Rapporto Clusit: i dati sulla sicurezza informatica in Italia

Nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente. Negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017. Gli attacchi rilevati e andati a buon fine hanno avuto nel 56% dei casi un impatto “alto” e “critico”; il 44% è stato di gravità “media”. Vediamo gli altri dati significativi del Rapporto Clusit 2021.


A novembre dello scorso anno riportavamo i dati del Rapporto Clusit presentato al Security Summit, in un’edizione che dava particolare rilevanza all’impatto del COVID-19 sulla sicurezza delle informazioni.

Nell’anno della pandemia, gli esperti dell’Associazione Italiana per la Sicurezza Informatica hanno registrato il record negativo degli attacchi informatici: a livello globale sono stati infatti 1.871 gli attacchi gravi di dominio pubblico, cioè quelli che hanno avuto un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica (+20% rispetto al biennio 2018-2020).

Attacchi gravi di dominio pubblico

Si stima che i danni globali causati da questa vera e propria escalation cyber valgono due volte il PIL italiano, cioè oltre 3.400 miliardi di euro. Per l’Italia, in questo scenario e ipotizzando un trend costante, nel 2024 le perdite potrebbero essere nell’ordine di grandezza dei 20-25 miliardi di euro all’anno.

Tra i dati dello scorso anno ricordiamo che circa il 15% degli attacchi gravi noti erano a tema COVID; di questi Circa il 61%, sono stati condotti tramite campagne di phishing,    ( ingannevoli richieste di dati via email ) – ne avevamo già parlato qui - e social engineering, talvolta anche in associazione a malware (21%) .

 

Panoramica della sicurezza in Italia

La decima edizione, di Marzo 2021, del Rapporto CLUSIT (che potete scaricare interamente da qui) inizia con una panoramica dei dati più significativi. In termini percentuali, nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente. Negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017. Gli attacchi rilevati e andati a buon fine hanno avuto nel 56% dei casi un impatto “alto” e “critico”; il 44% è stato di gravità “media”.

La categoria di attacco più utilizzata è quella dei Malwa­re (42%), tra i quali spiccano i cosiddetti Ransomware utilizzati in quasi un terzo degli attacchi (29%), la cui diffusione è in significativa), mentre Phishing & Social Engineering continuano ad essere la causa di una buona parte degli attacchi (15% del totale).

In sostanza si conferma anche nel 2020 una tendenza inequivocabile e molto pericolosa: gli attaccanti possono fare affidamento sull’efficacia del Malware “semplice”, prodotto in­dustrialmente a costi decrescenti in infinite varianti, su Vulnerabilità note e su tecniche di Phishing / Social Engineering relativamente semplici, per conseguire la gran maggioranza dei loro obiettivi.

 

 

La distribuzione delle vittime ha visto il settore della sanità e delle strutture governative fra i più colpiti tuttavia purtroppo resta estesa la sovra categoria “multiple target” che indica la tipologia di attacchi lanciati in rete con l’obbiettivo di colpire rapidamente il maggior numero di persone ed organizzazioni, in parallelo.

 

Gli attacchi informatici alla supply chain

Un dato molto rilevante è dato dall’incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, il che consente poi a criminali e spie di colpire i contatti (clienti, fornitori, partner) dell’obiet­tivo, che tipicamente hanno infrastrutture difensive meno sofisticate e che, quindi, consentono loro ampliando notevolmente il numero delle vittime e passando più facilmente inosservati.

Una novità è che i criminali informatici hanno spostato la loro attenzione verso un punto più debole della catena ovvero verso l’endpoint, il pc del dipendente. Si è infatti notata una crescita del numero di attacchi indirizzati ai PC personali (85.000), che sono raddoppiati rispetto allo stesso periodo del 2019, dove si registravano 45.000 infezioni. Questo fenomeno è spiegabile considerando che, durante il periodo di emergenza, molte aziende non sono riuscite a dotare i propri dipendenti di laptop aziendali con conseguente utilizzo di dispositivi personali, solitamente maggiormente vulnerabili a malware e virus.

Incrociando poi i dati con quelli provenienti dalll’indagine dell’ Osservatorio Cybersecurity & Data Protection, School of Management Politecnico di Milano, emerge che quasi un’azienda su quattro (24%) ha dichiarato di aver subito negli ultimi 12 mesi un incidente di sicurezza legato a una violazione delle proprie terze parti. Per mitigare i rischi è necessario adottare soluzioni tecnologiche specifiche per la gestione della sicurezza informatica nell’ambito Supply Chain, che sono però ancora poco diffuse e conosciute: solo il 20% delle organizzazioni, infatti, afferma di aver adottato questa tipologia di strumenti.

la responsabilità in materia di Supply Chain security all’interno delle grandi aziende italiane è gestita in maniera piuttosto eterogenea: molto spesso viene demandata alla funzione IT (54%) o alla funzione Security (31%), se diversa dall’IT, mentre sono poche le organizzazioni in cui la responsabilità è affidata a funzioni differenti (es.Operations, Procurement, Risk Management, Legal e Compliance).

Evidenziamo anche che solo nel 41% la responsabilità della sicurezza informatica è affidata a un CISO e ancora nel 38% dei casi non è prevista nessuna comunicazione al Board sull’argomento. La gestione della data protection è più evoluta, anche per effetto della spinta normativa, con il 69% delle imprese che ha inserito un Data Protection Officer (DPO) in organico e il resto che si avvale di figure esterne.

 

Ransomware in Italia

Nel 2020, in Italia, i Ransomware rimangono la categoria di malware che più colpisce le nostre aziende.

Se prima i ransomware si limitavano a cifrare i dati, tentare di cancellare i file di ripristino e chiedere un riscatto per la chiave di de-cifratura; già da qualche tempo iniziano a vedersi attacchi che utilizzano una tecnica di “doppia” estorsione o double extortion. Tutto questo per indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche (e soprattutto) per evitare di vedere i propri dati aziendali, contabilità, dati della clientela, progetti, segreti industriali e quant’altro diventare di pubblico dominio. Questa situazione oltre al danno d’immagine, nel caso di diffusione di dati personali e sensibili, può essere sanzionata pesantemente dal Garante Privacy in attuazione al GDPR che, è bene ricordarlo, possono arrivare fino al 4% del fatturato aziendale WW (World Wide) fino ad un massimo di 20 milioni di €.

La cosa più preoccupante è che circa un CISO/CIO su due in Italia si aspetta un aumento degli attacchi ransomware nel prossimo anno e mezzo. Ciò è particolarmente interessante in quanto anche quasi la metà dei CISO/CIO (46%) teme che un attacco ransomware possa portare alla chiusura della loro attività durante questo periodo se non dovessero aumentare gli investimenti nella sicurezza.

I principali vettori di infezione dei ransomware nel 2020 sono stati i seguenti:

  1. Campagna Malspam per attacchi massivi:
  2. aprire un allegato dove da questo si scatenava nell’immediatezza la cifratura dei file;
  3. cliccare su un link che portava all’esecuzione di un file dal quale si attivava il processo di cifratura malevolo.
  4. Navigazione su siti compromessi
  5. Attacchi mirati: a. accesso via RDP (Remote Desktop Protocol).
  6. Vulnerabilità della rete aziendale.

Anche nel 2020, come nei primi mesi del 2021 i Ransomware non hanno mollato la presa “mixando”, come detto, campagne di malspam indifferenziate sull’utenza ed attacchi specifici mirati sfruttando gli accessi RDP maldestramente lasciati esposti o vulnerabilità della rete aziendale.

Un recente attacco via RDP (Remote Desktop Protocol) di sola cifratura file ai danni di un’azienda italiana, ha visto richiedere una cifra in criptovaluta che corrispondeva a circa 165mila euro se pagato entro le prime 48 ore; riscatto che poi raddoppia passando a quasi 330mila euroIl

 

Costo della sicurezza

Prendendo in considerazione un panel di oltre 6.700 professionisti del settore, tra cui CISO, CSO e CIO, in Italia, Regno Unito, Stati Uniti, Australia/Nuova Zelanda, Germania, Francia, Spagna, Danimarca e Svezia e che rappresentano un ampio spaccato di aziende che vanno dalle PMI fino a imprese quotate in borsa con 10.000 e oltre dipendenti in un’ampia varietà di settori, tra cui quello finanziario, governativo, sanitario e della tecnologia.

  • Il 28% ha dovuto affrontare spese non pianificate per correggere le lacune di sicurezza;
  • l’11% ha dovuto pagare multe per la conformità;
  • l’8% ritiene di aver perso il proprio vantaggio competitivo.

Gli incidenti che includevano la compromissione della catena di fornitura hanno avuto il maggiore impatto sulle organizzazioni, comprese multe per conformità (53% delle organizzazioni), diminuzione delle nuove vendite (47%), cambiamento nella leadership senior (24%) e cause legali (29%).Più di un terzo (35%) delle organizzazioni che hanno subito il furto di dati da parte di hacker ha affermato che l’incidente ha causato loro la perdita del vantaggio competitivo e / o un aumento dell’abbandono dei clienti.

 

Le sfide

Le preoccupazioni per i CISO

  • 73% - Carenza di personale IT/di sicurezza
  • 48% - Pressione del top management per una rapida digitalizzazione, trasformazione o crescita
  • 41% - Negligenza dei dipendenti

Le preoccupazioni per i CIO

  • 68% - Carenza di budget
  • 48% - Carenza di personale informatico
  • 48% - Carenza di competenze


Principali preoccupazioni sulla sicurezza dei dati in base alle dimensioni dell’organizzazione

 

Piccola

Media

Grande

Il team IT/sicurezza è a corto di personale

45%

62%

47%

Mancanza di esperienza nella sicurezza informatica

40%

41%

51%

Mancanza di budget

44%

48%

48%

Negligenza dei dipendenti

40%

33%

41%

Azioni dannose da parte dei dipendenti

18%

16%

16%

Strumenti e processi incoerenti a causa di più carichi di lavoro su diverse piattaforme cloud

27%

24%

22%

Incapacità di fissare i punti finali

14%

15%

18%

Mancanza di visibilità sui dati sensibili

27%

31%

26%

Pressione aziendale per una rapida digitalizzazione, trasformazione o crescita

26%

22%

31%

 

Conclusioni

L’impatto economico della pandemia ha costretto le imprese italiane a fronteggiare le aumentate sfide di sicurezza con budget ridotti: il 19% ha diminuito gli investimenti in cyber security (contro il 2% del 2019) e solo il 40% li ha aumentati (era il 51% l’anno precedente).

Tuttavia per oltre un’impresa su due (54%) l’emergenza è stata un’occasione positiva per investire in tecnologie e aumentare la sensibilità dei dipendenti riguardo alla sicurezza e alla protezione dei dati.

Il quadro che si evince vede il 2020 come l’anno peggio­re di sempre in termini di evoluzione e crescita delle minacce “cyber” e dei relativi impatti, evidenziando un trend persistente di aumento degli attacchi, della loro gravità e dei danni conseguenti.

Le motivazioni sono differenti e complesse, derivando da innumerevo­li fattori, ma la risposta non può che essere quella di aumentare sensibilmente gli investimenti in ICT Security (la media attuale basata sul NIS Investments Report è del 3% del budget totale dedicato all’IT) di introdurre rapidamente tutte le agevolazioni e gli incentivi necessari perchè questo possa accadere, trattandosi di un importante rischio per la sicurezza del Paese.

È chiaro che per difendersi da questi attacchi è necessario non solo dotarsi di sistemi di mitigazione che si attivino efficacemente nella fase iniziale dell’attacco e permettano di limitare i danni, ma soprattutto evitare l’esfiltrazione dei dati cioè ridurre le esposizioni di PC e Server agli accessi esterni.

 


New call-to-action