Urge strategia di difesa strutturata

“Conosci il nemico e te stesso e potrai combattere cento battaglie senza timore di essere sconfitto”.

È una delle frasi più famose tratte da l’Arte della guerra, il più antico trattato militare del mondo risalente al VI secolo ma può essere perfettamente adattata al rapporto che oggi l’umanità ha con il crimine informatico. Questo, ultimamente, ha dichiarato una vera e propria guerra alle aziende, alle amministrazioni e alle organizzazioni di ogni genere e ogni misura. Una guerra mondiale ma nella quale l’Italia conquista il podio di vittima sacrificale.

La preoccupante notizia è stata riportata da Clusit, l’Associazione Italiana per la Sicurezza informatica, che ha presentato proprio ieri, 14 marzo, l’atteso report annuale sugli incidenti di sicurezza più significativi avvenuti a livello globale nel 2022.

Così, mentre nel mondo gli attacchi sono aumentati del 21% rispetto al 2021, in Italia è stato registrato un incremento del 169%, un dato che, sulla torta della distribuzione di tutte le azioni malevole a livello mondiale le fa occupare il 7,6%.   

Dati che certo non possono passare inosservati e che, oltre a mettere in serio allarme manager e dirigenti, dovrebbe puntare i riflettori sulla scarsa capacità di difesa, come ha confermato Alessio Pennasilico, membro del comitato scientifico e coautore del Report, secondo il quale

“gli attacchi nel nostro paese vengono compiuti con tecniche quasi sempre standardizzate, ormai frutto dell’industria del cybercrime che è la matrice prevalente delle attività malevole. Questo conferma come l’aumento degli attacchi in Italia sia con-causato da forti limiti nella capacità di difesa delle vittime”.
Pare però che su questo fronte gli italiani siano in buona compagnia.

I ricercatori, infatti, che hanno definito la situazione attuale nel mondo, una “guerra cibernetica diffusa”, hanno spiegato che il conflitto tra Russia e Ucraina ha ulteriormente incrementato il numero degli attacchi, soprattutto diretti alle infrastrutture critiche, ai quali non è corrisposto un aumento né un rafforzamento delle contromisure, in quanto molti paesi sono impreparati ad affrontare questo tipo di minacce.

A livello globale, sono stati rilevati 2.489 attacchi gravi nel 2022 (con un aumento del 21% rispetto al 2021) con una media mensile di 207.
In Italia sono andati a segno 188 attacchi, l’83% dei quali di gravità elevata o critica. Inoltre c’è da dire che i dati reali sono sicuramente peggiori, in quanto molte vittime non comunicano le violazioni subite. Infatti, nonostante l’esistenza di normative ormai consolidate, come il Regolamento Gdpr e la Direttiva NIS in Europa, ora in fase di adozione con la NIS 2, Dora o il Cyber Resiliency Act, la tendenza delle vittime è ancora quella di mantenere riservati gli attacchi cyber subiti.

Le tecniche più diffuse nel mondo sono malware (53% in Italia), phishing, ingegneria sociale e DDoS. Quest’ultima ha fatto registrare un incremento del 258% rispetto al 2021.

Il dato del 7,6% degli attacchi globali subìti dal nostro paese è stato messo in rapporto con lo 0,75% della popolazione italiana nel mondo e il 2,2%, del Pil italiano rispetto a quello globale. Un’analisi che denota quanto la spesa in cybersecurity, nonostante sia cresciuta, non può ancora essere definita sufficiente.

Relativamente ai settori presi di mira dai cybercriminali, se a livello mondiale le principali vittime tornano a essere i Multiple Targets (22%), in Italia nel 2022 i settori più attaccati sono stati quello governativo, con il 20% degli attacchi, seguito a brevissima distanza dal comparto manifatturiero (19%), che rappresenta il 27% del totale degli attacchi censiti nel settore livello globale.

La causa dello sbilanciamento su questo settore secondo Alessio Pennasilico, è che “Nel manifatturiero spesso c’è maggior propensione a pagare i riscatti per limitare potenziali danni gravi”. Insomma, per i pirati questo settore rappresenta una battaglia quasi sempre vinta in partenza. Probabilmente chi gestisce le aziende non ha letto l’antico manuale scritto da Sun Tzu, mentre gli hacker evidentemente lo conoscono molto bene.

Il principio fondante del testo, che naturalmente è una metafora della vita, si basa sul fatto che per essere certi di vincere una guerra bisogna assicurarsi la vittoria ancora prima di iniziare a combattere. Un obiettivo, secondo l’autore, Sun Tzu, che si può raggiungere solo studiando i punti di forza e di debolezza dell’avversario, mantenendo la consapevolezza dei propri limiti ma anche la fiducia nella propria forza e sorprendendo continuamente il nemico. Un altro aspetto di importanza determinante è il controllo delle informazioni perché, proprio grazie alla conoscenza, il destino della battaglia può davvero essere scritto prima che lo scontro cominci.

Il punto è che in questi tempi nessuno che abbia a cuore la salute della propria organizzazione dovrebbe sottovalutare né le minacce né le strategie di difesa. Anzi, un’importante fetta di risorse dovrebbe proprio essere dedicata, in modo strutturale e non sulla scia delle emergenze, a rafforzare il sistema immunitario dell’azienda. Le azioni da mettere in campo sono molte ma tra le più importanti c’è sicuramente una formazione di qualità. Solo conoscendo il nemico meglio di quanto lui conosca le sue vittime (e le conosce molto bene!) è possibile evitare disastri. Anche perché, come in tutte le battaglie l’anello debole della catena sta proprio nel fattore umano. Non solo, se tutto il personale di un’organizzazione è adeguatamente formato e mantiene aggiornato il suo training, non ci sarà neanche bisogno di parlare di “difesa” perché “l’attacco” non ci sarà più. Diventerà un lontano ricordo di quando gli hacker facevano tanta paura.