Il 2016,secondo il rapporto clusit è stato definito come un “annus horribilis” a fronte di una crescita numericamente importante dei problemi ed incidenti di sicurezza in campo tecnologico e informatico.
Il rapporto CLUSIT 2016 verrà presentato ufficialmente il 14 marzo 2017 nella giornata di apertura del Security Summit, che si terrà a Milano presso l’Atahotel Expo Fiera. All’interno, oltre ad una esposizione più approfondita dei dati presentati in anteprima qui di seguito, saranno presenti anche contributi di Fastweb e Akamai (che possono osservare in prima persona, sulle loro infrastrutture, le varie tipologie di attacchi) e una serie di approfondimenti verticali su vari temi, dalla sicurezza Cloud, al voto elettronico.
Nel corso del 2016 sono stati 1050, in tutto il mondo, gli incidenti noti classificati come gravi: cosa vuol dire ciò? Per incidente grave si intende ciò che ha avuto una conseguenza significativa per le vittime, in termini di danno economico, di reputazione o di diffusione di dati sensibili.
Attenzione, però: si tratta di incidenti noti, cioè quelli che sono stati resi di pubblico dominio o per obblighi di divulgazione o per dimensione così importante da non poter passare inosservati. Vi sono, quindi, un’altra enorme quantità di incidenti e problemi di sicurezza che non vengono divulgati pubblicamente (e che possono essere noti solamente agli addetti ai lavori) che non rientrano nell’analisi del rapporto Clusit 2017. Ciononostante il quadro tratteggiato è da solo sufficiente per comprendere come la situazione sia veramente ad un punto critico.
Andrea Zapparoli Manzoni, che da sei anni cura, assieme ad altri professionisti del settore appartenenti al Clusit, le edizioni del rapporto, commenta in maniera inequivocabile: “Nel 2016 la cyber-insicurezza globalmente ha raggiunto livelli inimmaginabili ancora pochi anni fa. E’ particolarmente evidente dai dati che presentiamo oggi che negli ultimi tre anni il divario tra percezione dei rischi cyber e la realtà, e la forbice tra la gravità di questi rischi e l’efficacia delle contromisure poste in essere si sono ulteriormente allargati. Nella situazione attuale, infatti, i rischi cyber non solo stanno crescendo sensibilmente, ma continuano a non essere gestiti in modo efficace, ovvero sono fuori controllo. In quanto tali, per la stessa definizione di rischio, devono essere considerati inaccettabili. Siamo giunti ad una situazione da ‘allarme rosso’”.
Rispetto all’anno precedente gli attacchi gravi ascrivibili alla tipologia Cybercrime (cioè tutti quegli attacchi che hanno il solo scopo di “make money fast”) crescono del 9,8% e la categoria Cyber Warfare (la guerra delle informazioni, per lo più di stampo politico) cresce del 117%. In leggero calo sono gli attacchi di tipo Cyber Espionage (sottrazione di segreti industriali/commerciali) con un -8% e scendono in maniera più marcata gli attacchi di tipo Hacktivism con un -23%. Quel che è più allarmante, tuttavia, è la crescita percentuale degli attacchi gravi considerata per tipologia di vittime: ecco che, ad esempio, il settore della sanità vede una crescita del 102%, quello della GDO +70%, l’ambito Banking/Finance +64% e le infrastrutture critiche +15%.
Sul fronte delle tipologie di attacco crescono del 45% le tecniche sconosciute (ma questo perché spesso sebbene un incidente venga divulgato, non vengono rilasciati dettagli sul come sia accaduto), ma a preoccupare di più è l’impressionante crescita del 1166% degli attacchi compiuti con tecniche di Phishing/Social Engineering. Il Malware, comprendente quindi anche i famigerati Ransomware, cresce del 116%.
Siamo dinnanzi ad un fenomeno di erosione dell’economia reale, con un trasferimento di ricchezza di impressionante portata.
Siamo ancora in tempo per correre ai ripari? E’ una domanda a cui non è possibile rispondere. L’asimmetria tra attaccanti e vittime è esageratamente sproporzionata: oggi bastano pochissime risorse e nessuna competenza (la maggior parte dei malware sono acquistabili “in kit” sul mercato nero della rete a poche centinaia o migliaia di euro) per causare danni elevatissimi – in termini di ROI, Return On Investment, si parla dell’800% alla settimana per il malware di “bassa lega”. A ciò si aggiunge il fatto che, se si guarda alle aziende, il modello di business attuale non prevede per la cybersecurity lo stanziamento di budget adeguati. Bisogna cercare di conservare l’ottimismo, ma la paura che la catastrofe sia realmente dietro l’angolo non è da liquidare con superficiale scetticismo.
E’ una battaglia che va combattuta su più fronti, ed in particolare è necessario un cambiamento di paradigma: “Qualsiasi dispositivo elettronico oggi, come ad esempio uno smarthpone, per poter essere commercializzato deve per legge superare una serie di test di sicurezza “fisica” elettrica ed elettronica. Ma non esiste alcuna legge che imponga di produrre un dispositivo che sia sicuro dal punto di vista cyber. Lo stesso vale per il software. E’ ora di iniziare a pensare in termini di security by design” osserva Zapparoli Manzoni.
Vi anticipiamo inoltre che nel corso della giornata di domani pubblicheremo un articolo relativo ad una serie di tendenze emerse la scorsa settimana in occasione della RSA Conference di San Francisco, che permetterà di chiarire ancor meglio quali siano i grossi rischi reali che il mondo tecnologico corre ogni giorno.
E noi, nel piccolo, cosa possiamo fare? Informarci e informare, non dare per scontato di essere al sicuro solamente perché abbiamo un antivirus installato, avere un approccio critico e proattivo al tema della cybersecurity e, soprattutto, entrare nell’ottica che si tratta di un problema che riguarda individualmente ciascuno di noi. Buona fortuna.