I numeri che emergono dal nuovo Y-Report, il resoconto annuale sulla sicurezza IT redatto da Yarix, la cyber division di Var Group, delineano un’Italia sempre più sotto attacco. E se questo lo si poteva supporre, considerando la situazione globale della cyber security, quello che invece colpisce è l’aumento vertiginoso degli attacchi che hanno successo. “Nel corso del 2023, i sistemi di monitoraggio del nostro SCO hanno rilevato circa 311 mila eventi di sicurezza, con un aumento dell’87% rispetto al 2022 – ha affermato Mirko Gatto, CEO di Yarix e Head della Digital Security di Var Group –. Si tratta di osservazioni che indicano possibili violazioni di un sistema, un servizio o una rete informatica. Di tali eventi, circa 83mila, ovvero il 190% in più rispetto al 2022, sono diventati incidenti di sicurezza, cioè un insieme di eventi che possono causare la perdita di riservatezza, integrità o disponibilità dei dati aziendali e il loro utilizzo per scopi illeciti”.

Gatto cita come principali responsabili del quasi raddoppio degli eventi con gravità critica le numerose vulnerabilità emerse in software di uso comune. “Nell’intervallo di tempo tra la pubblicazione della vulnerabilità e la disponibilità della patch si verifica un numero particolarmente elevato di eventi di sicurezza”.

Chi è stato più colpito e come

I settori più impattati sono stati il manufacturing (15%), a causa della maggior presenza negli ambienti produttivi di dispositivi legacy, spesso senza adeguato supporto o comunque non più mantenuti dai produttori, il fashion (14%) per l’elevata esposizione legata alla presenza globale degli shop online, e l’area energy & utilities (10%).

Entrando poi nel dettaglio delle forme di attacco, nel 2023 l’Italia è al quinto posto tra i Paesi più colpiti dai ransomware, dopo Stati Uniti, Regno Unito, Germania e Canada.

Dei 4.474 incidenti su perimetro globale mappati dal team di Yarix Cyber Threat Intelligence (YCTI), causati da 65 gruppi ransomware, è LockBit il gruppo di cyber criminali più attivo: da solo ha organizzato il 22% degli attacchi totali.

Anche nel caso del ransomware, il manufacturing si conferma il settore più colpito (19%). Seguono IT (12%), banking & finance (11%), healthcare (9%) e il mondo education (6%). Complessivamente, questi settori hanno registrato il 57% di tutti gli attacchi lanciati tramite ransomware.

Nel corso del 2023 il team YCTI ha anche identificato oltre 193 milioni di credenziali compromesse a livello globale da malware Infostealer (+180% rispetto al 2022) esfiltrate da oltre 2,8 milioni di sistemi compromessi. Oltre 60 mila di tali credenziali erano riconducibili a portali aziendali (come, per esempio, VPN e firewall di diversi vendor), rivendute poi nei mercati del deep Web e sfruttate per ottenere l’accesso iniziale a un sistema aziendale.

L’Italia si posiziona al 20esimo posto su scala mondiale per sistemi compromessi identificati, con un totale di oltre 38 mila dispositivi compromessi (+123 % rispetto al 2022), e al terzo posto su scala europea, preceduta da Spagna (60 mila) e Germania (47 mila) e seguita da Francia (36 mila), Polonia (32 mila) e Regno Unito (29 mila).

Il ruolo di intelligenza artificiale e machine learning

Mirko Gatto ha però sottolineato che oltre all’aumento degli eventi di sicurezza, Yarix ha riscontrato anche un rilevante impegno verso l’innovazione tecnologica per affrontare le sfide di sicurezza informatica. “L’aumento degli attacchi rilevati è infatti da attribuire anche agli sviluppi di nuovi scenari di monitoraggio che sfruttano tecnologie avanzate come intelligenza artificiale e machine learning, le quali hanno portato a una maggiore efficacia nell’identificazione delle minacce. Per esempio, attraverso la nostra piattaforma di intelligenza artificiale Egyda in uso nel SOC, che integra hyper-automation e machine learning, sono stati previsti e bloccati l’80% degli attacchi totali rilevati negli ultimi 16 mesi, con tempi di analisi più che dimezzati”.

Purtroppo, però, il ricorso alle tecnologie più recenti non gioca solo a vantaggio di chi difende, ma anche di chi attacca. E così le minacce sono sempre più sofisticate e pericolose.

Le PMI ancora piuttosto refrattarie alla sicurezza IT

Va evidenziato che Y-Report elabora i dati provenienti da un panel di aziende clienti monitorate dal SOC di Yarix, rappresentativo di diversi settori economici italiani ed europei. Tali aziende hanno in media oltre un migliaio di dipendenti e generano fatturati superiori ai 50 milioni di euro. Questa è attualmente la dimensione dei clienti di Yarix, perché “la nostra offerta era difficile da applicare alle PMI. Tuttavia, stiamo studiando una proposta specifica per le piccole e medie imprese, che sarà annunciata a breve”.

Parlando delle realtà di più piccole dimensioni, Gatto ha precisato che il problema maggiore è la presa di coscienza della necessità di proteggersi. Infatti, pur essendo consapevoli dei problemi legati alla sicurezza IT, spesso sono ancora molto fataliste: ritengono di non essere così appetibili per i cyber criminali come le grandi aziende e quindi reputano molto basso il rischio di essere vittime di un attacco. Ne consegue che la sicurezza non è vista come una priorità: “In certi casi, è già tanto se hanno un antivirus”, ha dichiarato Gatto per enfatizzare la situazione. Inoltre, ha aggiunto che “in particolare con le PMI del manufacturing, quando si parla di sicurezza IT spesso si capisce che si sta trattando un tema che è molto distante dal loro modo di concepire le attività quotidiane. Ci sono imprenditori e realtà all’avanguardia, ma in generale è difficile trasmettere un’adeguata sensibilità verso il problema della sicurezza IT”.

Un panorama destinato a cambiare con le nuove normative

Tuttavia, questa situazione molto probabilmente cambierà con l’arrivo delle nuove normative europee come per esempio la NIS2. Questa, infatti, non solo prevede che siano conformi le aziende con oltre 10 milioni di euro di fatturato e un minimo di 50 dipendenti, ma anche che lo siano le loro catene di fornitori. “Rispetto all’attuale NIS1, la nuova direttiva sarà molto più estesa e toccherà un perimetro molto più ampio di aziende. Riteniamo perciò che le modifiche introdotte porteranno a una maggiore maturità sul tema della security da parte delle imprese, anche di quelle di più piccole dimensioni”, ha concluso Marco Iavernaro, Extended Security Operation Center Manager di Yarix.