Attacchi e attaccanti: nuovi scenari di cybercrime in produzione

Dal Rapporto Clusit una panoramica dei fenomeni di sicurezza più rilevanti degli ultimi dodici mesi. Aumentano gli attacchi gravi e i danni, cambia il profilo degli attaccanti e crescono le minacce verso le imprese di produzione

Gli attacchi cyber sono ormai all’ordine del giorno e impattano in modo trasversale sulla vita di ogni cittadino, sulle organizzazioni pubbliche e private, fino a colpire interi Stati.

I numeri del Rapporto Clusit 2020 indicano 1.670 attacchi gravi avvenuti nel mondo nel 2019 e una tendenza in crescita del 7% rispetto all’anno precedente. Ogni anno, dal 2011, gli esperti del Clusit, l’Associazione Italiana per la Sicurezza Informatica, analizzano i più gravi cyber attacchi noti avvenuti a livello mondiale.

«Si tratta, tuttavia, solo della punta dell’iceberg», avvertono gli esperti Clusit, «poiché rimangono esclusi gli attacchi tentati o bloccati». Inoltre, il campione analizzato è parziale, data la tendenza generale a evitare di rendere pubbliche le aggressioni cyber, nonostante il Gdpr e la Direttiva Nis diano precise indicazioni in merito al dichiarare gli attacchi subiti.

Un’altra riflessione emersa dal Rapporto riguarda la nuova dimensione che sta assumendo la criminalità cyber. «Gli attaccanti non sono più hacker, al massimo organizzati in piccoli gruppi, ma gruppi criminali transnazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractor, gruppi state-sponsored civili e/o paramilitari e unità di mercenari, che hanno come campo di battaglia, arma e bersaglio le infrastrutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging (e la mente dei loro utenti), su scala globale, 365 giorni all’anno, 24 ore al giorno», ha affermato Andrea Zapparoli Manzoni del Comitato Direttivo Clusit.

Tra le tipologie di attacchi, il cybercrime si conferma la principale causa di attacchi gravi: l’83% di essi è stato, infatti, perpetrato con l’obiettivo di estorcere denaro alle vittime. Rimangono stabili anno su anno gli attacchi gravi riferibili ad attività di cyberespionage, al 12%, mentre diminuiscono quelli appartenenti alla categoria cyberwarfare, la guerra delle informazioni, che costituisce il 2% del totale degli attacchi.

Relativamente alla vittime, al primo posto si conferma la categoria “Multiple Target”: 24% del totale degli attacchi, in crescita del 29,9% rispetto al 2018. Si tratta di bersagli multipli, con attacchi verso vittime appartenenti a tutte le categorie, colpite dallo stesso attacco in parallelo, a dimostrazione del fatto che gli attaccanti sono sempre più aggressivi e conducono operazioni su scala sempre maggiore, con una logica “industriale”, che prescinde sia dai vincoli territoriali sia dalla tipologia dei bersagli, puntando solo a massimizzare il risultato economico. Seguono il settore pubblico, in discesa, la sanità, in crescita, e i servizi on-line, in crescita esponenziale (+91,5%).

Il ransomware fra le tecniche di attacco più diffuse

Fra le tecniche di attacco, il malware è stabile al primo posto e rappresenta il 44% del totale dei casi, in crescita del +24,8%. Quasi la metà dei malware, il 46%, è costituito da ransomware, una tipologia di attacco che limita l’accesso del dispositivo infettato, richiedendo un riscatto. Si evidenzia una tendenza sempre più definita da parte dei cybercriminali all’utilizzo di ransomware, tecnica semplice che può essere prodotta industrialmente in infinite varianti, a costi decrescenti.

Al secondo posto, con il 19%, ci sono varie tecniche sconosciute dette “Unknown”, in marcata decrescita. In sensibile crescita (+81,9%) sono, invece, le tecniche di Phishing e Social Engineering, che con il 17 % sono al terzo posto. Il Phishing si riferisce a frodi via e-mail che colpiscono in modo specifico le organizzazioni con l’obiettivo di infliggere danni economici, con impatto spesso notevole.

Le minacce per l’industria

Idc, nella sua analisi pubblicata all’interno del Rapporto Clusit, evidenzia come le minacce verso le imprese di produzione siano in continua crescita e come le grandi organizzazioni, soprattutto nel settore manifatturiero, abbiano iniziato a comprendere il potenziale valore strategico della cybersecurity per affrontare le nuove sfide dell’Industria 4.0. Ci confrontiamo su questi aspetti con Gabriele Faggioli, il presidente di Clusit.

Gabriele Faggioli, il presidente di Clusit

Conferma questo trend?
Il trend è in crescita, e si può ricondurre principalmente alla maggiore apertura dei sistemi informativi delle aziende, oltre naturalmente che alla crescita generale. È una conseguenza dell’adozione di logiche di Industria 4.0, che rappresentano senz’altro un’evoluzione positiva e inevitabile del settore, ma che comportano una maggiore integrazione dei servizi aziendali con l’esterno, come anche una maggiore integrazione di sistemi che finora erano poco connessi, ad esempio quelli a supporto dei processi di fabbrica, con il sistema informativo. Non a caso la sicurezza è uno dei pilastri storici dell’Industria 4.0.

Considerando le tipologie e la distribuzione delle vittime citate nel Report, dove rientrano gli attacchi alle imprese di produzione?
Le imprese di produzione non sono uno dei settori maggiormente impattati, anche se lo sono più che in passato. Sicuramente settori che hanno un utilizzo più importante delle informazioni e dei servizi on-line rappresentano ancora la parte prevalente dei bersagli. L’evoluzione futura sarà legata anche alla trasformazione del settore in termini di digitalizzazione.

Quali sono invece le principali tecniche di attacco adottate dai nuovi “gruppi criminali organizzati” nei confronti delle attività produttive?
Le tecniche di attacco sono utilizzate in modo abbastanza trasversale ai diversi settori; queste tecniche continuano a partire soprattutto da attacchi di Phishing al personale o a un fornitore, per riuscire a entrare nel sistema informativo. Attacchi importanti sono poi sempre quelli basati sul ransomware, ma anche attacchi banali e potenzialmente di grande impatto economico come quelli che puntano al controllo delle caselle di posta elettronica dell’amministrazione per inserire falsi messaggi e indurre i clienti a effettuare pagamenti su conti correnti controllati dal malvivente, anziché dall’azienda.

Cosa suggerirebbe al mondo Industry per costruire un piano di cybersecurity?
Il tema va affrontato innanzitutto in una logica di security by design, non pensando che la protezione dei sistemi sia un problema del responsabile dei sistemi informativi. Le funzioni aziendali devono individuare, insieme al responsabile dei sistemi informativi, quali siano i rischi che derivano dall’evoluzione delle attività e dei servizi dell’azienda, per capire dall’inizio dove e come intervenire, pianificando quindi gli investimenti in sicurezza in modo da ottimizzarne l’efficacia. È necessario poi monitorare costantemente i sistemi per individuare gli eventuali attacchi e contenerli, e per rimuovere le vulnerabilità man mano che vengono rilevate, evitando di considerare la sicurezza un investimento una tantum in apparati e software. Infine, sono utili dei test periodici che diano il polso, anche da una prospettiva esterna all’azienda, dello stato reale delle protezioni. Tutto questo, naturalmente, senza trascurare la formazione e la sensibilizzazione del personale.

 

 

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome