Rapporto Clusit

Nato nel 2011 dalla collaborazione di oltre 100 professionisti, torna anche quest’anno il Rapporto Clusit, studio che offre uno spaccato sulla sicurezza informatica del nostro Paese con l’obiettivo di definire lo scenario che aziende e cittadini dovranno affrontare  nei prossimi mesi: il quadro emerso è molto preoccupante e lo sarà ancor di più nei prossimi anni.

“Solo in Italia, i danni complessivi derivanti da attacchi informatici hanno raggiunto i 9 miliardi di euro, pari alla somma delle perdite dovute a crash dell’hardware, del software ed alla perdita di alimentazione elettrica. Questo equilibrio è però instabile. – ha spiegato Alessio Pennasilico del Consiglio direttivo del Clusit – I costi dell’in-sicurezza informatica cresceranno vertiginosamente: basti pensare che il problema della security è aumentato di 10 volte negli ultimi 5 anni e non accenna a diminuire.  Chiunque può essere attaccato, tanto che ormai la questione non è più “se” si verrà colpiti ma il “quando”. Questo perché la probabilità che un individuo o un’impresa sia infettato è sicuro soltanto per il fatto di essere online e non più per i comportamenti tenuti sul web come avveniva in passato. L’unica speranza è quindi quella di subire il minor numero possibile di danni”.

Una vera e propria sentenza questa, che viene confermata confrontando il Rapporto 2015 con la versione di 4 anni fa: nonostante l’adozione di comportamenti e contromisure adeguate alla mitigazione delle crescenti minacce cyber, i passi avanti e i risultati ottenuti sono stati del tutto insufficienti nonostante gli sforzi compiti.
Come si spiegherebbe altrimenti che, nonostante la crescita dell’8% degli investimenti in Security nel 2014 (Gartner), le minacce siano sempre più gravi e di maggior consistenza, in un contesto peraltro dove 2/3 degli incidenti non vengono neppure rilevati dalle vittime?

Certamente la “bravura” dei criminali informatici è cresciuta, ma ciò che sta facendo la differenza è la loro organizzazione: esistono vere e proprie aziende del cyber crime, strutturate proprio come se fossero normali imprese con tanto di divisioni marketing, rivenditori e assistenza.

Alcune di queste associazioni criminali offrono anche la garanzia soddisfatti o rimborsati. – ha commentato Andrea Zapparoli Manzoni del Consiglio direttivo del Clusit – Se il malware acquistato dai “clienti” non funziona, i “tecnici” intervengono per spiegare esattamente come far si che la minaccia abbia effetto”.

Un altro importante elemento da considerare è l’asimmetria tra i “modelli di business” di attaccanti e difensori: per ogni dollaro investito dai cybercrminali, il costo supportato dai difensori – ancora vincolati a strategie reattive piuttosto che anticipatorie – è di milioni di dollari: il malware BlackPOS (in vendita per 1.800 dollari), ad esempio, ha causato nel 2014 danni accertati per 62 milioni di dollari a HomeDepot e di 148 milioni a Target.

Oltre a questa maggior “imprenditorialità”, è bene considerare anche come la superficie di attacco complessivamente esposta dalla nostra civiltà digitale cresca più velocemente della capacità di proteggerla. La proliferazione dell’Internet of Things non farà che aumentare tale problematica: Cisco stima oltre 50 miliardi di dispositivi intelligenti connessi alla rete entro il 2020. Si, esatto, 50 miliardi, un numero di oltre 7 volte quello degli abitanti della Terra. Come si potrà quindi solamente pensare di riuscire a proteggere tutti questi dispositivi quando oggi non si riesce a farlo con molti di meno?

Una domanda che deve trovare risposte concrete perché altrimenti la situazione potrebbe presto degenerare. Oltre ad essere una tassa sull’innovazione, l’in-sicurezza informatica mina infatti l’esistenza di qualunque tipologia di organizzazione, indipendentemente dall’ambito e dalla dimensione: da una grande azienda che perde milioni di euro per colpa di un attacco DDoS, al professionista che si ritrova criptati i propri dati a causa di un ransomware, alla pmi che scopre dopo mesi di ritardo di essere stata violata, ma anche la PA impossibilitata nell’erogare servizi.

Il nuovo scenario rende pertanto obsolete le tradizionali prassi della security e minaccia seriamente di vanificare qualunque budget di spesa fin qui allocato, cogliendo così impreparate oltre che società ed istituzioni, anche i vendor di tecnologie e gli esperti del settore. L’unica possibilità è una collaborazione tra tutte le forze del “bene” in un mondo che è sempre più nelle mani dei criminali informatici.