A novembre dello scorso anno, gli esperti dell’Associazione Italiana per la Sicurezza Informatica hanno registrato il record negativo degli attacchi informatici: a livello globale sono stati infatti 1.871 gli attacchi gravi di dominio pubblico, cioè quelli che hanno avuto un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica (+20% rispetto al biennio 2018-2020). Solo nel primo semestre del 2021 ne contiamo 1.053.
Attacchi gravi di dominio pubblico
Un’emergenza globale concreta che incide per una percentuale significativa del GDP mondiale, con un tasso di peggioramento annuale a 2 cifre e un valore pari a 3 volte il PIL italiano.
Per l’Italia, in questo scenario e ipotizzando un trend costante, nel 2024 le perdite potrebbero essere nell’ordine di grandezza dei 20-25 miliardi di euro all’anno.
Tra i dati dello scorso anno ricordiamo che circa il 15% degli attacchi gravi noti erano a tema COVID; di questi Circa il 61%, sono stati condotti tramite campagne di phishing, ( ingannevoli richieste di dati via email ) – ne avevamo già parlato qui - e social engineering, talvolta anche in associazione a malware (21%) .
La nuova edizione di ottobre 2021, del Rapporto CLUSIT (che potete scaricare interamente da qui) inizia con una panoramica dei dati più significativi.
Rispetto al secondo semestre 2020, in termini assoluti nel 1° semestre 2021 la crescita maggiore nel numero di attacchi gravi si osserva verso le categorie:
170 attacchi gravi al mese
Per quanto riguarda la distribuzione degli attacchi in base alla gravità, vediamo che nel primo semestre 2021 gli attacchi gravi con impatto Critical e High (effetti molto importanti) sono il 74% del totale, mentre nel 2020 erano il 49% del campione.
Numericamente la media mensile di attacchi gravi dal 2018 al 2021 è aumentata del 30% , da 124 a 170.
Le tipologie di attacco
La categoria di attacco più utilizzata è quella dei Malware (43%), tra i quali spiccano i cosiddetti Ransomware con richiesta di riscatto.
Infatti, è stata osservata una crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo dello scorso anno. E le conseguenze causate da questa tipologia di attacchi, sempre più aggressivi, diventano in qualche modo ancora più evidenti. Si vedano ad esempio gli attacchi a danno di strutture pubbliche che hanno bloccato l’operatività quotidiana.
Le tecniche sconosciute (categoria “Unknown”) sono al secondo posto (22%), in aumento del 13,9% rispetto al secondo semestre 2020, superando la categoria “Vulnerabilità note”, che è per altro in preoccupante crescita (+41,4%) e “Phishing / Social Engineering”, in leggero calo (-13%). Aumentano dell’11,6% gli attacchi gravi condotti con “Tecniche Multiple”. Infine, gli attacchi gravi con finalità di “Denial of Service” diminuiscono (-42,9%), così come quelli realizzati tramite “Identity Theft / Account Hacking” (-29,5%).
Un dato molto rilevante è dato dall’incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, il che consente poi a criminali e spie di colpire i contatti (clienti, fornitori, partner) dell’obiettivo, che tipicamente hanno infrastrutture difensive meno sofisticate e che, quindi, consentono loro ampliando notevolmente il numero delle vittime e passando più facilmente inosservati.
Inoltre secondo l’ Osservatorio Cybersecurity & Data Protection, School of Management Politecnico di Milano, emerge che quasi un’azienda su quattro ha subito nell'arco dell'anno un incidente di sicurezza legato a una violazione delle proprie terze parti. Ma solo il 20% delle organizzazioni, afferma di aver adottato tecnologiche specifiche per la gestione della sicurezza informatica nell’ambito Supply Chain.
la responsabilità in materia di Supply Chain security all’interno delle grandi aziende italiane è gestita in maniera piuttosto eterogenea: molto spesso viene demandata alla funzione IT (54%) o alla funzione Security (31%), se diversa dall’IT, mentre sono poche le organizzazioni in cui la responsabilità è affidata a funzioni differenti (es.Operations, Procurement, Risk Management, Legal e Compliance).
Evidenziamo anche che solo nel 41% la responsabilità della sicurezza informatica è affidata a un CISO e ancora nel 38% dei casi non è prevista nessuna comunicazione al Board sull’argomento. La gestione della data protection è più evoluta, anche per effetto della spinta normativa, con il 69% delle imprese che ha inserito un Data Protection Officer (DPO) in organico e il resto che si avvale di figure esterne.
Nel 2021, in Italia, i Ransomware rimangono la categoria di malware che più colpisce le nostre aziende.
Se prima i ransomware si limitavano a cifrare i dati, tentare di cancellare i file di ripristino e chiedere un riscatto per la chiave di de-cifratura; già da qualche tempo iniziano a vedersi attacchi che utilizzano una tecnica di “doppia” estorsione o double extortion. Tutto questo per indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche (e soprattutto) per evitare di vedere i propri dati aziendali, contabilità, dati della clientela, progetti, segreti industriali e quant’altro diventare di pubblico dominio. Questa situazione oltre al danno d’immagine, nel caso di diffusione di dati personali e sensibili, può essere sanzionata pesantemente dal Garante Privacy in attuazione al GDPR che, è bene ricordarlo, possono arrivare fino al 4% del fatturato aziendale WW (World Wide) fino ad un massimo di 20 milioni di €.
Nel 2021 i Ransomware non hanno mollato la presa “mixando”, campagne di malspam indifferenziate sull’utenza ed attacchi specifici mirati, spesso sfruttando gli accessi RDP maldestramente lasciati esposti o vulnerabilità della rete aziendale.
Ma ci sono ovviamente anche altre modalità. Ricordiamo ad esempio :
Il recente attacco alla SIAE
Tramite Everest Ransomware(che ha portato al furto di un intero archivio contenente 28 mila documenti riservati), nato come variante del ransomware “Everbe Ransomware 2.0” e che generalmente prende di mira entità di alto profilo.
Gli operatori Everest adottano diverse strategie per la diffusione dei loro attacchi, fra le quali campagne di spear-phishing, acquisto di credenziali di accesso da operatori I.A.B (Initial Access Broker) nel deep/dark web nonché sfruttamento diretto di vulnerabilità di servizi esposti.
Gli operatori Everest prendono solitamente di mira tutti i dati sensibili presenti all’interno delle reti che impattano.
Solitamente esfiltrano informazioni dalle seguenti sorgenti interne:
Le preoccupazioni per i CISO
Le preoccupazioni per i CIO
|
|
|||
|
Piccola |
Media |
Grande |
|
|
Il team IT/sicurezza è a corto di personale |
45% |
62% |
47% |
|
Mancanza di esperienza nella sicurezza informatica |
40% |
41% |
51% |
|
Mancanza di budget |
44% |
48% |
48% |
|
Negligenza dei dipendenti |
40% |
33% |
41% |
|
Azioni dannose da parte dei dipendenti |
18% |
16% |
16% |
|
Strumenti e processi incoerenti a causa di più carichi di lavoro su diverse piattaforme cloud |
27% |
24% |
22% |
|
Incapacità di fissare i punti finali |
14% |
15% |
18% |
|
Mancanza di visibilità sui dati sensibili |
27% |
31% |
26% |
|
Pressione aziendale per una rapida digitalizzazione, trasformazione o crescita |
26% |
22% |
31% |
L’impatto economico della pandemia ha costretto le imprese italiane a fronteggiare le aumentate sfide di sicurezza con budget ridotti, tuttavia per oltre un’impresa su due (54%) l’emergenza è stata un’occasione positiva per investire in tecnologie e aumentare la sensibilità dei dipendenti riguardo alla sicurezza e alla protezione dei dati.
Secondo il NIS Investments Report 2021 in Italia viene allocato alla sicurezza informatica l'11,8% del budget totale dedicato all'IT. Sopra la media europea che si attesta sull'8,8%.
C'è ovviamente una grande differenza tra la spesa in sicurezza informatica di una PMI, con media europea di 100k€ e di un'azienda Enterprise che può superare i 10M€
Nonostante gli attacchi incrementino in numero, gravità e complessità, i dati evincono che i team IT italiani si stiano preparando al futuro e allo scenario di cyberminacce emergente sviluppando le proprie competenze e strumenti in materia di cybersicurezza.