L’iniziativa OAD contribuisce alla “sensibilizzazione” e alla conoscenza in Italia della sicurezza digitale per il personale a tutti i livelli, dai decisori di vertice agli utenti finali e privilegiati del sistema informativo.
AIPSI, Associazione Italiana Professionisti Sicurezza Informatica Capitolo italiano della mondiale ISSA entrambe associazioni no profit di chi si interessa ed opera a qualsiasi livello nell’ambito della sicurezza digitale, organizza da tredici anni consecutivi l’indagine online ed anonima sugli attacchi digitali intenzionali ad aziende ed enti pubblici in Italia, denominata OAD, Osservatorio Attacchi Digitali in Italia. Ad OAD collabora da tempo la Polizia Postale e delle Comunicazioni, che fornisce annualmente specifici dati sugli attacchi alle infrastrutture critiche, all’e-banking ed e-financing, al cyber terrorismo.
E’ attualmente in corso l’ultima edizione, del 2021, di questa indagine, denominata OAD Extended 2021. L’obiettivo è di ampliare il bacino delle/dei rispondenti al questionario, coinvolgendo fortemente tutti i settori merceologici, oltre le pubbliche amministrazioni centrali e locali. Questa estensione si basa sulla fattiva collaborazione con le varie Associazioni dei diversi settori merceologici, che con il loro patrocinio gratuito possono far conoscere ai loro associati ed interlocutori l’indagine OAD Extended 2021, promuovere da parte loro la compilazione dei relativi questionari, e poi distribuire loro il rapporto finale sui dati emersi.
A che cosa può servire un’indagine sugli attacchi digitali ad aziende ed enti pubblici?
Un’indagine “seria” sul tema degli attacchi e della sicurezza digitali ha due diversi momenti di ritorni:
- nel corso della compilazione del questionario: si effettua una verifica dei possibili tipi di attacchi che il sistema informativo oggetto delle risposte potrebbe subire e, nel caso OAD, delle misure tecniche ed organizzative di sicurezza digitale in essere o che potrebbe essere usate. Inoltre, al completamento della compilazione, il questionario fornisce in tempo reale e sempre in maniera anonima una valutazione qualitativa del livello di sicurezza digitale in essere e (per il Questionario completo, si veda successivo §4) l’elenco delle principali misure mancanti o gravemente insufficienti;
- nel corso della lettura ed analisi del rapporto finale: si ha un quadro del fenomeno degli attacchi in Italia e delle misure di sicurezza che tentano di contrastarle, con dettagli per tipologia di aziende/ente, per numero di dipendenti, per settore merceologico, etc. Questo quadro specifico ed aggiornato sulla realtà italiana può aiutare significativamente nella stesura dell’analisi dei rischi digitali e degli impatti sul business in caso di attacchi per il proprio sistema informativo, nel ripensare le misure di sicurezza, e più in generale per informare, sensibilizzare e formare il personale sulla sicurezza digitale.
L’iniziativa OAD inoltre contribuisce alla “sensibilizzazione” e alla conoscenza in Italia della sicurezza digitale per il personale a tutti i livelli, dai decisori di vertice agli utenti finali e privilegiati del sistema informativo. Questa è in Italia una urgente necessità per creare una più diffusa cultura in materia di sicurezza digitale, che consideri non solo il contesto strettamente tecnico-informatico ma anche i vertici dell’organizzazione e tutti coloro che decidono in merito a requisiti e budget digitale, e nei processi organizzativi delle proprie organizzazioni.
Per la sua rilevanza in termini di comunicazione, sensibilizzazione e formazione sulla cybersecurity, l’indagine OAD Extended è stata accettata dall’iniziativa nazionale Repubblica Digitale come uno dei Progetti di riferimento.
Gli elementi che contraddistinguono e caratterizzano l’indagine OAD
OAD è l’unica indagine in Italia sugli attacchi digitali intenzionali e sulle misure di sicurezza relative ai sistemi informativi di liberamente accessibile e totalmente anonima da ogni azienda ed ente pubblico operante in Italia, realizzata con un questionario (nel 2021 sono due, uno completo ed uno ridotto, si veda §4) con risposte preimpostate e compilabile on line con tutti i più recenti browser. Il questionario è rivolto principalmente ai Responsabili dei Sistemi Informatici (CIO), agli amministratori di sistema, ai responsabili della Sicurezza Informatica (CISO), alle Terze Parti che gestiscono la sicurezza digitale di loro clienti, e per le piccole e piccolissime organizzazioni ai responsabili di vertice che decidono sul sistema informatico e la sua sicurezza. OAD non prevede pertanto un predefinito bacino d’utente di riferimento: i risultati emersi dalle diverse indagini annuali non sono statisticamente confrontabili, ma, dato il numero di rispondenti complessivo, forniscono indicazioni significative sul trend degli attacchi negli anni.
Rispetto a tante altre indagini sugli attacchi in Italia, i questionari di OAD analizzano, correlandole, due grandi aree: quella degli attacchi rilevati, e quella delle misure di sicurezza, tecniche ed organizzative, in essere. Il Rapporto finale fornice quindi, di anno in anno, la situazione anche delle misure in essere, e le commenta anche in riferimento agli attacchi subiti. Gli attacchi considerati sono distinti in 14 diverse tipologie, che fanno riferimento a che cosa viene attaccato (dal dispositivo fisso o mobile ICT al furto o modifica di informazioni, dal sistema di identificazione-autenticazione ad un intero server o storage, dai sistemi OT a quelli in cloud, etc.) con 7 famiglie di tecniche di attacco (dall’attacco fisico agli script e malware, dalla raccolta di informazioni ai toolkit, dalle bootnet agli agenti autonomi quali virus e worm).
Un altro aspetto caratterizzante OAD, grazie alla sua libera apertura ad ogni tipo di azienda/ente, è di avere un buon numero di compilazioni del proprio questionario da parte delle piccole e piccolissime imprese/enti, che costituiscono la stragrande maggioranza di aziende ed enti pubblici in Italia. Gli ultimi dati ISTAT indicano che il il 99,91% è costituito da PMI, e che ben il 95% del totale è costituito da aziende con meno di 10 dipendenti.
Un capitolo ad hoc nel Rapporto finale fornisce i dati, commentati, forniti dalla Polizia Postale, che vengono correlati con quelli emersi dall’indagine: una “chicca” preziosa e molto significativa.
Dall’edizione 2020 il rispondente che completa il questionario ottiene alla fine e in tempo reale, una macro valutazione qualitativa del livello di sicurezza digitale del sistema informatico oggetto delle risposte fornite. Questa funzionalità è presente anche nell’edizione 2021, e vi si aggiunge, come già anticipato, l’elenco delle principali misure di sicurezza mancanti o gravemente carenti, sempre rispetto a quanto risposto nel questionario.
Infine scaricare dal sito OAD un Rapporto e la documentazione degli eventi correlati, è totalmente gratuito per ogni interessato, non solo per i soci AIPSI.
Nel rapporto finale, si consideri ad esempio l’ultimo del 2020, alcuni allegati possono essere di interesse per il lettore: in particolare l’Allegato A sulla metodologia usata per l’indagine, l’Allegato B con un glossario alfabetico dei principali acronimi e termini usati nell’ambito cyber sicurezza, l’Allegato E.2 sulle principali fonti per gli attacchi e le vulnerabilità informatiche. Si rimanda a tali allegati per approfondimenti sui diversi temi trattati.
Alcune considerazioni sul trend degli attacchi digitali in Italia dalle indagini OAD
La fig. 1 sottostante mostra il trend in percentuale degli attacchi rilevati dall’indagine OAD (inizialmente si chiamava OAI, Osservatorio Attacchi Informatici in Italia) dal 2007 al 1° quadrimestre 2020 (l’intero anno 2020 ed il 1° semestre 2021 sono oggetto della nuova indagine 2021). Dati i bacini di rispondenti diversi nei vari anni, il confronto tra i dati rilevati non ha valore statistico ma è solo un indicatore del trend.
La linea tratteggiata rossa in figura indica l’andamento in percentuale degli attacchi rilevati, e fa emergere due chiare situazioni:
- la forma ad onda della linea tratteggiata evidenzia come, dopo un relativo picco di attacchi, le organizzazioni reagiscono rafforzando la propria sicurezza informatica e successivamente, uno o più anni dopo, il relativo picco di attacchi in % è inferiore a quello precedente; poi gli attaccanti sofisticano le modalità d’attacco, e la battaglia tra guardie e ladri continua;
- tra il 2007 ed il 2016 gli attacchi rilevati si attestano “mediamente” attorno al 40% dei rispondenti, tra il 2017 ed il (primo quadrimestre del) 2020 attorno al 45%, con un evidente e significativo incremento: un indicatore del forte aumento di attacchi digitali negli ultimi 3 anni.
Come già evidenziato in §2, una caratteristica fondamentale da considerare per l’Italia è l’enorme massa di piccole e piccolissime organizzazioni, nelle aziende ed anche nelle pubbliche amministrazioni locali. Questa tipologia di potenziali target non è significativa per gli attaccanti, che mirano ad ottenere significativi ritorni economici illegali, e che si focalizzano quindi sulle poche grandi organizzazioni italiane, meglio se note a livello mondiale. Le piccole organizzazioni sono invece soggette ad attacchi digitali “di massa”, attuati o da hacker che cercano di “sparare” nel gruppo, consapevoli di trovarne alcune (spesso troppe!) con vulnerabilità tecniche, organizzative e personali: di qui l’ampia diffusione nel nostro paese di phishing e di ransomware., oppure, cosa ben più grave, da hactivist o da cyber terroristi che intendo bloccare e penalizzare specifici settori economici del paese.
Un approfondimento sugli attacchi per dimensioni (numero di dipendenti) dell’organizzazione attaccata, oltre che sull’impatto del Covid sulla sicurezza digitale nell’articolo AIPSI scaricabile qui.
Le tipologie di attacco più diffuse tra i rispondenti negli ultimi anni includono gli attacchi all’identificazione-autenticazione-autorizzazione (tipica per il furto dell’identità digitale), alle reti, la saturazione delle risorse (DoS/DDoS), il furto dei dispositivi mobili, il furto o la modifica non autorizzata di informazioni.
Come misure di sicurezza in essere, i rispondenti si posizionano prevalentemente nella fascia medio-alta, soprattutto nelle organizzazioni di grandi dimensioni. Per le organizzazioni più piccole rimangano ancora carenti le misure tecniche di base, dai backup ai sistematici aggiornamenti dei software. Carenze più generali nelle misure di sicurezza organizzative, soprattutto per la consapevolezza sulla cybersecurity e sui contratti e clausole con le Terze Parti. I piani di Disaster Recovery (DR), quando esistono, sono più formali che sostanziali, mancando sovente la predisposizione delle infrastrutture digitali alternative ed i periodici test di attuazione del piano di DR.
I due questionari OAD Extended 2021 liberamente disponibili per la compilazione
Nell’ottica di fortemente ampliare il bacino di rispondenti, l’innovativa edizione OAD 2021 offre due questionari per OAD Extended 2021:
- il questionario “completo“, che richiede circa 40-45 minuti per completarlo, e che fornisce, oltre alla valutazione qualitativa del livello di sicurezza digitale del sistema informativo oggetto delle risposte, anche l’elenco delle principali mancanze/carenze nelle misure di sicurezza, tecniche ed organizzative: https://www.oadweb.it/Limesurvey2021/limesurvey/index.php/574592?lang=it
- il questionario “ridotto“, derivato eliminando più del 50% tra domande e risposte da quello “completo”, che richiede circa 15-20 minuti per completarlo, e al suo completamento fornisce solo la valutazione qualitativa del livello di sicurezza digitale del sistema informativo oggetto delle risposte: https://www.oadweb.it/Limesurvey2021/limesurvey/index.php/163984?lang=it
La scelta di quale questionario compilare dipende dal tempo disponibile, dalla più o meno approfondita conoscenza del sistema informativo della propria azienda/ente, dall’interesse nel verificare le principali mancanze/carenze nelle misure di sicurezza del sistema informativo oggetto delle risposte. E vi prego comunque di compilare, o far compilare dai vostri tecnici, uno dei due questionari per il vostro sistema informativo, almeno per la parte operante in Italia.
L’autore si augura che i lettori compilino interamente uno dei due questionari: più risposte avrà OAD Extended 2021, più completo, articolato ed autorevole potrà essere il Rapporto finale.