La sicurezza informatica non è una sfida, né certamente è la sfida del XXI secolo ma costituisce un tragitto. Quello che per la società 4.0 costituisce, invece, una minaccia concreta e problematica sono gli attacchi cibernetici.
L’esigenza di creare nuovi modelli di business per aumentare la produttività delle industrie ha portato a una generale tendenza verso l’automazione, l’informatizzazione, la virtualizzazione, il cloud e verso tutte le funzionalità presenti su mobile. L’insieme di queste caratteristiche definisce l’industria 4.0 a cui le varie componenti sociali sono chiamate a rapportarsi e su cui agisce il rischio dei cyber attacchi.
Questa premessa è doverosa per introdurre la quindicesima edizione del rapporto Clusit 2020 sulla sicurezza ICT presentata lo scorso 17 Marzo.
Contrariamente agli altri anni, l’evento di presentazione è avvenuto in un contesto virtuale considerando il momento drammatico che il nostro Paese, così come molte zone del mondo, sta vivendo. Stiamo assistendo a una crisi senza precedenti che nessuno si sarebbe mai aspettato e mai avremmo pensato, anche solo un mese fa, che saremmo caduti in una crisi che non ha precedenti dalla fine della seconda guerra mondiale.
Come detto, Si tratta di una situazione senza precedenti o, perlomeno, si tratta di un qualcosa che non si è mai affrontata con le capacità di rilevazione e analisi, con le tecnologie, con le medicine, con il sistema sanitario, con i media, con i social dei giorni nostri. Mi auguro che sia una grande lezione che possa servire a tutto il mondo e che possa aiutare, tornando alle cose di casa nostra, anche il settore della sicurezza informatica. Dal rapporto che abbiamo presentato, infatti, emerge una situazione di inaudita gravità che potremmo sintetizzare in questa frase: “con 1.670 attacchi gravi e una tendenza in crescita del 7% rispetto al 2018, il 2019 segna un nuovo picco verso l’alto nella rappresentazione della insicurezza cyber”.
Possiamo affermare che il 2019 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, sia dal punto di vista quantitativo che da quello qualitativo, evidenziando un trend persistente di crescita degli attacchi, della loro gravità e dei danni conseguenti.
Nell’anno appena passato si è consolidata una discontinuità, si è oltrepassato un punto di non ritorno, tale per cui ormai ci troviamo a vivere ed operare in una dimensione differente, in una nuova epoca, in un “altro mondo”, del quale ancora non conosciamo bene la geografia, gli abitanti, le regole e le minacce.
Gli attaccanti non sono più “hackers”, e nemmeno gruppetti effimeri, più o meno pericolosi, di “artigiani” del cybercrime: sono decine e decine di gruppi criminali organizzati, transnazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi “state-sponsored”, civili e/o paramilitari ed unità di mercenari impegnati in una lotta senza esclusione di colpi, che hanno come campo di battaglia, arma e bersaglio, le infrastrutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging, su scala globale, 365 giorni all’anno, 24 ore al giorno. Una situazione di inaudita gravità che mette in discussione ed a repentaglio tutti i presupposti sui quali si basa il buon funzionamento dell’Internet commerciale e di tutti i servizi, online e offline, che su di essa fanno affidamento.
In questo senso il messaggio che si vuole trasmettere forte e chiaro è che la situazione è cambiata drasticamente, siamo in un territorio sconosciuto e questo “new normal” in termini di rischi “cyber”, è diverso e va gestito diversamente rispetto anche solo a 2-3 anni fa.
Anche quest’anno, gli esperti del Clusit per definire un cyber attacco come “grave” hanno impiegato
gli stessi criteri di classificazione già applicati ai dati del periodo 2014-2018, più restrittivi rispetto ai criteri che venivano applicati negli anni 2011-2013, dal momento che nell’arco di questi 108 mesi si è verificata una sensibile evoluzione degli scenari e che alcune categorie di attacchi, che potevano essere ancora considerati “gravi” nel 2011-2013, sono oggi diventati ordinaria amministrazione. Per esempio, i “defacement” di siti web.
A parità di criteri, quest’anno si sono classificati come gravi un numero di attacchi superiore rispetto a tutti gli anni analizzati a partire dal 2014.
Questi trend avvalorano la convinzione che sia avvenuto un vero e proprio cambiamento epocale nei livelli globali di cyber-insicurezza, causato dall’evoluzione rapidissima degli attori, delle modalità, della pervasività e dell’efficacia degli attacchi. Dobbiamo sforzarci di tenere presente che il Cybercrime, il Cyber Espionage e l’Information Warfare del 2019 non sono certamente più quelli del 2014, e nemmeno quelli del 2017, anche se continuiamo ad utilizzare le stesse denominazioni.
Queste dinamiche nell’ultimo triennio hanno causato conseguenze molto concrete, da un lato spingendo sempre più soggetti, statuali e non, ed entrare nell’arena, accelerando la “corsa agli armamenti” in atto ed esacerbando il livello dello scontro, e dall’altro impattando in modo ormai inequivocabile sulla società civile, singoli cittadini, istituzioni ed imprese, che sta cambiando in conseguenza di questa enorme pressione. Siamo cioè di fronte a fenomeni che per natura e dimensione travalicano ormai costantemente i confini dell’IT e della stessa cyber security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica.
Per fare un esempio eclatante della mutazione sostanziale delle minacce cyber avvenuta negli ultimi 3 anni, il Cybercrime, pur rappresentando senz’altro un problema enorme e facendo la parte del leone dal punto di vista quantitativo, ormai dal punto di vista qualitativo, ovvero della Severity, è paradossalmente diventato un rischio secondario, nel senso che ormai ci troviamo a fronteggiare quotidianamente minacce ben peggiori, nei confronti delle quali le contromisure disponibili sono particolarmente inefficaci.
Distribuzione degli attaccanti per tipologia
Complessivamente, rispetto al 2018, il numero di attacchi gravi che abbiamo raccolto da fonti pubbliche per il 2019 cresce del +7,6%. In termini assoluti, nel 2019 la categoria “Cybercrime” fa registrare il numero di attacchi più elevato degli ultimi 9 anni, con una crescita del +162% rispetto al 2014 (1383 contro 526).
Va sottolineato che, rispetto al passato, oggi risulta più difficile distinguere nettamente tra “Cyber Espionage/Sabotage” e “Cyber Warfare”: sommando gli attacchi di entrambe le categorie, nel 2019 si assiste ad una diminuzione del 7,7% rispetto all’anno precedente (239 contro 259).
Già nel 2014 il Cybercrime si era confermato la prima causa di attacchi gravi a livello globale (60%), salendo al 68% dei casi analizzati nel 2015. Nel 2016 tale percentuale era il 72%, salita al 76% nel 2017 ed infine al 79% nel 2018, mostrando una tendenza inequivocabile. Nel 2019 tale percentuale cresce ulteriormente all’83%.
L’Hacktivism diminuisce ulteriormente, passando da quasi un terzo (27%) dei casi analizzati nel 2014 al 3% del 2019. Per quanto riguarda le attività di Espionage (anche a causa della scarsità di informazioni pubbliche in merito) la loro percentuale rispetto al totale degli attacchi rilevati nel 2018 passa dal 13% al 12%, mentre l’Information Warfare passa dal 4% al 2%. Nel 2019 queste due categorie sommate valgono il 14% degli attacchi noti totali ma hanno una Severity più alta della media.
Distribuzione delle tecniche di attacco
Per la terza volta dal 2011, nel 2019 le tecniche sconosciute (categoria “Unknown”) sono al secondo posto, diminuendo del 22,3% rispetto al 2018, superate dalla categoria “Malware”, stabile al primo posto, che cresce ulteriormente del +24,8% e rappresenta ormai il 44% del totale.
Al terzo posto la categoria “Phishing/Social Engineering”, che cresce del +81,9% rispetto al 2018 e rappresenta il 17% del totale. Una quota crescente di questi attacchi basati su Phishing si riferisce a “BEC scams”12, che infliggono danni economici sempre maggiori alle loro vittime.
Tutte le altre tipologie di tecniche di attacco sommate rappresentano nel 2019 solo il 12,3% del totale. Notevole l’incremento percentuale delle categorie “0day” (+50%) e “Account Cracking” (+53,6%), mentre appaiono in diminuzione gli attacchi realizzati sfruttando vulnerabilità note (-28,8%), DDos (-39,5%) e tecniche multiple/APT (-33,7%). Queste ultime sono in parte confluite nella categoria “Malware”, sempre più utilizzato anche da attori statuali e state-sponsored.
In sostanza si conferma anche nel 2019 una tendenza inequivocabile e molto pericolosa: gli attaccanti possono fare affidamento sull’efficacia del Malware “semplice”, prodotto industrialmente a costi decrescenti in infinite varianti, e su tecniche di Phishing / Social Engineering relativamente semplici, per conseguire la gran maggioranza dei loro obiettivi. Questo dato è evidenziato anche dall’inedita polarizzazione delle tecniche d’attacco, tale per cui ormai le prime 4 categorie (su un totale di 10) rappresentano l’87,6% del campione.
Appare chiaro, pertanto, che viviamo ed operiamo in una situazione di inaudita gravità in termini di rischi cyber, che mette a repentaglio tutti gli asset di un Paese.
Occorre sempre più una strategia chiara accompagnata da investimenti in cultura, formazione e risorse economiche altrimenti, difficilmente, si riuscirà ad uscire da questo quadro.
