L’annuale Internet Security Threat Report (ISTR) di Symantec fotografa e analizza le attuali minacce per la sicurezza sulla base dei trend emergenti, delle attività 2015 (codice dannoso, phishing e spam) e dei dati di telemetria raccolti dal servizio “Global Intelligence Network”. PMI.it ne ha parlato con Antonio Forzieri, Cyber Security Practice Lead, EMEA di Symantec, per capirne l’impatto e identificare le azioni prioritarie, così da non farsi trovare impreparati (non ragionando nei termini “se succederà” ma “quando succederà”).
=> Sicurezza informatica: rischi, sfide e opportunità
Cyber crime
I dati raccolti e analizzati riguardano grandi imprese e PMI. Un campione vasto, che costituisce un osservatorio privilegiato. L’aumento delle detection farebbe pensare a una minore efficacia degli attacchi, ma il dubbio è che molti di questi non siano stati in realtà scoperti. In questo caso, concentrandosi solo sul Cyber crime, si può dedurre come siano aumentati gli attacchi ma anche la capacità di detection: ciò è bene, ma non si deve abbassare la guardia perché i malware si presentano evoluti in forma criptocifrata e, dato il loro successo di revenue, alimentano le aspettative e il “business” del black market.
=> Framework Nazionale per la Cybersecurity
Scenario
Le stime per l’Italia evidenziano performance abbastanza positive, in leggera flessione al 13° posto per numero di minacce rilevate a livello globale, in salita di una posizione rispetto al 2014. Le grandi company, che sanno di essere un target investono, intercettano e fermano molti attacchi; le piccole aziende investono meno e si accorgono meno di essere sotto attacco. Lavorando sul campo, tuttavia, ci si rende conto della cronica mancanza di backup e patching aggiornati, policy sulle password, formazione e awareness per i dipendenti: la principale vulnerabilità risieda nel “fattore umano”.
Gli attacchi mirati si concentrano per il 57,4% sulle aziende di maggiori con più di 1500 dipendenti, PMI e medie aziende fanno registrare il 25% circa. Sono colpiti soprattutto i settori della produzione e del commercio al dettaglio. Le APT (Advanced Persistent Threat) aumentano, ormai alla portata di attaccanti “minori”. Sono diffuse ma lo sembrano meno perché i danni sono meno evidenti, a volte non sono individuate e, quando lo sono, addirittura non partono le denunce.
Le nostre aziende sono particolarmente interessate dal fenomeno ransomware, categoria in cui l’Italia è sesta al mondo con oltre 336mila casi rilevati, più del doppio del 2014. Dilagato in parte per la trascuratezza umana ma anche perché i criminali vi hanno investito, facendolo evolvere alla versione con cifratura, allargando la linea di attacco e sistematizzando l’offerta con la rete dei cattivi, il servizio di “call center” per il pagamento del riscatto sui dati. Da un prototipo hanno trovato la killer application e il business model per monetizzare.
La criminalità organizzata utilizza lo strumento cyber per operare nel business tradizionale, ad esempio sabotando gli scada correlati ai container per scaricarli in favore dello smercio internazionale di droga, ma è indiscusso il minor rischio e la maggior redditività delle campagne di riciclaggio mediante malware.
Anche i bot, grave rischio per la sicurezza, riguardano in particolar modo l’Italia, quinta al mondo per questa minaccia. Anche se le truffe sui social media sono numerose e la condivisione manuale è il tipo prevalente, le offerte contraffatte costituiscono più del 25% di questo tipo di minacce, una proporzione superiore rispetto agli altri paesi europei.
=> Industria 4.0 e Cyber security aziendale
Contromisure
Alcune minacce non evidenziano sintomi evidenti, se non eventualmente crash inattesi o rallentamenti eccessivi che potrebbero far sorgere qualche lecito dubbio sull’integrità di un sistema. Si deve comunque ragionare su quali siano i sistemi IT abilitanti per il business, monitorarli e proteggerli. Dopo una prima valutazione delle priorità e del budget per la sicurezza, sulla base di una valutazione del rischio, si implementano contromisure opportune per poi ricorrere a un cyber-insurance, ma il mercato deve svilupparsi meglio. Il problema è popolare una matrice che abbia per ascissa il numero di attacchi e per ordinata quello delle compromissioni, ma al momento i valori sono sostanzialmente “unknown/ unknown” poiché manca uno storico univoco, una valutazione adeguata del danno o la probabilità affidabile di un attacco. Tutte queste variabili sono volatili dal punto di vista delle assicurazioni, quindi i prodotti sul mercato sono ancora “timidi”.
In generale, istituzioni, aziende e utenti beneficerebbero di una seria politica pluriennale di investimenti. Non solo risorse economiche ma anche formazione in tema di protezione