In occasione della presentazione del rapporto Clusit, gli esperti si sono soffermati sulle implicazioni della cyber war tra Russia e Ucraina. Manzoni: “Gli attacchi potranno durare anche in una fase successiva a quella della guerra sul campo”
E’ stata presentata l’edizione 2022 del rapporto Clusit, lo studio annuale della associazione di sicurezza italiana che fotografa la situazione degli incidenti informatici. Il 2021 è stato l’ennesimo anno in cui si è verificato un incremento degli attacchi sia per quantità che per qualità, circa 2.049, per una media mensile di 171 attacchi. In particolare, gli attacchi gravi nel mondo hanno fatto registrare un +10% rispetto al 2020.
A margine della conferenza in cui è stato illustrato il rapporto, Andrea Zapparoli Manzoni, membro del Comitato Direttivo Clusit, ha parlato della cyber war che si sta muovendo parallelamente alla guerra vera e propria in Ucraina. Manzoni ha sottolineato che in questi ambiti più critici le operazioni sono tipicamente pianificate in termini di mesi, con attacchi lenti, persistenti e tipicamente non pesanti verso infrastrutture critiche per evitare una risposta altrettanto violenta e mirata con ripercussioni gravi fra le parti. Piuttosto è altamente probabile, a suo parere, che gli attacchi in corso potranno continuare anche dopo il cessate il fuoco delle armi cinetiche.
Claudio Telmon del Comitato Direttivo Clusit, ha sottolineato la necessità di attenersi alle azioni suggerite dal CSIRT, il Computer Security Incident Response Team italiano, per incrementare preventivamente il livello di sicurezza di istituzioni e aziende. “La Russia è un paese in guerra e, qualora decidesse di agire contro il nostro Paese, lo farebbe senza dubbio nella stessa ottica di guerra. – ha detto Telmon – L’Europa e la NATO stanno agendo prima di tutto attraverso le sanzioni e quello della cyber war sarà certamente uno dei fronti su cui la Russia potrà cercare di aumentare la tensione”. A proposito dei rischi per le aziende italiane Telmon ha detto: “Il rischio è che vengano utilizzate, ad esempio, vulnerabilità non ancora diffuse (0-day), che esporrebbero non tanto le infrastrutture critiche più mature, quanto quelle non ancora strutturate per affrontare questi problemi. Per questo, Clusit ribadisce che è fondamentale che imprese ed istituzioni italiane seguano con attenzione le indicazioni che vengono tempestivamente fornite dal CSIRT nazionale. Grazie al continuo coordinamento con attori a livello europeo ed internazionale, il Computer Security Incident Response Team italiano dispone infatti di informazioni essenziali, a cui altre fonti potrebbero non avere accesso. L’innalzamento dei livelli di allerta è una prassi fondamentale in momenti di tensione come quelli che stiamo vivendo, e ha l’obiettivo di suggerire alle organizzazioni azioni per per risolvere vulnerabilità o individuare con sufficiente celerità eventuali attacchi, per evitare che possano determinare conseguenze gravi. Il consiglio di Clusit è sempre di dare seguito alle azioni suggerite per incrementare preventivamente il livello di sicurezza e non, come spesso accade, solo dopo che l’impatto si è verificato“.
I dati del rapporto e l’interpretazione degli esperti Clusit
Tornando al rapporto sono emersi i dati più interessanti degli attacchi del 2021. Il campione analizzato dal Clusit è basato unicamente su attacchi di dominio pubblico o resi noti pubblicamente dalle stesse vittime mediante comunicati stampa, motivo per cui gli stessi esperti del Clusit segnalano alcuni fenomeni come potenzialmente sottorappresentati (specialmente le componenti di attacco legate ad operazioni da parte di Stati normalmente svolte in modalità silenzionsa e invisibile).
La classificazione degli attacchi include la valutazione dei livelli di impatto dei singoli incidenti, considerando ripercussioni di immagine, economici, sociali e di tipo geopolitico.
La distribuzione geografica vede ancora la prevalenza di vittime nel suolo americano per il 45% (in calo del 2% rispetto al 2020) ma sono cresciuti gli attacchi verso l’Europa, che superano un quinto del totale (21%, +5% rispetto all’anno precedente), e verso l’Asia (12%, +2% rispetto al 2020). Resta sostanzialmente invariata la situazione degli attacchi verso Oceania (2%) e Africa (1%).
Dallo studio emerge che il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dello scorso anno. In dettaglio, il 32% è stato caratterizzato da una severity “critica” e il 47% “alta”.
A fronte di queste percentuali, sono diminuiti invece gli attacchi di impatto “medio” (-13%) e “basso” (-17%).
Quanto costano i cyber attacchi
L’entità in termini di danni economici stimati per il 2021 è pari a 6 trilioni di dollari (da 1 trilione di dollari stimato per il 2020)[1]. “Si tratta di una crescita drammatica, con un tasso di peggioramento annuale a 2 cifre, per un valore già pari a 4 volte il PIL italiano”, commenta Andrea Zapparoli Manzoni, membro del Comitato Direttivo Clusit che aggiunge anche come i tassi di aumento della severità sono significativi perché di solito il cybercrime “resta sotto traccia” per ottenere soldi a quanti più vittime è possibile. Quindi tipicamente potevamo osservare singoli attacchi poco gravi, ma diffusi. Sul 2021 abbiamo notato invece che la maggior parte attacchi è di gravità alta e critica, di tipo mirato e di natura cybercriminale”. Gabriele Faggioli Presidente del Clusit, premettendo che con la questione Ucraina il panorama della minaccia cambierà ancora, rinforza l’osservazione di Andrea Zapparoli Manzoni sulla natura maggiormente focalizzata degli attacchi, come ad indicare quanto un attacco mirato sia più efficace, rispetto a tanti attacchi trasversali e generalisti.
Al primo posto obiettivi militari
A proposito dei bersagli precisi il rapporto evidenzia al primo posto l’obiettivo governativo/militare, con il 15% degli attacchi totali, in crescita del 3% rispetto all’anno precedente; segue il settore informatica, colpito nel 14% dei casi e stabile rispetto al 2020; gli obiettivi multipli (13%, in discesa dell’8%) e la sanità, che rappresenta il 13% del totale degli obiettivi colpiti, in crescita del 2% rispetto ai dodici mesi precedenti. L’8% del totale degli attacchi è stato rivolto nel 2021 al settore dell’istruzione, che rimane sostanzialmente stabile rispetto al 2020 (-1%).
Motivazioni degli attaccanti
Gli esperti del Clusit ipotizzano che il motivo degli attaccanti sia quello di guadagnare di più e più velocemente piuttosto che avere un lasso di tempo di attesa più lungo. In particolare Alessio Pennasilico, che per illustrare le logiche criminali usa spesso l’esempio della azienda criminale che deve “fatturare”, spiega che l’aumento di severity degli attacchi e la maggior focalizzazione sono legati alla “massimizzazione di utili e ricavi” e che quindi gli sforzi si specializzano per accrescere efficacia ed efficienza; ma a suo parere “diversificano il business” proprio perchè con l’e-crime, finanziano altri tipi di attività criminali e con i proventi rifinanziano nuove campagne di attacco in un ciclo continuo. Sofia Scozzari motiva il fenomeno spiegando che “l’aspetto più preoccupante è che, i criminali oggi collaborano attivamente tra loro, consolidando cartelli di servizi criminali identificabili, per esempio, come ‘Ransomware as a Service’. Significa che chi utilizza il ransomware non è più necessariamente chi lo ha progettato, né un esperto di sistemi come ci aspetteremmo da un ‘tradizionale’ cyber criminale. Pensiamo che si tratti a questo punto di vera e propria criminalità organizzata, che ha capito quanto i crimini cyber possono essere remunerativi”.
Evoluzioni potenziali della minaccia
Oltre a queste evidenze e motivazioni non è possibile secondo gli esperti fare ipotesi ulteriori secondo cui gli attacchi di Cybercrime possano essere usati per scopi di finanziamento della componente Cyberwarfare, infowar e espionage perché le aree sono considerate storicamente separate. Tuttavia, l’evoluzione del conflitto russo-ucraino potrebbe portare a risvolti inattesi di cui inevitabilmente potranno essere visti gli effetti solo a distanza di mesi da oggi.