La sintesi del rapporto Clusit 2022, i cui contenuti sono stati anticipati per la stampa nel corso della settimana, può essere riassunto nelle parole del Presidente Gabriele Faggioli che ha aperto l’incontro: “Il cybercrime è un fenomeno che è destinato a sedimentarsi e con cui dovremo fare i conti anche nei prossimi anni”. Al netto delle evoluzioni legate al conflitto tra Russia e Ucraina, che si sta riverberando anche sulla dimensione cyber, quello del crimine informatico è un aspetto che dobbiamo ormai considerare cronicizzato. L’analisi dei principali cyber attacchi del 2021 a livello globale e la situazione italiana confermano questa analisi e, nel dettaglio, definiscono le caratteristiche del fenomeno cyber crimine e le criticità cui devono far fronte le realtà italiane.
Nel Rapporto Clusit 2022 emerge una crescita costante delle minacce informatiche
La situazione fotografata nel 2021 da Andrea Zapparoli Manzoni, membro del Comitato Direttivo Clusit, può essere letta come un consolidamento delle tendenze registrate negli ultimi anni, con una costante crescita nel numero degli attacchi. A partire dal 2011, il Clusit ha infatti analizzato più di 14.000 incidenti di sicurezza, di cui 2.049 solo nell’ultimo anno, con un aumento del 32% negli ultimi 4 anni. Un dato impressionante, considerato anche che i numeri fanno riferimento ai soli attacchi resi pubblici.
L’accurata classificazione applicata nel rapporto per quanto riguarda i settori colpiti (ordinati in 20 macro-categorie e 141 sotto-categorie); delle tecniche di attacco (8 macro-categorie e 59 sotto-categorie) e degli attaccanti (4 macro-categorie e 13 sotto-categorie) consente di avare uno “spaccato” estremamente dettagliato del fenomeno cybercrime.
Uno dei primi dati riguarda la distribuzione geografica, con un significativo aumento degli attacchi diretti a realtà europee. “Per leggere il dato è necessario tenere conto anche del fatto che le normative europee hanno imposto solo recentemente l’obbligo di denuncia per i cyber attacchi subiti” spiega “Andrea Zapparoli Manzoni. “Al netto di questa considerazione, l’aumento è comunque significativo ed è l’indizio di una maggiore pressione sulle realtà all’interno del nostro continente”.
Per quanto riguarda la tipologia degli attaccanti, il cybercrime conferma la sua crescita: l’86% degli attacchi (era l’81% nel 2020) è attribuibile a “comune cyber crimine”. Un dato che, però, va preso con le molle: voci come cyberwarfare e spionaggio, infatti, hanno una visibilità minore a livello di rilevamento.
Le tecniche di attacco rilevate dal rapporto Clusit
Ma quali sono le tecniche più utilizzate dai pirati informatici? Uno degli elementi più significativi è che i cyber criminali non utilizzano più tecniche ispirate a una logica di “pesca a strascico”, ma prediligono gli attacchi mirati. Il cambio di strategia dei cyber criminali è evidenziato non solo dalla tipologia dei bersagli, ma anche dalle tecniche utilizzate.
Inutile dirlo, il malware rimane un fenomeno in primo piano (41% del totale) con vulnerabilità (16%) a seguire e tecniche di phishing e social engineering (10%) in coda. Quest’ultimo dato, in calo rispetto agli anni precedenti, rischia però di essere “bugiardo”. Nel 21% degli attacchi denunciati, infatti, non è stato specificato lo strumento di attacco utilizzato (la legge non prevede un obbligo in questo senso) ed è quindi possibile che in questa categoria si annidi una buona parte di queste tipologie di attacchi.
Un impatto devastante
La valutazione degli incidenti di sicurezza analizzati comprende anche un’analisi dell’impatto che l’attacco ha avuto. Ed è in questo ambito che i dati mostrano un cambiamento radicale dai contorni particolarmente preoccupanti. “Le informazioni che abbiamo raccolto mostrano un aumento esponenziale degli attacchi con impatto critico ed elevato” sottolinea Andrea Zapparoli Manzoni. “In particolare gli attacchi con impatto critico sono più che raddoppiati”.
In una prospettiva complessiva, la somma degli attacchi con impatto critico (32% rispetto al 14% nel 2020) ed elevati (47% rispetto al 36%) rappresenta il 79% del totale. Un dato che Zapparoli Manzoni definisce “impressionante”.
“Nel giro di un anno la gravità degli attacchi è aumentata vertiginosamente” sottolinea l’esperto del Clusit. “Normalmente i cyber criminali tendevano a rimanere sotto traccia, puntando a colpire molti bersagli senza troppo clamore” specifica Zapparoli Manzoni. “Dai nostri dati, invece, il numero di attacchi con impatto critico sono aumentati proprio nella categoria attribuita al cybercrime, raggiungendo i livelli di gravità tipicamente rilevati per cyberwarfare e spionaggio”.
Secondo Alessio Pennasilico, membro del Comitato Scientifico Clusit, a tutto ciò si somma un elemento preoccupante rappresentato da quella che descrive come una sorta di “assuefazione” rispetto all’incidenza degli attacchi informatici. “Il dato impressionante, di fronte all’aumento in termini di volumi degli attacchi cyber, anche con impatto medio-basso, è quello della frequenza. Nel mondo IT si comincia a considerare normale quella che in realtà è una situazione di emergenza”.
Una valutazione equilibrata, secondo Pennasilico, dovrebbe tenere conto anche dell’impatto economico complessivo e non solo del “picco” rappresentato dagli incidenti più gravi. “Il rischio è che le imprese non si rendano conto del danno che stanno realmente subendo – specifica – e sottovalutino la necessità di contrastare gli attacchi in maniera efficace”.
Il problema ransomware è sempre attuale
L’impennata nel grado di gravità nell’impatto degli attacchi emerso nel Rapporto Clusit 2022, sebbene inquadrato in un continuo trend di professionalizzazione del cyber crimine, affonda le sue radici in alcuni fattori specifici, tra cui l’evoluzione del fenomeno ransomware.
“L’introduzione di un modus operandi che prevede la doppia estorsione ha fatto notevolmente aumentare il livello di impatto degli attacchi” sottolinea Andrea Zapparoli Manzoni. “Da quando i pirati informatici hanno iniziato a usare come leva per il loro ricatto la minaccia di pubblicare informazioni riservate, le cose sono peggiorate esponenzialmente”. In altre parole, se prima una parte delle vittime erano in grado di rispondere all’attacco attraverso il ripristino dei dati da backup, riducendo l’impatto al solo danno legato all’interruzione della business continuity, ora uscire “puliti” da un attacco ransomware è molto più complicato.
