Da anni, constatiamo l’incessante aumento degli attacchi informatici (e dei relativi incidenti informatici), sia a livello numerico che di pericolosità. Il recentissimo Rapporto Clusit 2024 non solo conferma un trend in atto da anni, ma pone sotto la lente d’ingrandimento una situazione italiana a dir poco preoccupante.
- A fronte di una crescita globale degli incidenti pari a +12%, quelli indirizzati alle nostre organizzazioni sono aumentati del 65% nel 2023;
- Di tutti gli attacchi censiti dall’Osservatorio tra il 2019 e il 2023, il 47% è avvenuto nel 2023.
Si tratta dell’esito di un duplice fenomeno: da un lato, di un business del cyber crime sempre più remunerativo (il 64% degli attacchi è ascrivibile proprio alla categoria del cyber crime), e dall’altro di un aumento inadeguato dei livelli, delle strategie e degli strumenti di difesa. Quanto meno, giova ripeterlo, con riferimento al nostro Paese.
Attacchi informatici in Italia: i settori più colpiti
Il Rapporto Clusit 2024 fornisce dettagli molto interessanti sui trend della sicurezza informatica, sia a livello globale che italiano. Partendo dai settori maggiormente colpiti, quello Governativo (19%), la Manifattura (13%) e i Servizi professionali (12%) occupano il podio: il dato relativo al manufacturing, in particolare, è analogo agli scorsi anni, essendo questo settore molto ambito dai criminali sia per la complessità degli ecosistemi IT/OT – che li rende difficili da proteggere – sia per i potenziali danni arrecabili, che non riguardano solo la sfera finanziaria ma anche la compliance e addirittura la sicurezza fisica delle persone.
Le tecniche di attacco nel 2024: vince il DDoS, ma phishing a +87%
Da sempre, uno dei temi più interessanti è quello delle tecniche di attacco. Questo, infatti, oltre a spiegare il modo in cui evolve l’universo degli attacchi informatici, fornisce spunti su come approcciare le strategie di difesa. Limitando sempre l’osservazione agli attacchi informatici in Italia, le tecniche più utilizzare nel 2023 sono state:
- DDoS: 36%
- Malware: 33%
- Phishing / Social Engineering: 9%
- Vulnerabilità: 2%
A queste si aggiungono gli attacchi web e, soprattutto, quelli di matrice sconosciuta, che sono il 17% del totale.
Questa classifica produce interessanti considerazioni: in primis, si nota chiaramente il rafforzamento del fenomeno dell’hacktivism, che da sempre predilige gli attacchi DDoS (nel 2022, erano il 4% del totale); gli incidenti basati sulle altre tecniche disegnano invece il macrocosmo del cyber crime, che sempre più spesso agisce in forma organizzata e perfettamente strutturata, con competenze e strumenti di prim’ordine.
Leggendo i dati del Rapporto, si fa notare non tanto il secondo posto del malware, che da sempre rappresenta il vettore d’attacco prediletto dal cyber crime, ma soprattutto il +87% rispetto allo scorso anno delle categorie phishing e social engineering. In realtà, questi dati non devono stupire: i cyber criminali hanno scovato – ormai molto tempo fa – tecniche efficaci e poco costose e le sfruttano ogni anno di più. Stupisce, invece, che tali tecniche continuino ad essere così efficaci, ma questo è un tema che riguarda più la cultura della sicurezza aziendale che l’adozione di strumenti tecnici di difesa informatica.
Come difendersi dagli attacchi informatici nel 2024?
Da anni, il Rapporto Clusit mette in guardia le organizzazioni di tutto il mondo sull’aumento degli incidenti cyber. Come detto, gli attacchi informatici non diventano solo più numerosi, ma anche più insidiosi, e il documento di quest’anno lo conferma ancora una volta. A livello globale, gli incidenti critici sono stati il 38%, e quelli con impatto alto un ulteriore 42%, segno che difficilmente l’esito di un attacco andato a segno è trascurabile.
Come difendersi dagli attacchi informatici, quindi? Osservando il fenomeno dall’alto, la parola chiave non può che essere strategia. Ci sono ancora molte aziende che, colpite dalla cronica carenza di competenze, puntano a gestire la sicurezza in modo statico, con gli strumenti di una volta e senza far evolvere quotidianamente il proprio approccio, cosa che invece gli attaccanti fanno. In questo modo, le aziende sono sempre un passo indietro, e tutta la trasformazione digitale in atto, compresa la migrazione al cloud e l’adozione di workplace ibridi e digitali, non fa altro che aprire nuove sfide e vulnerabilità di sicurezza.
È quindi fondamentale che le aziende affrontino il tema della cybersecurity a 360 gradi, identificando i livelli di rischio cui sono soggetti, gli asset digitali da proteggere e come bilanciare correttamente la protezione di dati, sistemi e infrastrutture con i livelli di produttività desiderati. Posto che la sicurezza al 100% non esiste, solo così possono davvero creare una solida postura di sicurezza, per sé ma anche per i propri partner.
Il problema, come già accennato, è che mancano le competenze, sia strategiche che operative. E per questo, i provider di servizi gestiti di cybersecurity (MSSP, Managed Security Service Provider) sono così richiesti negli ultimi anni. È impensabile (nonché antieconomico) che l’azienda, partendo da una security posture lacunosa, possa fare tutto da sé, senza contare che la sicurezza informatica è un tema che evolve ogni giorno e quindi va gestito (non solo pianificato) in tempo reale da tecnici con competenze ultra-verticali.
Non da ultimo, c’è il tema culturale, cui abbiamo accennato a proposito dell’aumento degli attacchi di phishing. Gli imprenditori, per primi, devono considerare che il digital risk è diventata un’area fondamentale del rischio d’impresa e non può essere trascurata. In seconda battuta, le persone che lavorano per l’azienda devono essere responsabilizzate su questi temi, soprattutto in un’era in cui dati e informazioni vengono fruite in ogni luogo e con svariati dispositivi diversi: il consiglio è quello di investire non solo in ambito strategico e di gestione (tecnica) della sicurezza, ma di riservare un budget per iniziative volte a rafforzare – o addirittura creare – la consapevolezza su questi temi: cosa è giusto fare, come farlo e con quali strumenti, ma anche cosa va evitato a tutti i costi. Si chiama security awareness e, parlando di parole chiave, siamo pronti a scommettere che ci accompagnerà fino al 2025 (e oltre).