Gestione sicurezza informatica

Rapporto Clusit: allarme cybersecurity

Nel 2022 il nostro Paese ha subito ben 188 attacchi diretti ad aziende ed enti di alto profilo, registrando un drammatico aumento del 169% rispetto all’anno precedente, ancora più allarmante se si considera che la media mondiale è del + 21%.

 

Contenuti nascondi
1 Gestione delle Emergenze Informatiche
2 Rapporto Clusit 2023: l'anno peggiore per la cybersecurity a livello globale
3 Come cambiano gli incidenti cyber a livello mondiale
4 Italia sotto attacco informatico
5 La gestione del rischio cyber nelle grandi organizzazioni italiane
6 La Cybersecurity nelle micro e piccole imprese italiane

 

Il Rapporto Clusit 2023 illustra la situazione drammatica che aziende, enti e individui stanno affrontando sul fronte della sicurezza informatica. Una situazione grave a livello mondiale che diventa critica osservando i dati italiani, con un +169% di attacchi nel 2022 rispetto al 2021, che obbliga soggetti pubblici e privati a correre ai ripari e a prendere iniziative sistemiche per mettere in sicurezza singoli, attività economiche e istituzioni.

 

Rapporto Clusit 2023: l'anno peggiore per la cybersecurity a livello globale

Già le prime righe del Rapporto Clusit 2023, che analizza lo stato della sicurezza informatica in Italia e nel mondo, non sono affatto incoraggianti: "I dati che leggerete non sono positivi. Soprattutto per l’Italia. Siamo al centro del fenomeno e non si intravede al momento una possibile inversione di tendenza."

Nel 2022 sono stati 2.489 incidenti gravi rilevati a livello globale. Anche questa volta il Rapporto Clusit lo classifica come l’anno peggiore da sempre per la cyber security, a certificare l'incremento costante degli attacchi. 440 gli attacchi in più rispetto al 2021, con una crescita a livello globale del 21%. La media mensile degli incidenti è stata 207, contro i 171 del 2021. I ricercatori Clusit affermano: "Negli ultimi cinque anni si è verificato un cambiamento sostanziale nei livelli globali di cyberinsicurezza mondiali al quale non è corrisposto un incremento adeguato delle contromisure adottate dai difensori. Dal 2018 al 2022 è stata rilevata una crescita degli attacchi pari al 60%; nello stesso periodo la media mensile di attacchi gravi a livello globale è passata da 130 a 207."

Il conflitto russo-ucraino si innesta dunque in un trend di crescita, andando ad aggravare la situazione attraverso le offensive informatiche utilizzate come strumento di guerra da parte di tutti i contendenti e in generale dai principali attori globali attraverso attività di cyber-intelligence, di cyber-warfare e di operazioni ibride. Secondo Clusit questo processo di rapida adozione e messa in campo di strumenti cyber-offensivi sofisticati sarà difficilmente reversibile, dunque in futuro potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma che si fa cogliere impreparato ad affrontare le minacce informatiche.

 

Come cambiano gli incidenti cyber a livello mondiale

Analizzando gli incidenti noti a livello globale, che sono stati rilevati nel 2022, emerge la netta prevalenza di attacchi con finalità di cybercrime, che sono stati oltre 2.000 a livello globale (82% del totale), con una crescita del 15% rispetto al 2021. Si tratta di attacchi con pesanti conseguenze economiche, dal momento che sono legati all'uso di ransomware, anch'essi in costante crescita negli ultimi cinque anni. In valore assoluto, gli attacchi riconducibili ad attività di spionaggio e sabotaggio (11% del totale), ad information warfare (4%) e ad azioni di attivismo (3% del totale) hanno raggiunto nel 2022 i loro massimi storici a livello mondiale. Analizzati poi in percentuale sul totale, scopriamo una crescita notevole di Information Warfare (110%) e Hacktivism (320%), principalmente a causa del conflitto europeo.

A livello mondiale le principali vittime risultano essere:

  • multiple targets (22%), campagne di attacco non mirate con effetti consistenti, con un aumento del 97% rispetto al 2021;
  • settore governativo e pubbliche amministrazioni (12%) che tra il 2018 e il 2022 ha visto un incremento complessivo del 25%;
  • sanità (12%), con valori in crescita percentuale del 16% rispetto al 2021;
  • industria informatica (11%);
  • settore scolastico e universitario (8%).

Analizzando i dati per settore economico, crescono gli attacchi al Finance (+40%) e Manufacturing, verso cui è stato rilevato un aumento costante degli attacchi, con gli attacchi che sono raddoppiati dal 2018 e con una crescita nel 2022 sul 2021 del 79%, probabilmente a causa della crescente diffusione dell’IoT e dalla tendenza verso l’interconnessione dei sistemi industriali, spesso non sufficientemente protetti. Crescono del 70% anche le vittime nel settore News e Multimedia. Una componente di questo aumento è da analizzare in relazione al conflitto in atto in Ucraina, per l'intensa attività di disinformazione, propaganda e disruption di media considerati nemici da colpire.


Italia sotto attacco informatico

Dall'analisi territoriale degli attacchi, si rileva che l’Europa abbia rappresentato nel 2022 quasi un quarto (24%) degli attacchi globali, con una crescita di 3 punti percentuali rispetto al 2021 e il raddoppio del dato rilevato cinque anni fa. In America nel suo complesso c'è una riduzione delle vittime pari al 7%, mentre gli attacchi rappresentano il 38% del totale. Diminuiscono gli attacchi in Asia (8%) e rimangono stabili quelli in Oceania e Africa rispettivamente il 2% e l’1% del totale.
La crescita degli incidenti in Europa è da collegare alle crescenti tensioni internazionali tra superpotenze e di un conflitto ad alta intensità combattuto ai confini del proprio territorio. Una questione che ha pesantemente coinvolto anche l'Italia: nel 2022 qui è andato a segno il 7,6% degli attacchi globali (contro il 3,4% del 2021).
Nel 2022, Clusit rileva 188 attacchi diretti ad aziende ed enti italiani di alto profilo, con l'impressionante aumento del 169% rispetto al dato già molto elevato del 2021, mentre la media mondiale si attesta al +21%. Questa crescita è da attribuire in larga parte a:

  • rafforzamento dell'attività dei criminali che mirano ad estorcere denaro alle aziende attaccate;
  • avvenimenti legati all'invasione dell'Ucraina da parte della Russia.

Analizzando i dati per tipologia di attacchi, nel 93% dei casi si rilevano motivazioni economiche, mentre soltanto il 7% riguarda il cyberattivismo. Ma quest'ultimo non aveva causato alcun attacco nel 2021, dunque visto da questa prospettiva l'incremento è considerevole e collegabile alla situazione geopolitica che si è andata a delineare nel 2022.
Tra i settori maggiormente colpiti in Italia troviamo Pubblica Amministrazione (20%) e manifatturiero (19%), mentre la sanità si attesta al 4,7%.
Quest'ultima in totale controtendenza rispetto al resto del mondo, in cui risulta essere il settore maggiormente colpito. La spiegazione, paradossalmente, potrebbe risiedere nell'intricata burocrazia italiana, che renderebbe vani i tentativi di pagamento dei riscatti per i ransomware.
Il principale vettore degli attacchi è rappresentato dai malware, con il 53% dei casi, tuttavia anche questa è una peculiarità rispetto ai dati a livello mondiale, in cui i malware si attestano al 37%. Al contrario phishing e ingegneria sociale, che colpiscono per il 19% nel mondo, in Italia non raggiungono la doppia cifra, fermandosi all'8%.
Passando alle conseguenze degli attacchi, l'80% di questi ha avuto un impatto elevato sulle aziende colpite. Nel 2022, 4 attacchi su 5 hanno infatti avuto un impatto alto o critico sull'azienda o l'ente colpito, mentre soltanto il 20% ha avuto conseguenze medie o basse.
La digitalizzazione infatti, pur portando grandi benefici alle aziende, le rende vulnerabile sul fronte dei rischi informatici, con gli attacchi che possono andare ad interrompere l'attività, con ripercussioni anche gravi.
Gabriele Faggioli, presidente Clusit, afferma: "In Italia c'è un problema di risorse: mancano le competenze professionali e gli investimenti non sono sufficienti. Spendiamo per la cybersecurity 1 miliardo e 850 milioni, è la metà di quanto investono Paesi come la Francia o la Germania. Bisogna cambiare strategia, unire le forze tra il pubblico e il privato, perché è cambiato anche il modo in cui agiscono i cybercriminali. E sono in aumento gli attacchi critici, quelli gravi, che rappresentano il 37%."

 

La gestione del rischio cyber nelle grandi organizzazioni italiane

Il Rapporto Clusit 2023, integra uno studio dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, che indaga i cambiamenti nell'ecosistema della gestione del rischio cyber da parte delle grandi organizzazioni italiane.
L’attenzione dei processi di gestione del rischio di queste aziende va concentrandosi sempre di più verso la difesa del sistema informatico dagli attacchi cyber.
Gestione che prevede di:

  • identificare e monitorare i possibili scenari di rischio;
  • valutare i potenziali impatti;
  • introdurre opportune azioni di mitigazione.

L’obiettivo è quello di indirizzare le scelte strategiche, gli investimenti e le attività quotidiane nel contrasto alle minacce esterne.

 

Rapporto Clusit 2023 - Gestione del rischio cyber nelle grandi organizzazioni italiane

 

Nel 2022, circa il 91% ha strutturato processi di monitoraggio del rischio cyber. Nonostante la percentuale sia sufficientemente alta, si evidenzia il permanere di un 9% di organizzazioni di grandi dimensioni che ancora trascura il problema, non monitorando il rischio cyber.
Inoltre solo il 49% delle aziende ha introdotto un approccio in cui il cyber risk viene gestito all’interno di un processo integrato di risk management aziendale, mentre la parte restante si limita a valutarlo come un rischio a sé stante, con attività attuate all’interno dell’IT o di un’altra funzione singola.
I risultati della ricerca non indicano una particolare crescita della maturità, che anzi, vive un momento di stagnazione ormai da diversi anni, il che appare molto grave alla luce del trend di crescita esponenziale degli attacchi.
Tuttavia si rileva che l'approccio di quantificazione finanziaria del rischio cyber sta vivendo un momento di forte attenzione poiché consente di sopperire alla difficoltà di comunicazione tra funzioni tecniche e funzioni di business. Tale attività si colloca, in maniera integrativa, all’interno della fase di valutazione del rischio: la costruzione di modelli di stima della probabilità si interfaccia con la quantificazione dei potenziali impatti di eventi di sicurezza in termini finanziari.
L'obiettivo è quello di produrre metriche di rischio finanziario, come la perdita attesa, ma anche indicatori che provano a misurare l’efficacia e l’efficienza delle scelte di sicurezza.
La valutazione finanziaria del rischio cyber è una prassi complessa, in un contesto estremamente tecnico. Questo porta a dedurre che l’introduzione possa avvenire in un’organizzazione già incline alla gestione del rischio: l’adozione di un framework di Information Security Risk Management, che includa le attività di identificazione, stima e valutazione del rischio, permette di abbracciare in maniera strutturale un approccio completo ed è certamente consigliabile.

 

La Cybersecurity nelle micro e piccole imprese italiane

Ulteriore approfondimento è quello dedicato a micro e piccole imprese italiane, a cura di CNA Milano e dell’Unione Artigiani Milano. Realtà che presentano le maggiori criticità per questioni legate a dimensioni e difficoltà organizzative, soprattutto se paragonate alle grandi realtà indagate nel paragrafo precedente. Emerge infatti che la gestione dell’IT delle aziende rispondenti è affidata prevalentemente a fornitori esterni (34%) o a personale occasionale (19%).
Nel 44% dei casi non esiste nessun responsabile aziendale in materia di Privacy e Cybersecurity, un dato preoccupante, sempre alla luce della crescita degli attacchi in particolare in Italia. Ma, se il 17% dispone almeno di un responsabile privacy, solo il 2% gestisce in autonomia le responsabilità in materia di Cybersecurity, a mostrare quanto ci sia ancora da fare in questo ambito. Sono solo un quarto (25%) le aziende virtuose che dispongono di entrambi i responsabili.

 

Rapporto Clusit 2023 - Responsabilità in materia di Privacy e Cybersecurity

 

La gestione delle funzioni di Cybersecurity è forse l’aspetto più preoccupante: per oltre due terzi dei rispondenti nessuno è dedicato a questo ambito in azienda. Il restante terzo è suddiviso tra team esterni con un coordinatore aziendale (14%), un team interno con fornitori saltuari (7%) ed un mix di entrambe le soluzioni (13%). Quando si parla si cyber attacchi, il 72% ritiene di non esserne stato soggetto (o non ne è consapevole). In totale meno di un terzo dei rispondenti ammette di aver subito un attacco.
Ma in caso di incidenti informatici circa due terzi di rispondenti si affiderebbero a fornitori esterni, mentre solo il 28% dispone di una procedura, scritta (16%) o informale (12%). Il 12% mostra addirittura di non avere ancora riflettuto sul tema.
Vista la natura degli attacchi informatici che più colpiscono le organizzazioni, la formazione in materia di privacy e cybersecurity diviene cruciale. Tuttavia solo l’11% delle aziende organizza sessioni di training per il personale che comprendano anche tematiche di Cybersecurity. Un ulteriore 11% organizza formazione in materia di privacy, mentre il 73% non se ne occupa affatto.
Vista la situazione drammatica delle piccole realtà, la ricerca si conclude con un accorato appello:
"Servirebbe probabilmente da parte del legislatore una spinta simile anche in ambito cybersecurity, che in qualche modo “forzasse” la maturazione di questa consapevolezza, agevolando la crescita di quel certo interesse che comunque le imprese denotano per il problema. In questo modo il tessuto produttivo nazionale e della UE potrebbe finalmente, anche se in grande ritardo, acquisire una maggiore robustezza e resilienza, a fronte di antagonisti che evolvono velocemente e non hanno scrupoli ad usare qualsiasi mezzo per impadronirsi di nostre risorse ed arricchirsi a nostro discapito. Il legislatore Europeo sta già intervenendo con effetti normativi che dovrebbero essere recepiti, nei prossimi anni, anche al nostro livello nazionale."

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI


    Informativa sul trattamento dei dati personali ai sensi del Regolamento UE 2016/679

    Ai sensi del Regolamento UE 2016/679 dichiaro di aver preso visione della Data Protection Policy di Assiteca S.p.A. e di tutte le Società del Gruppo in merito al trattamento dei dati personali.

    * Per attivare il pulsante di invio è necessario cliccare la presa visione dell'informativa.

     

     

     

    / Chiara Brambilla / Cyber Risk/ / 0 Commenti