La sicurezza informatica non esiste. Ma le aziende fingono di non saperlo

A fronte di crescenti investimenti in sicurezza informatica (saliti globalmente dell’8% nel 2014), il numero e la gravità degli attacchi sono in continuo aumento: si stima che 2/3 degli incidenti non vengano nemmeno rilevati dalle vittime. I dati aggiornati e i trend nell'ultimo rapporto del Clusit

 

Come interpretare il fatto che in Italia i danni complessivi derivanti da attacchi informatici (stimati nell'ordine di diversi miliardi di euro, inclusi i costi di ripristino) siano ormai pari alla somma delle perdite dovute a crash dell’hardware, del software ed alla perdita di alimentazione elettrica?

A chiederselo sono le aziende che, ritenendo la questione un problema privato, cercano di risolvere vulnerabilità e ammanchi con estrema discrezione. Il grosso problema è che così non si condivide l'esperienza, c'è poca letteratura e la risoluzione degli errori non diventa un bagaglio di conoscenza condivisa e condivisibile. Insomma: nell'era della collaboration, dal punto di vista della governance questo atteggiamento protezionista e conservativo della sicurezza sta dimostrando tutti i suoi limiti.

La sicurezza è fatta di visioni e di azioni

Di fatto a parlare pubblicamente e in maniera diffusa di sicurezza sono soprattutto i vendor, gli analisti e gli esperti che, cercano di fare evangelizzazione sull'argomento attraverso rilevamenti, dati e numeri finalizzati a mappare le modalità degli attacchi e le tipologie di impatto. In Italia, a lavorare attivamente in questo senso sono gli esperti del Clusit, l'Associazione italiana per la sicurezza informatica, i cui esperti hanno contribuito recentemente a stilare la settima edizione di un rapporto che offre aggiornamenti significativi in materia di cybercrime e hacktivism. "La nostra civiltà tecnologica si è digitalizzata in tempi rapidissimi - ha spiegato Gabriele Faggioli, presidente Clusit e partner P4I -, in modo tumultuoso e disordinato, riponendo una fiducia sempre maggiore nei computer, in Internet, nei device mobili e negli innumerevoli servizi resi disponibili per loro tramite. Tutto questo, senza comprenderne le criticità e senza farsi carico di gestire in modo adeguato gli inevitabili rischi. Cittadini, aziende, istituzioni, Governi devono capire che il rischio teorico di essere colpiti da un attacco informatico di un qualsiasi genere è diventato nel breve-medio termine una certezza".

Tre decenni di gestione IT sotto attacco

In Italia, dei 3.677 attacchi di pubblico dominio che costituiscono il database di incidenti rilevati negli ultimi 4 anni, solo nel 2014 sono stati rilevati 873 episodi classificati come gravi il che, tradotto, significa che sono state coinvolte in maniera significativa un quarto delle aziende che hanno rilevato l'attacco. Come sanno gli addetti al settore, infatti, alla frazione vanno ad aggiungersi tutte le aziende che per motivi legali e politici non fanno outing, preferendo non divulgare pubblicamente di aver subito un attacco.

Infine andrebbe conteggiato l'immerso, costituito da tutte quelle organizzazioni che non sanno di aver subito un attacco a livello di data center. Il cybercrime, infatti, ha imparato ad agire in modo subdolo e nascosto: l'analisi delle vulnerabilità viene fatto scandagliando tutta l'architettura aziendale, mappando ogni singolo comportamento degli utenti interni ed esterni, identificando e profilando gli accessi, scardinando le protezioni per operare nelle backdoor e agire nell'ombra. È il caso dello spionaggio industriale o delle attività di Information Warfare, compiuti nell’arco di periodi piuttosto lunghi e dunque, sempre che diventino di dominio pubblico, possono diventare evidenti solo dopo qualche anno di distanza, rispetto all'innesco del malware.

I dati raccolti dagli analisti del Clusit pongono la questione sotto una luce diversa: difendere dati, infrastrutture informatiche e tutti quei servizi, molti dei quali critici, realizzati tramite l’ICT non è una pratica ma un obbligo perché, in estrema sintesi, la sicurezza, non esiste e non esisterà mai.

La strategia corretta e orientata al massimo pragmatismo oggi è quella di chiedersi quando si subirà un attacco informatico, quali saranno le conseguenze più o meno dannose e in che modo gestire l'onda lunga degli impatti conseguenti che arrivano sempre più spesso dal Web.

Cresce soprattutto il cybercrime

Secondo l'ultimo rapporto del Clusit nel corso del 2014 c'è stata una diminuzione degli attacchi gravi con finalità dimostrative, tipici dell’Hacktivism, mentre sono cresciuti gli attacchi con finalità criminali. Sostanzialmente stabili, invece, gli attacchi (quantomeno quelli noti) legati ad attività di spionaggio, mentre sono aumentati quelli realizzati in supporto ad attività militari e paramilitari.

I settori più a colpiti nel mondo? Governo e intelligence militare (24%), seguita da un generico Altro (20%) in cui gli analisti accorpano una vastissima gamma di realtà di business, che indicano come il cybercrime attacchi in modo veramente indifferenziato qualsiasi settore. Il 12% del panel rientra invece nella categoria dei servizi on line e cloud, mentre il 9% del cluster fa riferimento alla categoria Entertainment. Un dato significativo rispetto alla diversificazione degli attacchi è la crescita delle minacce nel settore Sanità, cresciuto in percentuale maggiore rispetto agli altri settori.

La fotografia della "insicurezza" italiana

Gabriele Faggioli - MIP Politecnico di Milano

Gli analisti sottolineano come, all’interno del database CLUSIT, solo 10 attacchi del 2014 si riferiscono in modo ufficiale a bersagli italiani, con un rapporto che rappresenta poco più dell’1% del totale mondiale. Un accurato lavoro integrato, che ha incluso diverse ricerche incrociate sui dispositivi fissi e mobili usati dentro e fuori all'azienda, mostra come, a fronte di questi numeri apparentemente esigui, l’Italia si posizioni invece ai primi posti nel mondo per diffusione di malware. Il 39% delle aziende italiane intervistate nel 2014 dal Ponemon Institute, ad esempio, dichiara di aver subito almeno un attacco informatico andato a buon fine nei 12 mesi precedenti.

Ancora, il Microsoft Security Intelligence Report nel primo trimestre del 2014 riporta per l’Italia un tasso di esposizione a malware del 20%, contro una media mondiale del 19% e una percentuale addirittura doppia di infezioni da Password Stealers e Monitoring Tools rispetto agli Paesi). Considerato che Stati Uniti, Inghilterra e Francia registrano valori compresi tra il 12 e il 13%, è chiaro che l'Italia vive un grosso problema di esposizione ai malware.

I settori di business più colpiti nel nostro Paese? Le Forze dell'Ordine al primo posto, seguite dall'universo del Fashion e, al terzo posto, le aziende che operano nell'ampio cluster dello Sport e del Fitness.

zoom

"I livelli allarmanti di in-sicurezza informatica non rappresentano dunque solo una tassa sull’innovazione - conclude Faggioli - ma sono già oggi diventati una minaccia esistenziale per ogni genere di organizzazione, a tutti i livelli: per il professionista che vede tutti i suoi dati criptati da un ransomware, per la PMI che scopre (magari con mesi o anni di ritardo) di essere stata derubata del proprio know-how, per la PA che si ritrova nell’impossibilità di offrire servizi essenziali ai cittadini, per la grande impresa che subisce un danno economico importante a seguito di un attacco DDoS o al furto di milioni di dati personali dei propri clienti".