Secondo il Rapporto Clusit2024 l’Italia appare sempre più nel mirino del cybercrime e dove la crescita di attacchi gravi è stata del 65% rispetto al 2022. Con 2.779 incidenti gravi analizzati a livello globale da Clusit, il 2023 restituisce una fotografia nettamente peggiorativa rispetto ai dodici mesi precedenti. Il rapporto continua a descrivere una curva degli attacchi in inesorabile crescita, +12% sul 2022. Mensilmente, è rilevata una media di 232 attacchi, con un picco massimo di 270 nel mese di aprile, valore massimo misurato negli anni. Nell’81% dei casi la gravità degli attacchi è elevata o critica, secondo la scala di “severity” utilizzata dai ricercatori di Clusit che si basa sulla tipologia di attacco e sugli impatti.
Cybercrime – la situazione italiana
In questo contesto, il nostro Paese appare sempre più nel mirino del cybercrime. Lo scorso anno in Italia andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022. Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi 5 anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
La punta dell’iceberg
Come sempre, nell’illustrare i dati i ricercatori di Clusit hanno evidenziato che si tratta di una fotografia che rappresenta le linee tendenziali del fenomeno. Tuttavia rappresenta soltanto la punta dell’iceberg, posto che molte vittime tendono ancora a mantenere riservate le informazioni sugli attacchi cyber subìti e che relativamente ad alcune zone del mondo la possibilità di accesso alle informazioni è molto limitata. Considerando l’andamento del cybercrimine nell’ultimo quinquennio, gli autori del rapporto hanno evidenziato evoluzione e picchi in termini quantitativi e qualitativi. Dal 2018 al 2023 gli attacchi sono cresciuti complessivamente del 79%, con una media mensile passata da 130 a 232.
Il cybercrime cresce in Italia
Questi dati definiscono un quadro preoccupante della capacità di protezione sia delle organizzazioni pubbliche sia delle imprese. È evidente che ad oggi le strategie e le tecniche di difesa utilizzate non sono all’altezza delle possibilità degli attaccanti. Questi fanno sempre più ricorso all’utilizzo di tecnologia di ultima generazione grazie alle risorse economiche a disposizione e alla possibilità di agire liberamente senza limiti.
L’Ai va monitorata
I trend osservati, in particolare in merito alle tecniche di attacco, indicano che è certamente da tenere monitorato l’utilizzo dell’Intelligenza Artificiale da parte dei cyber criminali per selezionare i target e scansionarli. Obiettivo: trovare falle per analizzare codici e trovare nuove vulnerabilità e per produrre contenuti per phishing o codice per malware. Si tratta di una tendenza in rapida ascesa, di cui tuttavia i ricercatori di Clusit ritengono sarà possibile osservare gli effetti solo in un prossimo futuro.
Rallentare il trend: quali le soluzioni
Gabriele Faggioli, presidente di Clusit Le strategie adottate ad oggi, anche a livello normativo a livello sia italiano che europeo, sono state sicuramente utili e importanti per cercare di limitare la crescita del fenomeno. Ma per poter far rallentare il trend e cercare di stabilizzarlo, e possibilmente ridurlo, devono essere concepite e adottate strategie nuove. Soluzioni che si fondano sul knowledge sharing, sulla messa a fattor comune degli investimenti.
E anche sulla assunzione di responsabilità verso la comunità per chi deliberatamente decide di non proteggere la propria struttura con ciò arrecando danno all’intero ecosistema Paese. Non è sostenibile che chiunque possa investire in tecnologia liberamente senza le coperture finanziare necessarie per evitare, da un lato, l’obsolescenza e dall’altro per garantire la protezione nel tempo delle risorse digitali.
Vogliamo mantenere alta l’attenzione anche sulla frammentazione di infrastrutture e servizi che caratterizza la cybersecurity nel nostro Paese. Questo rischia di produrre una moltiplicazione di sforzi, ciascuno in sé poco efficace. Come ampiamente dimostrato dai settori di mercato maggiormente colpiti e anche considerando la spesa complessiva italiana in cybersecurity. Riteniamo quindi particolarmente significative iniziative come quella del Polo Strategico Nazionale e della strategia Cyber Nazionale. Questo, in particolare, in un momento in cui si assiste un forte cambiamento della componente della schiera degli attaccanti, con un preponderante ritorno in primo piano dell’Hacktivism in relazione ad uno scenario geopolitico incerto.
Ricordiamo che il 2024 è un anno in cui si apriranno le urne per 2 miliardi di persone in 70 Paesi del mondo. E ciò accade in un momento in cui con l’introduzione della AI nella vita quotidiana pone di nuovo al centro, con alterne fortune ed efficacia, i temi dell’Etica e della sovranità digitale. Temi non possono esistere, tuttavia, senza garanzie sulla sicurezza delle informazioni, senza una adeguata cultura digitale (molto scarsa in Italia come fotografato impietosamente dall’Indice DESI) e senza una adeguata politica industriale che metta al centro gli investimenti in aziende tecnologiche”.
Cybercrime – Gli obiettivi degli attacchi nel mondo e in Italia
L’analisi dei cyber attacchi noti nel 2023 da parte dei ricercatori di Clusit evidenzia la netta prevalenza di attacchi con finalità di cybercrime – obiettivo estorcere denaro. Sono stati oltre 2.316 a livello globale, oltre l’83% del totale, +13% rispetto al 2022. Questo andamento sostanzia le indicazioni degli analisti che vedono una commistione tra criminalità “off-line” e criminalità “on-line”.
Un’unione che punta a reinvestire i proventi delle attività malevole, producendo così maggiori risorse a disposizione di chi attacca, in una sorta di circolo vizioso. Nel mondo sono quasi triplicati a livello globale gli attacchi con matrice di hacktivism, nel 2023 pari all’8,6% degli attacchi complessivi (erano il 3% nel 2022). Con una variazione percentuale rispetto al totale anno su anno del 184%. In significativa diminuzione, invece, i fenomeni di espionage (6,4%, 11% nel 2022) e information warfare (1,7%, 4% nel 2022).
Il cybercrime cresce in Italia più che nel resto del mondo
Tuttavia, rilevano gli autori del Rapporto Clusit, per quanto riguarda espionage e information warfare gli attacchi con impatto critico sono aumentati considerevolmente. Sono passati da valori prossimi al 50% nel 2022 a valori intorno al 70% lo scorso anno. Questo andamento si può con alta probabilità spiegare con riferimento ai conflitti russo-ucraino ed israelo-palestinese che, almeno sul piano della cyber security, vedono coinvolti molti Paesi. Per le azioni di hacktivism è stata invece rilevata a livello mondiale una significativa riduzione percentuale degli attacchi critici (poco più del 10% sul totale nel 2023, rispetto al 50% del 2022).
L’effetto dei conflitti in corso
Un andamento costante di quelli ad alto impatto ed un aumento di quelli ad impatto medio. Il fenomeno si spiega con il consistente aumento degli attacchi afferenti a questa categoria a seguito dell’aggravarsi dello scenario geopolitico. Oltre che alla natura dimostrativa dei possibili effetti, la cui gravità, in confronto agli obiettivi perseguiti dai criminali informatici verso il pubblico o privato, è spesso intrinsecamente più limitata. In Italia, nel 2023 gli attacchi perpetrati con finalità di cybercrime sono stati pari al 64%. Segue un significativo 36% di attacchi con finalità di hacktivism, in netta crescita rispetto al 2022 (che aveva fatto registrare il 6,9%), con una variazione percentuale anno su anno del +761%.
I gruppi di attivisti
Il 47% circa del totale degli attacchi con finalità hacktivism a livello mondiale e che rientrano nel campione rilevato è avvenuto ai danni di organizzazioni italiane. La crescita di attacchi con matrice di hacktivism nel nostro Paese dimostra la forte attenzione di gruppi di propaganda con l’obiettivo di colpire la reputazione delle organizzazioni. Questa tipologia di eventi – almeno quelli avvenuti nei primi 9 mesi dell’anno – si riferisce per la maggior parte al conflitto in Ucraina. I gruppi di attivisti agiscono mediante campagne dimostrative rivolte tanto al nostro Paese quanto alle altre Nazioni del blocco filo-ucraino.
Chi viene attaccato, nel mondo e in Italia
A livello mondiale le principali vittime si confermano appartenere alla categoria degli obiettivi multipli (19%), che subiscono campagne di attacco non mirate ma dagli effetti consistenti. Segue il settore della sanità (14%) che, come fanno notare i ricercatori Clusit, ha visto un +30% rispetto allo scorso anno. Gli incidenti in questo settore hanno inoltre visto un aumento della gravità dell’impatto, critico nel 40% dei casi (era il 20% nel 2022). Una parte consistente degli attacchi è stata rivolta anche al settore governativo e delle pubbliche amministrazioni (12%).
Cybercrime – La situazione del settore pubblico
Pur con un andamento lineare, il settore pubblico è stato interessato da un + 50% degli incidenti negli ultimi 5 anni. Questo è spiegabile con l’incremento delle attività dimostrative, di disturbo e di fiancheggiamento legate ai conflitti in corso, le quali hanno come obiettivi di elezione soggetti legati alle sfere governative e della difesa di quei Paesi considerati avversari.
La diffusione dell’IoT
Segue il settore finanza e assicurazioni (11%). Gli attacchi in questo settore sono cresciuti percentualmente del 62% rispetto all’anno precedente e hanno avuto un impatto critico nel 50% dei casi (era il 40% nel 2022). In percentuale, sono cresciuti in maniera rilevante anche gli attacchi ai settori dei trasporti e della logistica (+41%), del manifatturiero (+25%) e del retail (26%). Probabilmente – come già evidenziato dagli esperti di Clusit lo scorso anno – a causa della crescente diffusione dell’IoT. Oltre alla tendenza verso l’interconnessione di sistemi, ampiamente impiegati in questi settori e tuttavia spesso non sufficientemente protetti. In crescita anche la percentuale degli attacchi registrata nel settore scolastico (+20%) e del tempo libero (+10%). Calano invece sensibilmente (-49%) gli attacchi verso il settore dei media e multimedia.
Cosa succede in Italia al cybercrime? Cresce
Il settore più attaccato in Italia nel 2023 è stato invece quello governativo/militare, con il 19% degli attacchi, che ha subito un incremento del 50% rispetto al 2022. Segue il manifatturiero, con il 13%, cresciuto del 17% rispetto ai 12 mesi precedenti. Come evidenziato dal Rapporto Clusit, è interessante notare che un quarto del totale degli attacchi rivolti al manufacturing a livello globale riguarda realtà manifatturiere italiane. Colpito dal 12% degli attacchi, il settore dei trasporti/logistica in Italia, ha visto invece un incremento percentuale anno su anno sul totale degli attacchi del 620%.
Le tecniche d’attacco nel mondo
Il malware rappresenta nel 2023 ancora la tecnica principale con cui viene sferrato il 36% degli attacchi globali, percentualmente in crescita sul totale del 10% rispetto al 2022. In questa categoria, il ransomware è in assoluto quella principale e maggiormente utilizzata grazie anche all’elevata resa economica per gli aggressori, che spesso collaborano fra loro con uno schema di affiliazione. Segue lo sfruttamento di vulnerabilità – note o meno – nel 18% dei casi, in crescita percentuale del 76% sul totale rispetto al 2022. Phishing e social engineering sono la tecnica con cui è stato sferrato nel mondo l’8% degli attacchi, come gli attacchi DDoS, che segnano però una variazione percentuale annua del +98%.
In Italia in pole position gli attacchi per mezzo di DDoS
In Italia per la prima volta da diversi anni, la categoria prevalente non è più il malware, ma gli attacchi per mezzo di DDoS. Rappresentano il 36% del totale degli incidenti registrati nel 2023, valore che supera di 28% il dato globale e che segna una variazione percentuale annua sul totale del 1486%. La forte crescita è probabilmente dovuta all’aumento di incidenti causati da campagne di hacktivism.
Molto spesso la tecnica di attacco utilizzata in questo caso è proprio il DDoS, poiché si punta a interrompere l’operatività di servizio dell’organizzazione o istituzione individuata come vittima. La percentuale di incidenti basati su tecniche sconosciute è 17%, sostanzialmente in linea con il resto del mondo. Leggermente superiore l’impatto nel nostro Paese degli attacchi di phishing e di ingegneria sociale, pari all’9%, ma in crescita dell’87% in valore assoluto, dimostrando l’efficacia duratura di questa tecnica.
