Nicola Vanin, Responsabile Corporate Security di Cassa Depositi e Prestiti, con oltre 20 anni di esperienza nella sicurezza delle informazioni e nei modelli di gestione del rischio informatico, fa chiarezza per Arena Digitale sui principali temi rappresentati dagli attacchi hacker dispensando alcuni utili e pratici consigli.
Secondo le analisi del Clusit, l’Italia è nel mirino: nel 2022 gli attacchi italiani hanno rappresentato il 7,6 per cento del totale, erano 3,4 per cento nel 2021. Il Paese risulta sovra rappresentato: infatti l’Italia rappresenta lo 0,75 per cento della popolazione globale e il 2,2 per cento del PIL globale. Quali sono le conseguenze di un salto così massiccio?
Un aumento così significativo degli attacchi informatici verso l’Italia, che hanno più che raddoppiato il loro peso relativo sul totale, ha implicazioni su più livelli:
- Individuale: L’incremento degli attacchi informatici aumenta il livello di rischio a cui sono esposte reti, sistemi e dati sensibili di singoli cittadini, aziende e istituzioni governative. Quando gli attacchi si concretizzano in violazioni, causano danni economici derivanti da furti di dati, interruzioni delle operazioni, danni alla reputazione e costi di riparazione. Se per gli utenti finali è possibile ridurre il rischio modificando i loro comportamenti, per le organizzazioni la mitigazione di queste perdite finanziarie passa per un incremento degli investimenti in sicurezza informatica, per l’adozione di misure di protezione più avanzate e per la formazione del personale. Pertanto, l’incremento del livello di rischio comporta maggiori oneri per le organizzazioni, siano essi diretti, nella forma proattiva degli investimenti per la sicurezza, oppure indiretti, nella forma dei corsi di riparazione;
- Politico-strategico: Gli effetti sistemici di questo aumento degli attacchi, che spesso si concentrano sulle infrastrutture critiche del sistema paese, non si esaurisce nei danni economici poiché, tenendo contro delle interazioni tra soggetti colpiti, impatta anche sul piano politico-strategico. Gli attacchi informatici possono rappresentare una minaccia per la sicurezza nazionale se mirano a infrastrutture come il sistema energetico, il trasporto o le comunicazioni. Da queste considerazioni emerge con chiarezza la sempre più forte esigenza di una risposta coordinata e mirata per proteggere il Paese;
- Macroeconomico: In un contesto di maggiore rischio sistemico è ragionevole attendersi un continuo incremento degli investimenti in sicurezza informatica, sia da parte delle organizzazioni che delle istituzioni pubbliche. La sicurezza consolida il suo ruolo di fattore abilitante per l’offerta di business delle aziende, essenziale per la fiducia del pubblico nell’utilizzo di servizi online e nell’adozione di tecnologie digitali. Va sottolineato che la valorizzazione della propria postura di sicurezza non è limitata al mondo del b2c, ma sta assumendo un ruolo sempre più rilevante nel contesto b2b sino a diventare, in alcuni settori, un fattore distintivo della propria offerta. Da fattore abilitante per la digitalizzazione e dello sviluppo tecnologico, la sicurezza andrà a giocare un ruolo sempre più rilevante anche nell’ambito della competizione di mercato.
Da queste considerazioni emerge con chiarezza l’esigenza di affrontare il crescente numero degli attacchi informatici con un approccio proattivo, investendo per rafforzare le proprie misure di sicurezza e promuovendo la consapevolezza sulle minacce digitali a livello individuale e collettivo.
Anche in Italia il cyber crime rappresenta la principale motivazione degli attacchi ed il malware la tecnica più utilizzata. Il target è soprattutto quello governativo-militare e non a caso il picco massimo registrato si è verificato a marzo dell’anno scorso, con 238 attacchi mensili, contestualmente all’inizio delle ostilità tra Russia e Ucraina. Quali sono state le categorie più a rischio e perché?
Il cybercrime rappresenta una motivazione comune per gli attacchi, non solo in Italia ma a livello globale. È anche vero che il malware è una delle tecniche più utilizzate dagli attaccanti, poiché consente loro di infiltrarsi e compromettere i sistemi informatici in modo discreto.
Nel 2022 abbiamo potuto notare, con poche sorprese per gli addetti ai lavori, che il contesto geopolitico può influenzare il rischio di attacchi informatici. Come ha menzionato, l’escalation delle ostilità tra Russia e Ucraina, anche sul piano cyber, ha contribuito all’aumento degli attacchi informatici verso enti governativi, infrastrutture critiche e militari, nell’ambito di operazioni di cyber warfare o per perseguire interessi politici, economici, industriali e militari di taluni.
Detto ciò, è importante sottolineare che le categorie più a rischio possono variare nel tempo e dipendono da diversi fattori, come la natura dell’organizzazione, le sue attività, i dati che tratta e il suo profilo di rischio.
Inoltre, da quanto abbiamo condiviso con la nostra rete di partecipate, spesso, gli attaccanti sono profondi conoscitori delle catene di fornitura dei loro obiettivi e avviano gli attacchi proprio lì dove l’anello della catena è più debole. Stiamo lavorando insieme anche su questi aspetti.
Pertanto, è fondamentale che ogni organizzazione, indipendentemente dalla categoria, adotti misure solide di sicurezza informatica per mitigare le minacce, proteggere i propri sistemi ed evitare conseguenze per i propri stakeholders, siano essi fornitori, clienti o dipendenti.
Negli scorsi anni il settore sanità ha rappresentato dal 10% al 12% circa degli attacchi, ma è salito al 17% nel primo quarto del 2023, confermandosi non solo il settore maggiormente colpito, ma anche in una situazione che continua a peggiorare. Quali sono i danni che comporterebbe un peggioramento ancora progressivo dei numeri? A quali pericoli si sta andando incontro e quali potrebbero essere le misure di contrasto?
Purtroppo, il settore della sanità è sempre più target privilegiato di threat actor che, nella maggior parte dei casi, hanno nel ritorno economico la principale motivazione. Sono dunque degli attacchi riconducibili alla matrice di tipo cybercrime e questo per due ordini di motivi: da un lato è noto che i dati sanitari sono estremamente appetibili nel dark web e possono essere venuti a prezzi elevati, dall’altro la necessità di garantire la continuità operativa delle strutture sanitarie induce gli attaccanti a sperare in maggiori possibilità di pagamenti di eventuali riscatti.
Il peggioramento di questi numeri naturalmente apre scenari inquietanti ai quali in parte stiamo già assistendo. La combinazione di attività critiche, dati sensibili e difficoltà nel garantire misure di sicurezza al passo con l’evoluzione delle minacce espone enormemente al rischio di attacchi cibernetici. In tal senso, in un mondo in cui la componente digitale è sempre più parte integrante della nostra quotidianità, dobbiamo renderci conto che un attacco informatico non solo può pregiudicare la sicurezza delle nostre informazioni ma, come nel caso di specie, mettere a repentaglio la nostra stessa vita.
Come detto, secondo le informazioni disponibili, nella maggior parte dei casi gli attacchi alle strutture sanitarie avvengono con finalità economiche, ma come esperti di sicurezza non possiamo non pensare ad altre tipologie di attori che potrebbero avere interesse a veicolare minacce cyber verso questo target, con impatti catastrofici. Penso alle finalità di cyberterrorismo o destabilizzazione.
Un percorso per implementare le misure di contrasto, anche in questo settore, è attualmente in corso, penso ad esempio alla strategia di cybersicurezza nazionale che ha definito ACN, si pensi a titolo esemplificativo agli obiettivi di cyber resilienza della PA e del constante sviluppo delle competenze nazionali in ambito cibernetico. Tali aspetti risultano le due grandi direttrici per aumentare i presidi di sicurezza anche nel settore sanitario: da un lato l’elemento tecnologico e dall’altro l’elemento umano, sia in termini di disponibilità personale specializzato che in termini di consapevolezza per gli utenti.
Quanto influisce, per l’Italia, il relativamente basso livello di competenze digitali sugli attacchi, soprattutto tra i privati?
Il basso livello di competenze digitali in Italia può avere un impatto significativo sugli attacchi informatici, specialmente tra i privati.
Le competenze digitali si riferiscono alla conoscenza e alla capacità di utilizzare in modo efficace gli strumenti e le tecnologie digitali. Quando le competenze digitali sono scarse, le persone sono più vulnerabili agli attacchi informatici, come il phishing, il malware e le frodi online.
In primo luogo, una mancanza di competenze digitali può rendere le persone meno consapevoli dei rischi online. Ad esempio, potrebbero non riconoscere un’email di phishing o un sito web malevolo e finire per condividere informazioni personali o finanziarie sensibili. Gli attaccanti possono sfruttare queste lacune nella conoscenza per ingannare le persone e ottenere accesso non autorizzato ai loro account o ai loro dati.
In secondo luogo, un basso livello di competenze digitali può portare a comportamenti insicuri online. Le persone potrebbero non essere in grado di adottare misure di sicurezza adeguate, come l’uso di password complesse, l’aggiornamento regolare del software o l’installazione di soluzioni antivirus. Ciò li espone a una maggiore probabilità di essere vittime di attacchi informatici.
Infine, la mancanza di competenze digitali può ostacolare la capacità di rispondere in modo efficace agli attacchi. Le persone potrebbero non sapere come rilevare un attacco in corso o come prendere le misure necessarie per mitigarne l’impatto. Ciò può comportare un peggioramento delle conseguenze degli attacchi e una maggiore esposizione a perdite finanziarie o danni reputazionali.
Per affrontare questa sfida, è importante promuovere la consapevolezza della sicurezza informatica e investire nella formazione delle competenze digitali della popolazione. Ciò può essere fatto attraverso programmi educativi, campagne di sensibilizzazione e corsi di formazione dedicati alla sicurezza informatica. Inoltre, è essenziale che le organizzazioni e le istituzioni adottino misure di sicurezza robuste per proteggere i propri sistemi e i dati dei loro utenti, al fine di ridurre l’impatto degli attacchi informatici.
Quali consigli operativi si sente di dare per cercare di evitare il più possibile il pericolo di attacchi o di problemi legati alla cyber sicurezza.
Gli attacchi legati alla cyber sicurezza rappresentano oggi un rilevante fattore di rischio per tutte le organizzazioni, che sono chiamate a loro volta ad adottare una serie di misure sia tecniche che organizzative al fine di proteggere, anche in maniere proattiva i dati e le infrastrutture ICT di competenza.
Nella scelta delle migliori soluzioni tecnologiche e di processo per la protezione dai rischi informatici, le organizzazioni devono tenere in considerazione oggi tra le altre la gestione di ambienti multicloud, l’affermazione di modalità di lavoro di tipo ibrido (es. smart working) come la presenza di partecipazione e collaborazione con soggetti terzi con i quali sono scambiati i dati o ai quali viene dato accesso ai servizi ICT.
Per questo da un punto di vista operativo, a livello globale è stato individuato un nuovo modello di riferimento per l’innalzamento della postura di sicurezza delle organizzazioni denominato come “Zero Trust” che viene richiamato dalle principali strategie di sicurezza e framework di livello internazionale.
In linea generale i principali consigli operativi per la riduzione dei rischi di impatto per sicurezza cibernetica prevedono da parte delle organizzazioni la considerazione delle seguenti attività:
- censire correttamente tutte le risorse e i sistemi nel perimetro dell’organizzazione che devono essere equipaggiati con sistemi di protezione antimalware e avanzati meccanismi di rilevamento e risposta alle minacce degli endpoint (EDR).
- mantenere aggiornate tutti i sistemi e le componenti software con particolare riferimento alle ultime patch di sicurezza al fine di contrastare le vulnerabilità note.
- assicurarsi che le reti dell’organizzazione e le interconnessioni con i sistemi esterni siano correttamente presidiati da sistemi di protezione quali Firewall perimetrali e Firewall applicativi, sistemi di rilevamento e prevenzione delle intrusioni.
- Gestire i sistemi Cloud Interconnessi ed i rischi derivati dalle terze parti che devono essere valutati e monitorati costantemente.
- Monitorare costantemente gli accessi alle risorse ICT e il traffico di rete per rilevare comportamenti sospetti o non conformi alle policy di sicurezza aziendale
- Ridurre al minimo il numero di utenti con accesso privilegiato ai dati sensibili e monitorare attentamente l’uso di questi privilegi. Adottare sistemi di autenticazione a più fattori (MFA) per ridurre il rischio di furto delle identità e accesso non desiderato.
- Eseguire con regolarità il backup dei dati e strutturare la loro conservazione offline o in un ambiente opportunamente segregato, attivando anche procedure di controllo per il restore periodico.
- Eseguire regolarmente un audit della sicurezza per identificare le vulnerabilità presenti nei sistemi e nelle reti e poter intervenire tempestivamente sui possibili punti di debolezza dell’organizzazione.
- Implementare sistemi di monitoraggio centralizzato per la sicurezza (SIEM) con meccanismi di alerting per l’individuazione di potenziali comportamenti anomali o attività sospette all’interno dell’organizzazione o provenienti da entità esterne.
- Definire un processo di gestione e risposta degli incidenti informatici con attività di simulazione interna al fine di sviluppare capacità di reazione con team dedicati.
In modo trasversale è poi di fondamentale importanza eseguire percorsi di awareness interna per tutti i dipendenti in merito ai rischi legati agli attacchi cibernetici così come all’utilizzo consapevole delle risorse informatiche, considerando la sicurezza un processo continuo che richiede attenzione costante e impegno da parte di tutte le parti coinvolte all’interno di un’organizzazione.
