Due minuti a mezzanotte. Il Clusit sceglie la metafora del Doomsday Clock che indica i minuti di distanza che ci separano dall’apocalisse nucleare per drammatizzare la situazione del 2018 in termini di sicurezza informatica. Non che ce ne sia un gran bisogno. La situazione infatti, stando ai numeri, si fa sempre più difficile.

In diretta Skype da Dubai Andrea Zapparoli Manzoni, del consiglio direttivo del Clusit, afferma con decisione  che è A rischio la sopravvivenza della nostra attuale società digitale”. Rispetto al 2014, un anno che fa da spartiacque per l’Associazione per la sicurezza informatica, il numero degli attacchi informatici è raddoppiato e siamo passati “da una media di 88 attacchi mensili di alto profilo a 129”.

Andrea Zapparoli Manzoni,  consiglio direttivo Clusit

Andrea Zapparoli Manzoni,
consiglio direttivo Clusit

Il Cybercrime è cresciuto del 43,8%, lo spionaggio cyber, con finalità geopolitiche o di tipo industriale e di attacco alla proprietà intellettuale, del 57%, mentre per quanto riguarda i settori colpisce la crescita dell’healthcare come target degli attacchi che arriva al +99% ed è rilevante anche la crescita del 42,5% delle iniziative contro le infrastrutture critiche.

Per quanto riguarda la tipologia di attacchi i malware valgono il 38%, ma il 62% delle azioni criminose, osserva il rapporto, viene realizzato con tecniche di attacco banali come SQL injection, Ddos, vulnerabilità note, phishing e malware semplice. Questo vuole dire che “gli attaccanti possono realizzare attacchi gravi di successo con relativa semplicità e a costi molto bassi soprattutto decrescenti”.

C’è però anche chi vola più alto. Secondo una valutazione della severità degli attacchi il 39% è medio, il il 28% critico e il 33% alto (l’anno scorso era il 31%). Se poi si va a vedere la distribuzione della severity per i settori più colpiti si può osservare che la Salute ha praticamente solo attacchi di livello critico e alto così come le infrastrutture critiche mentre l’hospitalty è in gran parte colpita da attacchi di basso livello. Segno che nei primi due settori ci vogliono competenze ben più alte rispetto al settore alberghiero.

Alessio Pennasilico comitato scientifico Clusit.

Alessio Pennasilico,
comitato scientifico Clusit.

Oltre alla quantità esiste anche un problema di qualità delle azioni criminose con l’utilizzo, per esempio, delle tecniche di machine learning per gli attacchi. “In pratica – spiega Alessio Pennasilico del comitato scientifico della associazione per la sicurezza informatica – si tratta di pc che attaccano altri pc con una industrializzazione degli attacchi che permette di ottenere grandi volumi”.

Il rapporto contiene anche l’analisi di Fastweb relativa ai dati della propria rete dove si evidenzia la leggera flessione dei ransomware un po’ perché ci si difende meglio e un po’ perché i cybercriminali hanno spostato l’attenzione sul cripto-jacking che utilizza la capacità di calcolo delle macchine per estrarre le criptovalute. In più c’è stata una evoluzione degli attacchi di tipo APT (Advanced persistent threat) che diventano sempre più evoluti e sofisticati.

Alessandro Vallega,Clusit.

Alessandro Vallega,
Clusit.

Per trovare qualche buona notizia bisogna guardare il contributo di IDC che stima in 1,2 miliardi di euro il mercato della sicurezza in Italia. “E’ un mercato in crescita – aggiunge Alessandro Vallega del Clusit –  dove si assume (anche se lo skill shortage è ampio) – e dove c’è più attenzione anche nei board alla sicurezza informatica”. Però, aggiunge Zapparoli Manzoni gli investimenti sono lontanissimi da quelli di cui ci sarebbe bisogno. “E il garante italiano ha ricevuto circa 630 notifiche da maggio del 2018 a oggi di incidenti ritenuti gravi”, spiega Pennasilico.

Un dato interessante tenuto conto del fatto che secondo Gartner entro il 2022 il rating cyber sarà altrettanto importante del rating finanziario. E questo introduce un altro problema. Perché oggi “la maggior parte delle organizzazioni sono assicurabili contro il rischio cyber, ma con una lunga lista di esclusioni che farà sì che probabilmente non vedranno liquidato alcun sinistro” spiega Pennasilico “perché ti arriva il contratto con un allegato con anche 800 domande (non si tratta di un numero tirato a caso) su come stai gestendo la security e se non si risponde di si almeno a un certo numero di domande il contratto non si chiude. Oggi non c’è rating ma la strada è quella delle certificazioni”.