Cybercrime: in Italia in un anno danni per 9 miliardi

Tra i tanti settori della digital economy che procedono spediti con il segno più, ce n'è uno in particolare che macina incrementi - di attività e di fatturati - più degli altri: il cybercrime. Solo per quanto riguarda l'Italia, i danni da attacchi informatici di vario tipo nel 2014 si aggirano intorno a un corrispettivo di 9 miliardi di euro. Questo, nonostante gli investimenti di aziende ed enti pubblici in sicurezza informatica siano cresciuti, lo scorso anno, dell'8% rispetto all'anno precedente.

«In questa fase storica la superficie di attacco complessivamente esposta dalla nostra civiltà digitale cresce più velocemente della nostra capacità di proteggerla. Questo nonostante anche nel nostro Paese il tema della “sicurezza cibernetica” sia diventato mainstream, non solo a livello istituzionale (con la predisposizione nel 2013 di un Quadro Strategico Nazionale e di documenti programmatici apprezzati in tutto il mondo), ma anche presso il grande pubblico, tanto che notizie relative ai più eclatanti attacchi informatici sono ormai regolarmente pubblicate da ogni testata giornalistica. Insomma: i difensori non riescono ad essere abbastanza efficaci». Parole e cifre che sono state tratte dall'ultimo Rapporto appena pubblicato dal Clusit, l'associazione italiana per la sicurezza informatica, che da quattro anni monitora l'andamento delle violazioni informatiche e lo stato di "difesa" degli utenti (il report può essere richiesto gratuitamente qui).

Lo scenario generale è preoccupante. In pratica, essere colpiti da un cyber criminale non è un'eccezione, ma l'eccezione sarebbe non subire effrazioni all'interno della propria rete dati. In uno studio condotto su 1.600 aziende appartenenti a 20 diversi settori merceologici, infatti, la percentuale di organizzazioni compromesse è stata superiore al 90%, con alcuni particolari settori - Legal, Healthcare e Pharma, Retail - che hanno avuto un tasso di compromissione del 100%. In due casi su tre la vittima nemmeno si accorge di essere stata hackerata, in quanto non subisce danni riscontrabili. Ma la penetrazione all'interno del proprio sistema c'è stata. E, come sanno anche i principianti del settore, se qualcuno ci è entrato una volta, lo può fare quando gli pare. «Alla luce di queste statistiche», osservano i ricercatori del Clusit, «la vera questione per i difensori, con riferimento alla sicurezza dei dati, delle infrastrutture informatiche e di tutti quei servizi, molti dei quali critici, oggi realizzati tramite l’Ict, non è più “se”, ma “quando” si subirà un attacco informatico dalle conseguenze più o meno dannose, e quali saranno gli impatti conseguenti».

Oltre a essere cresciuto in quantità, il cybercrime ha anche alzato il livello della posta. Non più solo truffe, ma un'attività sempre più orientata al terrorismo di sistema. Nel 2014 gli attacchi in supporto ad attività militari, paramilitari e terroristiche sono aumentati a livello globale del 68%, mentre cala l'hacktivism, cioè gli attacchi per attivismo politico. Un quarto degli attacchi nel mondo colpisce i Governi per rubare informazioni di rilevanza strategica o anche semplicemente per "defacciare" o bloccare siti istituzionali. I servizi cloud, le banche, la sanità (settore che ha subìto un incremento di attacchi del 190% rispetto al 2013), fanno registrare il maggiore tasso di crescita nel numero e nella gravità degli attacchi. Nel 2014 è inoltre entrato prepotentemente nel mirino dei cybercriminali anche il settore retail: la grande distribuzione organizzata, le catene di punti vendita in franchising e i siti di e-commerce hanno infatti registrato globalmente perdite ingentissime»

I numeri fanno impressione: crescono a tre cifre gli attacchi che riguardano i settori automotive (+400%), grande distribuzione (+ 400%), telecomunicazioni (+ 125%) e la categoria “informazione ed entertainment”: siti e testate online, piattaforme di gaming e di blogging (+ 179%). Per la prima volta i servizi cloud mostrano quest’anno una crescita degli incidenti di oltre il 50%, a dimostrazione di quanto ormai gli attacchi gravi siano mirati contro tutte le tipologie di servizi erogati via Internet.

Com'è possibile che le scorribande dei pirati del web continuino così indisturbate, e i "difensori" siano così in affanno? Come sottolinea Gabriele Faggioli, Presidente del Clusit, «purtroppo siamo ancora ben lontani dalla consapevolezza che l’adozione di comportamenti e contromisure adeguati alla mitigazione delle crescenti minacce “cyber” è elemento imprescindibile se si vuole tutelare la nostra pubblica amministrazione, le nostre imprese, i professionisti, i cittadini e, quindi, la nostra società e il nostro ordinamento. A fronte comunque di importanti sforzi da parte delle Forze dell’Ordine di tutto il mondo», continua Faggioli, «si sono ottenuti risultati poco significativi nel contrasto al cybercrime e al cyber espionage, è mancata una strategia ampia di contrasto al fenomeno e ciò nonostante l’aumento dei rischi e delle minacce». Anche perché manca un coordinamento che renda efficace il contrattacco: «Purtroppo non esiste, almeno allo stato attuale delle cose, un organismo o autorità, nazionale o sovranazionale, avente il compito di raccogliere sistematicamente le segnalazioni degli incidenti occorsi a imprese e organizzazioni; né tantomeno vige l’obbligo generalizzato, per chi subisce un incidente, di segnalarlo. Il legislatore europeo ha attualmente imposto tale tipo di segnalazione (tecnicamente detta “data breach notification”) solo per alcuni incidenti specifici legati al mondo dei fornitori di servizi di telecomunicazione, anche se si vorrebbe estendere un obbligo analogo anche ad altri settori».

Mentre "i buoni" insomma perdono tempo prezioso disperdendo le energie e le conoscenze anziché fare fronte comune, ecco che - continua il Rapporto Clusit - «i malintenzionati (indipendentemente dalla loro natura e dai loro scopi), attirati da sostanziosi guadagni (economici e non) sono aumentati di numero, si sono organizzati e hanno a disposizione strumenti sempre più sofisticati, che possono adattare e sostituire al bisogno con stupefacente rapidità, acquistandoli a costi mediamente irrisori in un immenso mercato underground di prodotti e servizi cyber criminali che ha tutte le caratteristiche di un’industria high-tech di prim’ordine, con l’aggravante che questa particolare industria gode del “vantaggio competitivo” di essere totalmente non regolamentata e di non essere soggetta ad alcun tipo di limitazione (salvo il contrasto delle Forze dell’Ordine).

Inoltre va sottolineato che i criminali si avvalgono ormai da anni di strumenti totalmente automatizzati, in grado di colpire milioni di sistemi in poche ore, il che consente loro di cambiare tattiche e strategie in tempo reale e di operare senza interruzione da qualsiasi punto del pianeta».

Il cybercrimine ha un vantaggio competitivo enorme e in più ha un rapporto costi-benefici che nessuna azienda impegnata sul fronte della difesa si può permettere. «Il problema infatti non è meramente tecnologico», continua il Clusit. «La ragione principale per cui gli attaccanti hanno la meglio è economica, e risiede nella crescente asimmetria tra i differenti “modelli di business”. Guardiamo quello che succede a livello mondiale: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopportato dai difensori (ancora legati ad un modello reattivo, e dunque incapaci di anticipare le mosse degli avversari) è di milioni di dollari. A titolo di esempio il malware BlackPOS, in vendita per 1.800 dollari nel mercato underground, che contiene ben otto componenti “riciclate” e già note da anni, nel 2014 (considerando due soli attacchi) ha causato danni accertati per 62 milioni di dollari a HomeDepot, e per 148 milioni a Target».

Letta in questo modo, pare una disfatta. Una sfida del tutto impari, che rischia di portare alla rassegnazione. I ricercatori del Clusit usano un'altra parola, che ha una sfumatura interessante: cyber resilience. Ovvero, consapevoli del fatto che dall'attacco non si può scampare, imparare almeno a essere abbastanza duttili e preparati per assorbirne i danni. «La parola d’ordine del 2015 è “prepararsi all’impatto”«, dice il Report, «adottando logiche di cyber resilience, ciascun soggetto in base alle proprie esigenze e capacità ma nell’ambito di una regia istituzionale forte, e poi predisponendo un modello di rischio “cyber” accurato, costantemente aggiornato, stimando le perdite potenziali tramite lo studio di un certo numero di scenari realistici per determinare correttamente gli investimenti necessari».