Una rondine si è fatta vedere, adesso bisogna capire se è stato solo un caso o se effettivamente c'è la primavera in arrivo. È un po' questa la metaforica sintesi dei dati Clusit relativi allo scenario della cybersecurity italiana nel primo semestre 2024, dati in cui la rondine è la flessione nel numero di incidenti cyber registrati in Italia, mentre la primavera dovrebbe essere un miglioramento stabile nell'andamento degli eventi segnalati. Ma è presto per immaginarla, al momento possiamo solo essere (parzialmente) soddisfatti del fatto che i numeri della cybersecurity non seguono tutti, di semestre in semestre, un andamento negativo. "Non è ancora una inversione di tendenza - spiega Gabriele Faggioli, Presidente del Clusit - ma almeno vediamo un rallentamento del fenomeno".

Intendiamoci, le statistiche sul numero e sulla tipologia degli incidenti cyber catalogati dal Clusit - ossia resi pubblici, perché l'associazione si basa su fonti "open" - delineano comunque, e prevedibilmente, uno scenario in cui i "cattivi" sono sempre più attivi ed organizzati, capaci di colpire con sempre maggiore intensità le imprese e le PA. Ma dai segnali positivi, seppur deboli, vanno tratte indicazioni su come muoversi per rafforzare la resilienza cyber delle imprese.

Lo scenario globale

Nella prima metà del 2024 sono stati catalogati a livello mondiale 1.637 incidenti cyber, una cifra che rappresenta un incremento del 13% circa rispetto all'analogo periodo del 2023. Rispetto al 2019, anno da cui partono le rilevazioni, il numero degli incidenti per semestre è più che raddoppiato. Il cybercrime è causa della larga maggioranza (88% nel periodo considerato) degli incidenti riportati, lasciando nettamente distaccate le altre cause: hacktivism, spionaggio e sabotaggio, information warfare.

L'andamento degli incidenti cyber a livello mondiale

Questi dati però valgono fino a un certo punto, fa notare Sofia Scozzari, CD Clusit: le fonti degli attacchi vanno anche correlate alla gravità degli attacchi stessi. Facendo questo, si nota che la preponderanza del cybercrime è bilanciata dagli impatti contenuti (ma solo relativamente) dei suoi attacchi portati a termine: solo un terzo circa hanno una severità critica. Diverso è il caso di spionaggio/sabotaggio e information warfare, i cui attacchi sono in gran parte (oltre il 60%) di severità critica. Altro dato importante, e non positivo: bene che vada, oggi un incidente ha impatti come minimo di severità media. Il basso impatto non esiste praticamente più, probabilmente perché farebbe capo ad attacchi abbastanza semplici da essere bloccati.

In questi sei mesi del 2024, e sempre ragionando a livello globale, è cambiata la "geografia" dei settori più bersagliati. Per la prima volta l'Healthcare è il comparto più colpito, oggetto di quasi un incidente su 5. Un segnale da non sottovalutare perché le organizzazioni del mondo Sanità gestiscono informazioni ovviamente private e devono essere in grado di proteggere in particolare i dati personali sensibili dei pazienti. È anche un settore che deve sempre mantenere un livello elevato, se non totale, di operatività: il cybercrime sa come far leva su questi elementi e la cronaca degli incidenti lo ha dimostrato più volte.

Sempre più Europa

In confronto al primo semestre 2023 spicca anche la crescita nella percentuale degli incidenti cyber che hanno coinvolto aziende europee. Oggi è del 29%, seconda solo a quella delle Americhe (41%). Ma dato che l'Europa per estensione geografica e per popolazione è sensibilmente più piccola di tutto il continente americano, dal Canada alla Terra del Fuoco, e meno digitalizzata di una sua buona parte, questa percentuale significa che l'Europa è proporzionalmente più vulnerabile. Una constatazione che si evidenzia soprattutto negli incidenti riportati dalle organizzazioni governative. Nel 2023 l'Europa ha registrato il 35% di tali incidenti contro il 45% delle Americhe, nel primo semestre 2024 il rapporto si è ribaltato: 43% per l'Europa, 37% per le Americhe.

"L'impressione - spiega perltro Anna Vaccarelli, Dirigente Tecnologo dell’Istituto di Informatica e Telematica del CNR - è che il settore governativo sia più vulnerabile, per molti tipi di attacco, rispetto alle aziende, che nel tempo sono forse diventate più rapide a rispondere alle evoluzioni del panorama delle minacce cyber. Lo vediamo a grandi linee anche in Italia, dove gli attacchi alle organizzazioni pubbliche sono molto più impattanti rispetto alla media di quanto accade alle aziende".

La severità degli incidenti in funzione della tecnica di attacco, a livello globale

Si tratta comunque sempre di considerazioni qualitative, perché i numeri rilevati dal Clusit sono influenzati anche da elementi che non sono strettamente cyber. In primo luogo l'evoluzione delle normative: in Europa sempre più leggi impongono alle aziende ed agli enti di comunicare qualsiasi loro incidente cyber, mentre per altre zone del mondo queste informazioni non sono altrettanto disponibili. Parallelamente, c'è da considerare la geopolitica: avere un conflitto in atto sul territorio europeo ha inevitabilmente risvolti cyber.

Tecniche e tattiche

A livello di tecniche e tattiche degli incidenti analizzati, il malware resta stabilmente la forma di attacco preferita (il 34% degli incidenti censiti è malware-based) ed è anche quella che provoca i maggiori danni (quasi il 40% dei casi ha impatto critico), principalmente perché tra i vari possibili malware coinvolti è il ransomware - particolarmente distruttivo - a farla da padrone.

Lo sfruttamento delle vulnerabilità è la seconda tecnica di attacco per rilevanza (14%) tra quelle note, il che rimanda come sempre al problema del patching. Una applicazione più coscienziosa delle patch software potrebbe ridurre questa percentuale, perché le vulnerabilità sfruttate dagli attaccanti spesso sono note ed anche risolta. Ma - avvisa Sofia Scozzari - una quota resterà sempre, legata agli zero-day che gli attaccanti sembrano proprio riuscire a sfruttare molto meglio di quanto chi difende riesca a identificarli e risolverli.

Altri due dettagli importanti aiutano a delineare come sta cambiando il modus operandi degli attaccanti. Gli incidenti legati ad attacchi che adottano più di una tecnica restano percentualmente limitati ma sono sempre più seri in quanto a impatto sulle vittime. Non a caso, sono di solito incidenti causati dai gruppi mediamente più preparati e organizzati. Sono poi in flessione gli incidenti dovuti ad attacchi "multipli" per numero di bersagli, segno che i cyber criminali tendono a operare in modo più preciso e mirato, abbandonando la classica "pesca a strascico" e passando più spesso a operazioni progettate con particolare attenzione.

Italia in controtendenza

In questo scenario l'Italia appare, per una volta, in controtendenza: il numero di incidenti registrati per il primo semestre di quest'anno (124) è infatti inferiore a quello del primo semestre 2023 (132). Una rondine non fa primavera, o forse sì: è troppo presto per dirlo. Quello che certamente si può dire è che il peso percentuale dell'Italia sul totale degli incidenti a livello mondiale è ancora, come segnalato molte volte dal Clusit, sproporzionato. Nei primi sei mesi dell'anno il nostro Paese ha registrato il 7,6% degli incidenti totali catalogati in tutto il mondo, una quota decisamente superiore al peso economico, politico e sociale dell'Italia.

L'andamento degli incidenti registrati in Italia rispetto al resto del mondo

"Questo è il nostro margine di miglioramento", sintetizza Luca Bechelli, CS Clusit: le azioni che tanto il Governo quanto le singole imprese ed organizzazioni hanno intrapreso per difendersi dagli attacchi informatici stanno portando risultati, ma la maggioranza degli indicatori sottolinea che resta, ancora oggi, tantissimo da fare. Anche per come è strutturato il tessuto aziendale italiano.

Lo dimostra ad esempio una particolarità nostrana di questo primo semestre 2024. Se globalmente l'Healthcare è l'ambito che ha registrato più incidenti cyber, in Italia è il Manufacturing. E fa riflettere che al manifatturiero italiano faccia capo più di un quarto degli attacchi al Manufacturing in tutto il mondo: una anomalia dovuta probabilmente alla preponderanza delle PMI nel manifatturiero nazionale, un tipo di aziende che è intrinsecamente vulnerabile.

"Se le PMI non si organizzano, anche insieme fra loro, non avranno la forza di sostenere questa crescente pressione di attacco", fa notare Bechelli. Un avviso che parte dal Manufacturing ma che vale per qualsiasi altro settore. Come quelli nel mirino del cybercrime finanziario, che in Italia cuba poco per numero di incidenti segnalati ma solo perché le vittime in campo business sono principalmente proprio le piccole imprese, che non segnalano (abbastanza) i loro incidenti cyber.

Anomalie italiane

L'Italia resta una nazione un po' anomala anche per quanto riguarda la tipologia degli attacchi che hanno portato agli incidenti catalogati. Innanzitutto per gli attaccanti: solo cybercrime a hacktivismo, senza alcuna presenza di spionaggio/sabotaggio e information warfare. È improbabile che sia davvero così, è più probabile che certi tipi di incidenti non vengano affatto segnalati come dovrebbero. Questo spiegherebbe in paeticolare perché dopo l'onnipresente malware (il 51% degli incidenti fa capo ad esso), la seconda causa di incidente cyber in Italia è l'attacco DDoS (al 27%), che è lo strumento classico dell'hacktivismo.

La distribuzione degli incidenti in Italia per settore di mercato

Anche la distribuzione della severità degli impatti degli incidenti registrati in Italia si presta a una doppia lettura. Sembra migliore della media globale, perché è minore la quota percentuale degli incidenti di gravità critica (8% contro 31%), ma per il Clusit i numeri italiani sono sbilanciati da una quota di incidenti con gravita media o bassa che in altre nazioni semplicemente non ci sarebbero perché bloccati sul nascere. Qui pesa anche il ruolo importante che in Italia ha avuto l'hacktivismo, il quale porta molti attacchi ma con effetti limitati.

Tirando le somme, i segnali del Clusit per questo primo semestre 2024 non sono poi tanto migliori del solito. Meglio, molto meglio, mantenersi prudenti e non guardare troppo a quella flessione nel numero di incidenti cyber registrati. "Certo oggi in Italia - spiega Gabriele Faggioli - c'è molta più attenzione alla cybersecurity. Si è fatto molto e qualche effetto iniziamo a vederlo, però l'Italia ha ancora un gap molto importante nei confronti di altre nazioni più digitalmente evolute". È anche banalmente una questione di spesa: l'Italia dedica alla cybersecurity una quota del PIL inferiore a quella delle altre nazioni di riferimento, che oltretutto hanno un PIL maggiore. Colmare quel gap è a questo punto, prima di tutto, una questione di approccio.