Crescono le minacce e le aziende sono in affanno. Budget ridotti e strategie non adeguate provocano danni economici ingenti che valgono anche punti di PIL.

Il 2016 è stato un anno nero per la sicurezza informatica. A dirlo è il Rapporto Clusit 2017 che ha evidenziato in Italia una situazione drammatica con oltre 5700 incidenti gravi di security. Si tratta certamente di un dato significativo, ma che in realtà è ancora più preoccupante poiché rappresenta soltanto la punta dell’iceberg: la maggior parte delle aggressioni non diventano mai di dominio pubblico in quanto non esiste ancora una legge che obblighi le aziende violate a darne notizia, oppure perché in alcuni casi le organizzazioni colpite impiegano addirittura anni prima di scoprire che le informazioni e il database aziendale siano stati compromessi.

Gli attacchi gravi compiuti per finalità di Cybercrime sono in aumento del 9,8%, mentre crescono a tre cifre quelli riferibili ad attività di Cyber Warfare – la “guerra delle informazioni” (+117%). Appaiono invece in lieve calo gli attacchi con finalità di “Cyber Espionage” (-8%) e Hacktivism (-23%). In termini assoluti Cybercrime e Cyber Warfare fanno registrare il numero di attacchi più elevato degli ultimi 6 anni.

 

Schermata 2017-02-23 alle 00.42.34

Il 2016 è l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo. – ha dichiarato Andrea Zapparoli Manzoni, tra gli autori del Rapporto Clusit – Senza mezzi termini, il quadro che emerge è disastroso e siamo ormai giunti in una situazione di allarme rosso, anche considerato che la tendenza generale è in ulteriore peggioramento”.

L’avvento dell’Internet of Things, che porterà entro il 2020 oltre 50 miliardi di dispositivi connessi, rende infatti vastissima l’area da dover proteggere, così come il perimetro che le aziende sono chiamate a difendere che è diventano molto labile a causa dell’introduzione dello smart working o di tecnologie come il cloud che sgretolano i vecchi confini aziendali.

Ed è proprio l’IoT a destare le maggiori preoccupazioni: non esistono leggi che obbligano i produttori a garantire la sicurezza dei dispositivi venduti. Il loro obiettivo è infatti quello di vendere al minor prezzo per acquisire maggiori quote di mercato e non prestano particolare attenzione agli aspetti legati alla security. Torna così di moda l’avvertenza “usa a tuo rischio”” – ha aggiunto Zapparoli Manzoni.

Manca inoltre la consapevolezza per molte realtà aziendali di essere delle potenziali vittime. Troppi manager si chiedono ancora “perché dovrebbero attaccare la mia azienda?”. La risposta in realtà è molto semplice: il denaro. Chiunque può essere attaccato solo per il fatto di essere online e chi afferma di non aver subito mai nessun attacco probabilmente ne è stato vittima senza neppure rendersene conto. Secondo alcuni recenti studi infatti, qualsiasi organizzazione, indipendentemente dalla dimensione e dal settore nel quale opera, ha la ragionevole certezza che subirà un attacco informatico di entità significativa entro i prossimi 12 mesi. I criminali colpiscono infatti indistintamente per riuscire a guadagnare il maggior denaro possibile: basti pensare che con un attacco dal costo di 100 euro il ritorno sull’investimento (ROI) è dell’800% alla settimana. Si tratta dell’ “investimento” più remunerativo in assoluto e con il minor rischio possibile. Le diverse giurisdizioni fanno fatica ad incastrare i cybercriminali perché nei loro attacchi sfruttano “elementi” di Nazioni diverse (ad esempio router e server) che difficilmente riusciranno a realizzare indagini approfondite e a coordinarsi.

A questo si aggiunge una maggior abilità dei cybercriminali che operano come vere e proprie software house nelle quali ognuno ha un determinato ruolo e si specializza in una particolare pratica illecita. In alcuni Paesi queste organizzazioni criminali hanno addirittura un negozio con tanto di insegna poiché la legislazione non fa alcuna differenza tra software lecito e malevolo, permettendo così loro di operare tranquillamente alla luce del sole. Non solo: si va verso un’industrializzazione delle minacce che vengono realizzate e poi vendute nel deep web. Chiunque può acquistarle a poco prezzo ed utilizzarle anche senza possedere particolari competenze. Ma c’è di più: si assiste inoltre ad una crescente automazione degli attacchi; le macchine colpiscono in automatico e incessantemente i bersagli designati con un conseguente aumento delle vittime colpite.

Guardando le tecniche di attacco il 32% di esse risultano sconosciute (+45% rispetto al 2015); crescono fortemente il social Engeneering e i malware comuni (+116%) grazie all’avvento dei ransomware, così come gli attacchi DDoS (+13%) e le vulnerabilità 0-day (+333%). A livello globale la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, phishing, malware “semplice”) rappresenta il 56% del totale: questo dato è uno dei più allarmanti poiché rende evidente la facilità di azione dei cybercriminali e la possibilità di compiere attacchi con mezzi esigui e bassi costi.

Ma le aziende come si difendono?

Oltre alla bassa consapevolezza del pericolo esiste un’altra problematica: la sicurezza informatica è troppo spesso considerata come un mero costo, una voce di budget da dover tagliare in caso di necessità e non come un investimento usato per garantire l’efficiente proseguimento dell’attività aziendale.

“La Cybersecurity è un mercato in crescita, ma questo significa che le minacce andate a buon fine sono in aumento: troppo spesso le aziende corrono ai ripari solo dopo aver subito un attacco e non investono come strumento prevenzione. Inoltre l’aumento degli investimenti non cresce tanto velocemente quanto le minacce. In Italia la spesa per l’IT Security è di 1 miliardo di euro (meno quindi per la sola voce cybersecurity) a fronte di una spesa ICT di 66 miliardi che da sola genera il 30% del PIL italiano. Si spende quindi solo una cifra pari allo 0,05% del PIL nazionale per proteggere un sistema che garantisce oltre 700 miliardi di euro l’anno” ha aggiunto Zapparoli Manzoni.

Oltre ad un problema investimenti si riscontra anche un ulteriore fattore: non può essere studiata una strategia valida per tutti. Ogni settore ha differenti attaccanti che utilizzano tecniche di attacco diverse e con obiettivi diversi. Pertanto ogni azienda deve avere ben chiaro lo scenario cyber che deve affrontare e scegliere una strategia di difesa ad hoc e con sistemi integrati.

Si devono urgentemente trovare le risorse necessarie da investire in Cyber Security, portando questa spesa a livelli ragionevoli, ovvero commisurati alle minacce attuali, pena una crescente e significativa erosione dei benefici attesi dal processo di digitalizzazione della società oggi in atto”. ha spiegato Zapparoli Manzoni.

E i dati parlano chiaro: secondo un recente studio Allianz in Germania i danni causati dal cybercrime e del cyber spionage hanno provocato un danno pari all’1,6% del PIL. Cifre queste che non si distanziando da quanto avviene in Italia, dove anche poche percentuali non erose dal cybercrime possono aiutare il Paese ad uscire definitivamente dalla crisi e ridurre il gap con le atre nazioni dell’Unione europea.