Crimini informatici: aumentano gli incidenti di sicurezza in Italia
Nel Threat Intelligence Report 3Q 2021 dell’Osservatorio Cybersecurity di Exprivia emerge un costante aumento degli incidenti informatici in Italia che provocano danni a istituzioni, aziende e privati cittadini. Precisamente, tra luglio e settembre 2021 il Rapporto evidenzia 273 episodi di cui 166 attacchi, 93 incidenti di sicurezza e 14 violazioni privacy.
“Come suggeriscono i dati dell’Osservatorio di Exprivia – sottolinea Domenico Raguseo, Head of CyberSecurity Exprivia – è evidente un numero di incidenti di sicurezza in crescita, a fronte di una forbice tra attacchi informatici ed incidenti di sicurezza che si è andata a restringere ancora di più rispetto al 2Q 2021”.
Infatti, nel 3Q 2021 è stato registrato il minor numero di attacchi da inizio anno, mentre il numero di incidenti di sicurezza (attacchi andati a buon fine) è stato il dato più alto rilevato. Nonostante gli attacchi siano diminuiti, questi hanno causato un maggior numero di incidenti. Ciò dovrebbe suggerire che gli attaccanti sono sempre più bravi.
Numero di attacchi, incidenti e violazioni privacy nel 1Q2021, 2Q2021, 3Q2021 in Italia
Per quanto riguarda le metodologie di attacco, le più utilizzate sono il phishing e vulnerabilità conosciute.
“Una premessa doverosa: il phishing oggi è estremamente sofisticato. Qualche giorno fa scherzavo con una collega che aveva ricevuto due e-mails da un fornitore: una riguardava il phishing e l’altra era vera. Concludendo, quella di phishing sembrava quella vera – spiega Raguseo. – Fatta questa doverosa premessa, è chiaro che investire sulla consapevolezza, va a rafforzare il firewall più importante, ovvero quello umano. Aggiungerei al fattore umano anche l’adozione di pratiche elementari sulla sicurezza, quali gestione delle vulnerabilità e installazione di patches di sicurezza con tempestività, quando è possibile. Secondo l’Osservatorio Exprivia sulla Cybersecurity, infatti, gli incidenti hanno successo spesso a causa di phishing o sfruttando vulnerabilità conosciute. Se ci fosse pertanto maggiore consapevolezza e ci fosse una adeguata gestione delle vulnerabilità adottando pratiche elementari, il fenomeno del cybercrime avrebbe un ruolo marginale”, specifica Raguseo.
Oltre a questo, restano gli attacchi fatti da professionisti che richiedono difese serie, competenze serie e che costano sia in fase di assessment che in fase implementativa.
In fase di assessment perché è evidente l’impossibilità di azzerare il rischio, in quanto non è facile decidere su cosa investire. Ad esempio, è meglio investire in un firewall o in un corso di fundamentals? O in tutto? È chiaro che agli interlocutori viene chiesto di conoscere molto, se non tutto, per suggerire la cosa giusta.
Poi, una volta deciso cosa fare, il problema è quello di utilizzare un delivery model adeguato per condividere i costi. Non tutti infatti possono permettersi un SOC, un CISO e così via.
Quanto alle violazioni privacy, si registra un aumento pari al 40% rispetto al 2Q 2021. Nel 3Q 2021 le sanzioni comminate dal Garante Privacy ammontano a circa 7 milioni di euro. In particolare, gli accertamenti sono avvenuti sia in Enti della Pubblica Amministrazione, sia in moltissime società private come aziende di trasporto, aziende di consulenza IT, aziende sanitarie, aziende di fornitura elettrica ed altro. Gli argomenti contestati che hanno portato ad erogare un così elevato numero di sanzioni sono stati soprattutto la mancata adozione delle misure di sicurezza, l’omessa o del tutto inesistente informativa e l’uso illecito dei dati personali.
Probabilmente noi stessi non proteggiamo i dati come le regole chiedono. Questo è un tema complesso dal punto di vista tecnologico, ma con aspetti che hanno a che fare con la consapevolezza. Mettendo da parte il GDPR per un istante, quante volte ci si lamenta sulla mole di dati che regaliamo tranquillamente, ma che non vengono protetti adeguatamente? Questo significa che la difesa parte da noi e finisce con gli altri.
Un altro tema importante riguarda il numero dei dispositivi IoT sempre più costante nel tempo. Infatti, il numero di dispositivi IPv4, come riportato nel Exprivia Threat Intelligence Report 3Q2021, si assesta a quasi 8 milioni. Sono inclusi dispositivi come telecamere, router, PLC che spesso si affacciano alla rete senza un protocollo di autenticazione.
Situazione italiana dei dispositivi IPv4 3Q2020, 4Q2020, 1Q2021, 2Q2021, 3Q2021
Dispositivi connessi in tal numero condividono dati critici, e pertanto è importante mitigare i rischi ad essi correlati, soprattutto considerando il fatto che essi possono influire direttamente nella quotidianità di tutti noi.
Non proteggere i dispositivi IoT rappresenta un rischio per il servizio (talvolta critico se si parla di un sensore in un sistema SCADA) ma rappresenta ancora di più un rischio per la comunità. Infatti, gli attaccanti hanno necessità di milioni di dispositivi da catturare per eseguire attacchi di tipo DDoS; e cosa c’è di meglio che una serie di dispositivi IoT da catturare? Questa non è fantascienza: è già accaduto con MIRAI e le vittime erano telecamere di videosorveglianza.
Tutto ciò introduce due tipi di problemi. Il primo è quello della governance dei dispositivi IoT in azienda:
chi è il responsabile del dispositivo? Responsabile non solo del corretto funzionamento, ma anche dell'assicurare che sul dispositivo non ci sia una bot.
Il secondo è il tema delle certificazioni: se in azienda un responsabile è identificabile, non si può pretendere che una persona qualunque, comperando un bene, si debba preoccupare della Cyber resilience di questo bene di uso comune (ad esempio una televisione).
A fronte di queste evidenze, è necessario mettere in campo tutte le azioni possibili per proteggersi, per rendersi meno vulnerabili mantenendo la guardia molto alta nella difesa della rete.
“È una priorità – evidenzia Raguseo – investire in consapevolezza. Tale investimento consiste nell’implementare i controlli di sicurezza fondamentali, con particolare riferimento a quelli che hanno a che fare con la protezione dell’endpoint, salvaguardia della migrazione verso il cloud dei servizi, gestione delle vulnerabilità e monitoraggio degli eventi generati dai dispositivi di sicurezza”.
Oggi sempre più istituzioni e aziende stanno spostando il workload verso il cloud. La migrazione delle policies di sicurezza, che spesso sono costruite coinvolgendo elementi fisici (indirizzi IP, MAC Address ecc.), rappresenta uno dei problemi principali da affrontare quando si effettua questa operazione. Una soluzione a questo problema è rappresentata dalla micro-segmentazione che, disaccoppiando le policies dagli elementi fisici, permette di implementare strategie zero-trust e allo stesso modo consente una più semplice migrazione.
Che sia cloud o cloud ibrido, spostare i flussi di lavoro oggi è inevitabile, così come è inevitabile affrontare i problemi che possono derivarne.
A riguardo, il DPCM n.81/2021 propone una specifica linea guida per l’implementazione delle misure di sicurezza da parte dei soggetti del Perimetro di sicurezza nazionale cibernetica. Come discusso nel Regolamento, è necessario garantire elevati livelli di sicurezza dei beni ICT attraverso l’utilizzo di misure organizzate in funzioni, categorie e sottocategorie, ognuna identificata anche da un codice univoco alfanumerico corrispondente alle analoghe misure del Framework nazionale per la cybersecurity e la data protection. In particolare, per ogni misura è fornita una specifica più dettagliata dell’implementazione minima attesa, nonché delle modalità richieste al fine di descriverne l’adozione e dimostrarne l’attuazione.
Concludendo, fin dalle prime fasi di ideazione e progettazione è necessario tenere conto di una priorità sempre più urgente: la sicurezza. Per proteggersi serve infatti l’approccio security by design in cui tutto è “disegnato” per minimizzare il rischio. Gli attaccanti sono sempre più abili a penetrare e diffondersi nelle reti, per cui minimizzare i contatti tra i sistemi, usando il distanziamento digitale, è un metodo per ridurre la portata delle compromissioni quando tali episodi inevitabilmente accadono.
a cura di Rosita Galiandro, Responsabile Osservatorio CyberSecurity di Exprivia