandissimi numeri) ma anche contro bersagli importanti e/o con impatti significativi: “Il cybercrime non usa sistemi sofisticati se non serve, tant’è che gli 0-day non sono particolarmente diffusi”, dice Andrea Zapparoli Manzoni del Consiglio direttivo del Clusit.
- Finance e Health sempre più attaccati – La crescita percentuale maggiore di attacchi gravi si osserva verso le categorie Health (+ 102%), GDO/Retail (+70%) e Finance (+64%). Riguardo al mondo della sanità, come ha spiegato Alessio Pennasilico, Consiglio Direttivo e CTS, Clusit: “È un ambiente estremamente interessante per i cybercriminali. I dati sanitari hanno un valore economico molto alto ed è un contesto dove è più facile chiedere riscatti con successo: se un attacco blocca i sistemi informativi, un ospedale sarà più portato a fare quanto gli viene chiesto pur di non tenere ferme delle sale operatorie”. Zapparoli Manzoni ha invece commentato il settore Finance: “Il 2016 è stato l’anno in cui si è registrato un picco di attacchi a Swift, sistema che gestisce le operazioni finanziarie internazionali tra banche, da sempre considerato sicuro. Si dava per scontato che le operazione caricate su Swift fossero vere, e legittime, transazioni bancarie; invece sono stati rubati centinaia di milioni di dollari facendo credere che certe operazioni fraudolente aggiunte dai cybercriminali fossero legittime”.

Ed ecco i trend 2017 estrapolati dal report Cisco:
3) Aumenta la superficie di attacco – La crescita del flusso dati, guidata da mobility, IoT e big data, amplia la superficie d’attacco, che sempre più sarà difficile da proteggere: Cisco prevede nel 2020 un traffico globale di 2,3 ZByte, di cui il 66% sarà generato da dispositivi wireless e mobile, in virtù di una velocità broadband media due volte superiore. Anche l’uso crescente delle cloud application di terze parti introdotte dai dipendenti nell’ambiente aziendale (magari col nobile scopo di aumentare l’efficienza lavorativa) dissipa i perimetri aziendali ed espone a nuovi rischi: il 27% di queste applicazioni sono classificate da Cisco ad alto rischio (figura 2).

4) Ritorna lo spam – Il volume di spam globale aumenta con livelli che non si vedevano dal 2010: secondo i dati, è spam quasi i due terzi (65%) delle e-mail, delle quali risultano dannose l’8%; spesso viene diffuso sfruttando le botnet (reti al servizio degli attaccanti composte da dispositivi Iot infettati da malware specializzato).
5) I Broker coprono i criminali – Se da un lato tecniche collaudate tornano alla ribalta, dall’altro i cybercriminali “fanno innovazione”; è il caso dell’introduzione dell’uso dei “broker”: gli utenti sono indirizzati agli exploit kits (suite software progettate per girare su server web per identificare le vulnerabilità dei programmi installati nei client che comunicano con esso, così da poter caricare ed eseguire codice malevolo ad hoc sul pc della vittima) sfruttando principalmente due modi, siti compromessi e malvertising. Gli hacker generalmente posizionavano in una pubblicità malevola o in un sito compromesso un link che puntava direttamente agli exploit kits; si sta invece ora diffondendo l’utilizzo di un link intermedio, detto broker, che si frappone tra il sito compromesso (o la pubblicità malevola) e l’exploit kit server, mascherando le attività dannose dei cybercriminali ed eludendone il rilevamento.
Cybercrime: perché cresce così rapidamente?
I dati del Clusit e le riflessioni degli analisti che li hanno commentati hanno chiarito la catena di cause ed eventi che porta oggi il cybercrime a proliferare con i ritmi descritti. Gli analisti hanno definito il quadro emerso dai dati nel complesso “disastroso”: “Siamo ormai giunti – si legge nel report – a una condizione di costante, quotidiano allarme rosso […] La tendenza generale, se il fenomeno non sarà contrastato con grandissima determinazione, è verso un ulteriore peggioramento”. Alessio Pennasilico Consiglio Direttivo e Ctsdi Clusit e Information & Cyber Security Advisor di P4I - Partners4Innovation
Aggiungiamo infine altri due motivi per i quali il mercato cybercriminale crese: il primo è che i ricavi che si possono ottenere ne fanno il business più remunerativo attualmente esistente e si resta quasi sempre impuniti poiché la segmentazione delle operazioni criminose tra varie figure specializzate e svolte in diverse giurisdizioni del mondo rende generalmente impossibile rintracciare i colpevoli; il secondo è che poiché molti attacchi sono diventati “as a service”, chiunque, attratto dai guadagni, anche senza particolari competenze informatiche, può iniziare a operare in questo mercato criminoso alimentandone la crescita.
Sicurezza It: alle aziende manca strategia
Come si stanno muovendo le aziende del nostro paese per rispondere al quadro descritto (a detta del Clusit la situazione globale rispecchia infatti anche quella italiana)?
Alessandro Piva Direttore, Osservatorio Information Security & Privacy
1) Manca un approccio strategico: solo il 7% delle aziende ha un orizzonte di pianificazione pluriennale per adeguarsi al Gdpr (che promuove un approccio alla sicurezza basato sulla gestione del rischio e misure tecnologiche, organizzative e di processo coerenti) e il 50% delle organizzazioni non ha ancora un budget dedicato (figura 3). “Nelle interviste dirette – aggiunge Piva per chiarire quali sono gli aspetti trascurati dalle aziende – è emerso come molte realtà stiano lavorando sull’identificazione delle direttive di analisi del rischio [senza dunque aver messo ancora in campo azioni concrete – ndr] ma manchi ancora la capacità di impostare piani di risposta agli attacchi in tempo reale e prontezza nel garantire il ripristino dei servizi interrotti” (sull’importanza non solo di prevenire ma anche di sviluppare una resilenza agli attacchi, ormai all’ordine del giorno, si sono espressi anche gli speaker dell’annual meeting del World Economic Forum, che hanno anche sottolineato l’importanza di rendere prassi la sicurezza by design, sopra citata, nonché di educare gli utenti, sempre più spesso vittime di social engineering). Poca strategia anche tra le Pmi che risultano guidate nelle scelte di spesa soprattutto dall’adeguamento normativo (48%), a riprova di una mancanza di consapevolezza del valore di business che ha in sé oggi la sicurezza.

2) Non aumentano i CISO (Chief Information Security Officer): solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del CISO, percentuale sostanzialmente invariata rispetto al 2015; su questo fronte Piva fa notare il ritardo italiano rispetto ai trend internazionali e aggiunge: “Tolto il 10% dei casi in cui questo riporta direttamente al board aziendale, questa figura è oltretutto affondata all’interno dell’IT e riporta al CIO o ad altre aree aziendali” (figura 4).

3) Formazione ancora inadeguata: rispetto alle iniziative volte a sensibilizzare gli utenti, quelle più in uso riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (78%) e corsi di formazione (66%): meno di un terzo delle realtà ha progetti strutturati e/o attiva vulnerability assessment sui dipendenti. Interessante a questo proposito l’intervento di Sonja Codnich, Banking Service Lines Management Division – Advocacy Manager, UniCredit Business Integrated Solutions che ha fatto emergere come elementi utili per l’impostazione di un percorso formativo il coinvolgimento diretto degli utenti nell’individuazione dei rischi e delle aree di miglioramento (con key leader capaci di interagire con cluster di colleghi in logica informale) e l’impostazione di workshop per armonizzare le pratiche e creare consapevolezza “tenendo presente che il senso di responsabilità delle persone non passa mai dalla mera adozione di procedure e formalità attivate solo al fine di essere compliance”.