Rapporto Clusit 2022: incidenti di sicurezza informatica in aumento e sempre più dannosi
Nel 2021 si sono rilevati ben 2049 gravi attacchi di sicurezza informatica, il 10% in più rispetto al 2020, l’anno in cui ha avuto inizio la pandemia Covid-19, che ha comportato la rapida escalation del crimine informatico. Tale dato emerge dal Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica), presentato il 15 marzo nel contesto del Security Summit, evento di riferimento per la cybersecurity in Italia.
Il rapporto Clusit 2022 scatta una fotografia a livello globale e italiano della cybersecurity secondo i dati ufficiali del 2021, a cui si aggiungono approfondimenti tematici, come quello relativo al settore finance e i dati rilevati dal SoC di Fastweb, uno dei principali ISP (Internet Service Provider) del nostro paese.
Il rapporto Clusit, giunto alla sua ventiduesima edizione, è il risultato dell’attività di oltre 100 professionisti che operano quotidianamente sul fronte della cybersecurity in Italia e mira ad evidenziare i settori più colpiti, le tipologie, le tecniche di attacco più frequenti, oltre a spingersi sempre più nel dettaglio delle conseguenze degli attacchi gravi di dominio pubblico, quelli soggetti ad obbligo di notifica secondo le disposizioni della Normativa NIS.
Il dato rilevato dal Clusit costituisce una cifra record, che non ha precedenti nella storia e che non accenna certamente a diminuire. Anzi, la tendenza diffusa è quella di attendersi cifre in aumento anche per quanto concerne il 2022, soprattutto considerando che la maggior parte degli esperti ritiene che si tratti di una sottostima, per via del fatto che non tutti coloro che sono stati soggetti ad attacchi gravi avrebbero provveduto ad inoltrare la notifica dell’incidente.
La ricerca svolta dal Clusit si è svolta con un affinamento del metodo rispetto alle scorse edizioni. Vediamo quali sono state le principali conclusioni del lavoro.
Attacchi sempre più frequenti e gravi nell’impatto: 6 trilioni di dollari in fumo a livello globale
Come annunciato in sede di premessa, i 2049 attacchi gravi rilevati nel corso del 2021 costituiscono una cifra record, ma a preoccupare maggiormente è l’impatto che questi incidenti di sicurezza informatica hanno comportato ai danni delle vittime. La valutazione dei livelli di impatto è stata condotta tenendo conto dell’incidenza di quattro parametri fondamentali: il danno di immagine, il danno economico, le conseguenze sociali e le ricadute a livello geopolitico. Quest’ultimo aspetto assume un particolare sempre più rilevante, soprattutto considerando che gli attacchi condotti contro soggetti governativi, militari o riferibili alle infrastrutture critiche causano sempre più spesso conseguenze a livello globale, come appare evidente anche dal conflitto tra Russia e Ucraina, una cyberwar senza precedenti nella storia.
Nel 2021, il 79% degli attacchi informatici rientra nella categoria di impatto elevato, con una gravità ritenuta critica per il 32% e alta per il 47%. Si tratta anche in questo caso di valori record, se si considera come in un anno pur non semplice come il 2020 gli attacchi ad impatto elevato hanno caratterizzato soltanto il 50% del totale rilevato.
Cattive notizie anche sul fronte della severity degli attacchi, con danni a livello globale stimati nell’ordine di 6 trilioni di dollari, una cifra impressionante, che equivale a 4 volte il volume del PIL italiano. Secondo Andrea Zapparoli Manzoni, membro del Comitato Direttivo Clusit: “Si tratta di una crescita drammatica […] non è più possibile procrastinare l’adozione di contromisure efficaci e i necessari investimenti. Le risorse allocate dal PNRR dovranno a nostro parere essere gestite con una governance stringente in ottica cybersecurity di tutti i progetti di digitalizzazione previsti, valorizzando finalmente le competenze cyber delle risorse umane del Paese”.
In attesa di sapere se l’appello di Zapparoli Manzoni verrà accolto da chi di dovere, è chiaro che chi non investe adeguatamente in termini di sicurezza informatica è ormai sempre più esposto al rischio di incidenti le cui conseguenze sono mediamente sempre più serie, al punto da mettere a grave rischio la sopravvivenza stessa delle realtà colpite. Tale contesto vale ovviamente anche nell’ambito della Pubblica Amministrazione, dove i criminali sanno di poter colpire sistemi che spesso presentano evidenti vulnerabilità, soprattutto nel caso di enti che non aggiornano i propri strumenti.
Il cybercrime dilaga e aumenta il sospetto sulla criminalità organizzata
Dal punto di vista della tipologia e della distribuzione degli attaccanti, il cybercrimine si conferma l’autore del reato più attivo in assoluto, mettendo a segno ben l’86% degli attacchi complessivi a livello globale. Un dato in aumento rispetto al 81% del 2020. L’11% è contraddistinto dalle attività di spionaggio e sabotaggio, spesso riconducibili alle azioni nation-state, mentre quote più marginali sarebbero riferibili all’information warfare (2%) e al cyber attivismo (1%).
Il notevole aumento del cybercrimine rileva dinamiche di natura sempre più organizzata, con il sensibile aumento di servizi disponibili sul dark web, come il famigerato Ransomware-as-a-Service, che consente a chiunque di noleggiare un kit per condurre a piacimento i propri attacchi, senza disporre di competenze elevate in materia di programmazione. La diffusione di fenomeni su larga scala come le botnet, che prevedono un notevole livello di organizzazione da parte degli attaccanti, così come le azioni sempre più mirate verso settori specifici di attività, costituiscono il segnale sintomatico del coinvolgimento della criminalità organizzata.
Per quanto riguarda le vittime degli attacchi informatici, la distribuzione appare estremamente eterogenea, ma a sorprendere è soprattutto il fatto che il primato non sia più il generico multiple targets, in quanto i cybercriminali tendono ad orientare la loro attività verso settori specifici, migliorando la propria efficienza ai danni dei malcapitati di un’unica area di business. I criminali insomma non colpiscono più ad ampio raggio, ma selezionano in maniera molto accurata le proprie vittime, in quanto sono ben consapevoli di poter ottenere dei vantaggi più consistenti quando mirano a bersagli precisi. È quanto precisato da Sofia Scozzari, membro del Comitato Scientifico Clusit: “È interessante notare che la differenza tra le percentuali dei settori più colpiti si assottiglia: per la prima volta non vediamo categorie di vittime prese di mira in modo particolare rispetto ad altre. È invece evidente che i cyber attacchi stanno colpendo tutti i settori, in maniera sostanzialmente uniforme, e al tempo stesso più selettiva, la ‘pesca a strascico’ indifferenziata sta diminuendo”.
Il primo posto vede la poco invidiabile presenza degli obiettivi governativi e militari (15%), seguiti dal settore ICT (13%) e dal multiple target (13%) in calo dell’8% rispetto all’anno precedente. La sanità è invece cresciuta del 2% nella lista di gradimento dei cybercriminali, portandosi complessivamente al 13% degli attacchi condotti nel corso del 2021. Tra i settori colpiti in maniera sostanzialmente stabile ritroviamo anche quest’anno l’ambito dell’istruzione, il cui dato è stimabile nell’ordine dell’8%.
Tecniche di attacco: il ransomware si conferma la minaccia informatica più diffusa
Il Rapporto Clusit entra nel merito delle principali tecniche di attacco che hanno assistito gli incidenti informatici avvenuti nel corso del 2021. Come ampiamente preventivato, la causa principe dei mali della cybersecurity è caratterizzata dal malware (41%) ed in particolare dai ransomware, con i relativi attacchi a doppia e tripla estorsione, in grado di mettere in ginocchio anche la più strutturata delle organizzazioni.
La seconda minaccia più diffusa è sconosciuta (21%), ma facilmente riconducibile al data breach. Tale equivoco deriva dal fatto che la notifica di incidente non prevede espressamente l’obbligo di descrivere nel dettaglio le modalità dell’attacco subito. Al terzo posto ritroviamo lo sfruttamento delle vulnerabilità dei sistemi informatici (16%). A seguire il Phising / Social Engineering (10%), gli attacchi a tecnica multipla (5%) e il furto di identità e delle credenziali di accesso (4%).
La tendenza conferma la capacità dei cybercriminali di condurre attacchi sempre più sofisticati, sulla base della continua ricerca di metodi utili a penetrare nei sistemi degli obiettivi selezionati. Ciò è ad esempio palese negli attacchi phising a tema Covid-19, cosi come negli attacchi che alterano la supply chain delle grandi organizzazioni, andando sistematicamente a colpire gli anelli più deboli della catena.
Gran parte delle responsabilità degli attacchi subiti rimane attribuibile a sistemi inadeguati, come le vulnerabilità che rimangono latenti per via del mancato intervento, ignorando il fatto che anche se una risorsa non viene più utilizzata, questa può essere sfruttata dai malintenzionati per penetrare all’interno del sistema aziendale, dove può essere sferrato un attacco mirato verso le regioni della rete più interessanti da colpire.
L’occhio di Fastweb sulla rete italiana: consapevolezza in aumento, ma i numeri del problema rimangono critici
Il Rapporto Clusit 2022 contiene un approfondimento messo a punto dal SOC (Security Operations Center) di Fastweb, in merito alla situazione italiana in materia di cybercrime e incidenti informatici. Il quadro che emerge è stato rilevato sulla base dei 6.5 milioni di indirizzi IP pubblici che caratterizzano ad oggi l’infrastruttura di rete proprietaria del celebre Internet Service Provider, da sempre specializzato nelle connessioni in fibra ottica.
I numeri che emergono dall’indagine parlano di oltre 42 milioni di eventi di sicurezza, con un aumento del 16% rispetto all’anno precedente. Sorprende invece il fatto che il numero di server e device colpiti nel 2021 sulla rete Fastweb (circa 46mila) sia in calo del 16% rispetto al 2020. Questo dato sarebbe indice di una maggior consapevolezza del livello di rischio di poter subire concretamente un attacco, che ha prodotto un tangibile aumento delle misure di sicurezza informatica, soprattutto per quanto concerne le realtà aziendali.
Per quanto riguarda le tecniche di attacco, nel 2021 si è rilevato un aumento del 58% dei device colpiti dal malware, diffusi sempre più frequentemente grazie alle botnet, capaci di propagare la propria presenza virale in maniera sempre più discreta sui dispositivi informatici dei cittadini e delle aziende. Piuttosto seria l’azione degli attacchi DDoS (Distributed Denial of Service) che hanno registrato nel corso del 2021 ben 2500 eventi, per un totale di ben 18mila anomalie gestite dai vari sistemi di sicurezza attivi nella rete. A livello di esposizione, la Pubblica Amministrazione e le realtà del settore finanziario condividono il primo posto con il 18% degli attacchi subiti, tallonati dal settore industriale, in netta ascesa rispetto al 2020.
Per quanto riguarda gli attacchi informatici condotti via posta elettronica, il credential phising, ossia gli attacchi mirati a sottrarre le credenziali di accesso agli utenti, rimangono stabilmente al primo posto, con una crescita complessiva del fenomeno, misurabile nell’ordine di un +11% degli URL malevoli identificati all’interno delle mail diffuse nell’arco del 2021. Sul fronte delle frodi risulta tutt’altro che trascurabile l’incidenza dello smishing, il phising via SMS, grazie alla diffusione di malware specifici come Flubot. Tale fenomeno, oltre a costituire un evidente rischio a livello di sicurezza informatica, espone maggiormente gli utenti in termini di privacy
L’Italia ha visto a livello globale anche un aumento per quanto riguarda l’attività criminale, risalendo al terzo posto in Europa per quanto riguarda la provenienza degli attacchi informatici. In generale, il cybercrimine europeo ha dimostrato un generale aumento nei confronti dei colleghi statunitensi, almeno secondo quanto rilevato a livello di geolocalizzazione dei server da cui sono partiti gli attacchi.
Gli approfondimenti tematici del Rapporto Clusit 2022
Oltre ai numeri globali sugli attacchi informatici, il Rapporto Clusit si conferma una preziosa fonte informativa soprattutto negli approfondimenti e nei focus relativi alla realtà italiana, laddove sarebbe altrimenti complesso disporre di informazioni di prima mano, realmente identificativi con la situazione che si verifica sui server e sui device del nostro paese.
La panoramica sull’evoluzione del cybercrime in Italia e nel mondo ha preso in considerazione l’analisi dei principali cyber attacchi noti nel 2021 a livello globale, la già citata analisi di Fastweb sulla situazione italiana, le attività e le segnalazioni della Polizia Postale e delle Comunicazioni per l’anno 2021, oltre ad un dettaglio relativo alla e-mail security in Italia, sempre per quanto concerne le attività riferibili allo scorso anno.
Per quanto riguarda i contenuti tematici, l’edizione 2022 del Rapporto Clusit vede il ritorno dello speciale Finance, che si articola in due approfondimenti fondamentali:
- Elementi sul cybercrime nel settore finanziario in Europa;
- Evoluzione delle tecniche di ingegneria sociale e il loro utilizzo negli attacchi contro gli utenti di servizi di pagamento online.
Di notevole interesse anche i due survey svolti dal Clusit durante le indagini che hanno portato alla redazione del report 2022:
- 2022 Sysadmin Report. Quando il gioco si fa duro;
- GDPR e Cloud Provider: la compliance e la sicurezza dei dati
Infine, il report propone tre approfondimenti tematici, relativi ad alcuni settori tra i più critici in termini di cybersicurezza:
- Pubbliche amministrazioni italiane sotto assedio;
- Cybersecurity automotive; rischi, normative e mitigazioni;
- L’importanza dell’incorporazione della Cybersecurity nelle strategie di Resilienza Operativa.
Il rapporto Clusit 2022 è disponibile e scaricabile a partire dalle ore 11:30 del 15 marzo, è sufficiente seguire la procedura sul sito ufficiale dell’associazione che trovate qui.