La sicurezza informatica non è una sfida, né certamente è la sfida
del XXI secolo ma costituisce un tragitto.
Quello
che per la società 4.0 costituisce, invece, una minaccia concreta e
problematica sono gli attacchi cibernetici. L’esigenza di creare
nuovi modelli di business per aumentare la produttività delle
industrie ha portato a una generale tendenza verso l’automazione,
l’informatizzazione, la virtualizzazione, il cloud e verso tutte le
funzionalità presenti su mobile.
L’insieme
di queste caratteristiche definisce l’industria 4.0 a cui le varie
componenti sociali sono chiamate a rapportarsi e su cui agisce il
rischio dei cyber attacchi.
Questa
premessa è doverosa per introdurre la quindicesima edizione del
rapporto Clusit 2020 sulla sicurezza ICT presentata lo scorso 17
Marzo.
Contrariamente
agli altri anni, l’evento di presentazione è avvenuto in un
contesto virtuale considerando il momento drammatico che il nostro
Paese, così come molte zone del mondo, sta vivendo. Stiamo
assistendo a una crisi senza precedenti che nessuno si sarebbe mai
aspettato e mai avremmo pensato, anche solo un mese fa, che saremmo
caduti in una crisi che non ha precedenti dalla fine della seconda
guerra mondiale.
Come
detto, Si tratta di una situazione senza precedenti o, perlomeno, si
tratta di un qualcosa che non si è mai affrontata con le capacità
di rilevazione e analisi, con le tecnologie, con le medicine, con il
sistema sanitario, con i media, con i social dei giorni nostri.
Mi
auguro che sia una grande lezione che possa servire a tutto il mondo
e che possa aiutare, tornando alle cose di casa nostra, anche il
settore della sicurezza informatica.
Dal rapporto che abbiamo presentato, infatti, emerge una situazione
di inaudita gravità che potremmo sintetizzare in questa frase: “con
1.670 attacchi gravi e una tendenza in crescita del 7% rispetto al
2018, il 2019 segna un nuovo picco verso l’alto nella
rappresentazione della “insicurezza cyber”.
Possiamo
affermare che il 2019 è stato l’anno peggiore di sempre in termini
di evoluzione delle minacce “cyber” e dei relativi impatti, sia
dal punto di vista quantitativo che da quello qualitativo,
evidenziando un trend persistente di crescita degli attacchi, della
loro gravità e dei danni conseguenti.
Nell’anno appena passato si è consolidata una discontinuità, si è
oltrepassato un punto di non ritorno, tale per cui ormai ci troviamo
a vivere ed operare in una dimensione differente, in una nuova epoca,
in un “altro mondo”, del quale ancora non conosciamo bene la
geografia, gli abitanti, le regole e le minacce.
Gli
attaccanti non sono più “hackers”, e nemmeno gruppetti
effimeri, più o meno pericolosi, di “artigiani” del cybercrime:
sono decine e decine di gruppi criminali organizzati, transnazionali
che fatturano miliardi, multinazionali fuori controllo dotate di
mezzi illimitati, stati nazionali con i relativi apparati militari e
di intelligence, i loro fornitori e contractors, gruppi
“state-sponsored”, civili e/o paramilitari ed unità di mercenari
impegnati in una lotta senza esclusione di colpi, che hanno come
campo di battaglia, arma e bersaglio, le infrastrutture, le reti, i
server, i client, i device mobili, gli oggetti IoT, le piattaforme
social e di instant messaging, su scala globale, 365 giorni all’anno,
24 ore al giorno. Una situazione di inaudita gravità che mette in
discussione ed a repentaglio tutti i presupposti sui quali si basa il
buon funzionamento dell’Internet commerciale e di tutti i servizi,
online e offline, che su di essa fanno affidamento.
In
questo senso il messaggio che si vuole trasmettere forte e chiaro è
che la situazione è cambiata drasticamente, siamo in un
territorio sconosciuto e questo “new normal” in termini di rischi
“cyber”, è diverso e va gestito diversamente rispetto anche solo
a 2-3 anni fa.
Anche
quest’anno, gli esperti del Clusit per definire un cyber attacco
come “grave” hanno impiegato
gli stessi criteri di
classificazione già applicati ai dati del periodo 2014-2018, più
restrittivi rispetto ai criteri che venivano applicati negli anni
2011-2013, dal momento che nell’arco di questi 108 mesi si è
verificata una sensibile evoluzione degli scenari e che alcune
categorie di attacchi, che potevano essere ancora considerati “gravi”
nel 2011-2013, sono oggi diventati ordinaria amministrazione. Per
esempio, i “defacement” di siti web.
A
parità di criteri, quest’anno si sono classificati come gravi un
numero di attacchi superiore rispetto a tutti gli anni analizzati a
partire dal 2014.
Questi
trend avvalorano la convinzione che sia avvenuto un vero e proprio
cambiamento epocale nei livelli globali di cyber-insicurezza, causato
dall’evoluzione rapidissima degli attori, delle modalità, della
pervasività e dell’efficacia degli attacchi. Dobbiamo sforzarci di
tenere presente che il Cybercrime, il Cyber Espionage e l’Information
Warfare del 2019 non sono certamente più quelli del 2014, e nemmeno
quelli del 2017, anche se continuiamo ad utilizzare le stesse
denominazioni.
Queste
dinamiche nell’ultimo triennio hanno causato conseguenze molto
concrete, da un lato spingendo sempre più soggetti, statuali e non,
ed entrare nell’arena, accelerando la “corsa agli armamenti” in
atto ed esacerbando il livello dello scontro, e dall’altro
impattando in modo ormai inequivocabile sulla società civile,
singoli cittadini, istituzioni ed imprese, che sta cambiando in
conseguenza di questa enorme pressione. Siamo cioè di fronte a
fenomeni che per natura e dimensione travalicano ormai costantemente
i confini dell’IT e della stessa cyber security, ed hanno impatti
profondi, duraturi e sistemici su ogni aspetto della società, della
politica, dell’economia e della geopolitica.
Per
fare un esempio eclatante della mutazione sostanziale delle minacce
cyber avvenuta negli ultimi 3 anni, il Cybercrime, pur rappresentando
senz’altro un problema enorme e facendo la parte del leone dal
punto di vista quantitativo, ormai dal punto di vista qualitativo,
ovvero della Severity, è paradossalmente diventato un rischio
secondario, nel senso che ormai ci troviamo a fronteggiare
quotidianamente minacce ben peggiori, nei confronti delle quali le
contromisure disponibili sono particolarmente inefficaci.
Distribuzione degli attaccanti per tipologia
Complessivamente,
rispetto al 2018, il numero di attacchi gravi che abbiamo raccolto da
fonti pubbliche per il 2019 cresce del +7,6%. In termini assoluti,
nel 2019 la categoria “Cybercrime” fa registrare il numero di
attacchi più elevato degli ultimi 9 anni, con una crescita del +162%
rispetto al 2014 (1383 contro 526).
Va
sottolineato che, rispetto al passato, oggi risulta più difficile
distinguere nettamente tra “Cyber Espionage/Sabotage” e “Cyber
Warfare”: sommando gli attacchi di entrambe le categorie, nel 2019
si assiste ad una diminuzione del 7,7% rispetto all’anno precedente
(239 contro 259).
Già
nel 2014 il Cybercrime si era confermato la prima causa di attacchi
gravi a livello globale (60%), salendo al 68% dei casi analizzati nel
2015. Nel 2016 tale percentuale era il 72%, salita al 76% nel 2017 ed
infine al 79% nel 2018, mostrando una tendenza inequivocabile. Nel
2019 tale percentuale cresce ulteriormente all’83%.
L’Hacktivism
diminuisce ulteriormente, passando da quasi un terzo (27%) dei casi
analizzati nel 2014 al 3% del 2019. Per quanto riguarda le attività
di Espionage (anche a causa della scarsità
di
informazioni pubbliche in merito) la loro percentuale rispetto al
totale degli attacchi rilevati nel 2018 passa dal 13% al 12%, mentre
l’Information Warfare passa dal 4% al 2%. Nel 2019 queste due
categorie sommate valgono il 14% degli attacchi noti totali ma hanno
una Severity più alta della media.
Distribuzione delle tecniche di attacco
Per
la terza volta dal 2011, nel 2019 le tecniche sconosciute (categoria
“Unknown”) sono al secondo posto, diminuendo del 22,3% rispetto
al 2018, superate dalla categoria “Malware”, stabile al primo
posto, che cresce ulteriormente del +24,8% e rappresenta ormai il 44%
del totale.
Al
terzo posto la categoria “Phishing/Social Engineering”, che
cresce del +81,9% rispetto al 2018 e rappresenta il 17% del totale.
Una quota crescente di questi attacchi basati su Phishing si
riferisce a “BEC scams”12, che infliggono danni economici sempre
maggiori alle loro vittime.
Tutte
le altre tipologie di tecniche di attacco sommate rappresentano nel
2019 solo il 12,3% del totale. Notevole l’incremento percentuale
delle categorie “0day” (+50%) e “Account Cracking” (+53,6%),
mentre appaiono in diminuzione gli attacchi realizzati sfruttando
vulnerabilità note (-28,8%), DDos (-39,5%) e tecniche multiple/APT
(-33,7%). Queste ultime sono in parte confluite nella categoria
“Malware”, sempre più utilizzato anche da attori statuali e
state-sponsored.
In
sostanza si conferma anche nel 2019 una tendenza inequivocabile e
molto pericolosa: gli attaccanti possono fare affidamento
sull’efficacia del Malware “semplice”, prodotto industrialmente
a costi decrescenti in infinite varianti, e su tecniche di Phishing /
Social Engineering relativamente semplici, per conseguire la gran
maggioranza dei loro obiettivi. Questo dato è evidenziato
anche dall’inedita polarizzazione delle tecniche d’attacco, tale
per cui ormai le prime 4 categorie (su un totale di 10) rappresentano
l’87,6% del campione.
Appare
chiaro, pertanto, che viviamo ed operiamo in una situazione di
inaudita gravità in termini di rischi cyber, che mette a repentaglio
tutti gli asset di un Paese.
Occorre sempre più una strategia chiara
accompagnata da investimenti in cultura, formazione e risorse
economiche altrimenti, difficilmente, si riuscirà ad uscire da
questo quadro.
Carlo Mauceli