Clusit, l’Italia nel mirino degli hacker

Secondo Clusit, l’Associazione italiana per la sicurezza informatica, sul nostro Paese si concentra l’11% degli attacchi cyber di tutto il pianeta. Particolarmente colpiti sono gli enti governativi e le imprese industriali.

L’analisi degli attacchi informatici, da un report di Clusit, mostra che l’Italia è sempre più nel mirino degli hacker.

di Riccardo Oldani

Nel 2023, l’11% di tutti i cyberattacchi rilevati a livello globale ha preso di mira l’Italia. Una percentuale che lascia a bocca aperta. A indicarla è Clusit, l’Associazione italiana per la sicurezza informatica, nel suo Rapporto 2024 sulla Sicurezza ICT in Italia, pubblicato a marzo 2024. “I rischi cyber”, si legge nello studio, “hanno ormai assunto una natura esistenziale, ed è urgente adeguare al nuovo scenario le misure di prevenzione e protezione a tutti i livelli (pubblica amministrazione, aziende pubbliche e private), onde evitare di subire danni inevitabilmente crescenti”.

L’INDUSTRIA SOTTO ATTACCO

Sono anni, a dir la verità, che le imprese italiane vengono messe in guardia su una minaccia che si fa sempre più insidiosa. I dati raccolti dal Clusit nell’ultimo quinquennio mostrano un’escalation quasi esponenziale degli attacchi informatici a livello globale, che sono cresciuti soprattutto in due settori: quello dell’healthcare, come ospedali, ambulatori, laboratori di analisi, che ha visto un incremento del 30% degli episodi, e il manifatturiero, preso di mira nel 2023 con una frequenza superiore di almeno il 25% rispetto al 2022. Dal 2019 gli attacchi mirati sull’industria sono passati dal 2% al 6% di quelli totali nel mondo.

Ma in Italia le cose stano ancora peggio. Nel nostro Paese, infatti, gli attacchi al manifatturiero sono il 13% del totale, più del doppio a livello percentuale rispetto alla media globale. “Un quarto del totale degli attacchi rivolti al ‘manufacturing’ a livello globale riguarda realtà italiane”, osserva Clusit nel suo rapporto. Quale sia il numero di imprese coinvolte sfugge a un conteggio preciso. L’indagine dell’associazione si basa sugli incidenti gravi e si limita infatti alle fonti pubbliche, con la conseguenza, si legge nella prefazione del documento, “che la fotografia è pur sempre parziale rispetto al fenomeno nella sua interezza”. Ma che l’aumento di incidenti gravi sia impressionante è comunque confermato indirettamente dalla quantità di casi di cui si sente parlare continuamente sui media.

Le fabbriche connesse sono soggette ad attacchi cyber che sfruttano le vulnerabilità e le peculiarità dei sistemi OT. Nuove normative, come la NIS2 e il Regolamento Macchine, impongono che nei sistemi di automazione sia prevista una security intrinseca “by design”.

UNA SFIDA TECNOLOGICA

I dati del rapporto, osserva l’associazione, “definiscono un quadro preoccupante della capacità di protezione sia delle organizzazioni pubbliche sia delle imprese: è evidente che le tecniche di difesa introdotte non sono all’altezza di quelle degli attaccanti, e che la presenza di vulnerabilità rende questi obiettivi particolarmente appetibili”.

La tendenza, tra l’altro, rischia di peggiorare nel prossimo futuro, mette in guardia sempre Clusit: “Le tecniche di attacco sono sempre più sofisticate, anche grazie all’utilizzo dell’intelligenza artificiale, ed è necessario che anche le contromisure adottate dalle organizzazioni si adeguino al livello tecnologico degli attaccanti”.

Un passo necessario sarà, per esempio, rivoluzionare i cosiddetti SOC–Security Operation Center, strutture che i fornitori di servizi di cybersecurity mettono a disposizione della loro clientela e che si basano sulla competenza e l’attività di analisti preparati, in grado di definire le strategie di risposta a eventuali attacchi che abbiano bypassato le protezioni “ordinarie”.

Principali differenze tra sistemi IT e sistemi OT in ottica di cybersecurity.

Gli attacchi sostenuti da intelligenza artificiale generano un altissimo numero di allarmi che, spiega Umberto Pirovano di Palo Alto Networks in un suo capitolo nel rapporto Clusit, “genera inevitabilmente un sovraccarico di lavoro sugli analisti. Pertanto, alcune minacce non vengono affrontate e i tempi di reazione rimangono discordanti dai tempi medi di esfiltrazione di dati da parte degli attaccanti. I risultati sono prevedibili: alert fatigue, indagini lente e aggressori che si celano in rete per mesi”. Anche i SOC devono quindi sempre di più dotarsi di soluzioni per automatizzare i controlli di routine, facendo leva su intelligenza artificiale e machine learning, in modo da consentire agli analisti di lavorare su incidenti urgenti e ad alto impatto, “mentre la piattaforma sottostante guida automaticamente il SOC verso risultati sicuri, imparando da ciascuno degli eventi valutati fino a fornire informazioni e raccomandazioni efficaci”.

La crescita dei cyberattacchi in Italia dal 2019 al 2023 secondo il Rapporto 2024 sulla Sicurezza ICT in Italia del Clusit (marzo 2024).

LE DIFFERENZE TRA IT E OT

Nel mondo industriale, sottolineano molti esperti, occorre fronteggiare i cyberattacchi sia alla parte informatica delle aziende, quella IT, sia alla parte produttiva, l’OT. Ma IT e OT sono molto diversi tra loro in termini di hardware impiegato, software, sistemi operativi, linguaggi e funzioni. Fino a qualche tempo fa i sistemi per la produzione erano del tutto separati dalla rete informatica aziendale, senza connessioni verso l’esterno, isolati da possibili attacchi. Ora le cose sono profondamente cambiate, e questo comporta anche l’adozione di misure ad hoc per la parte produttiva. Gli attacchi cyber alle strutture produttive, tra l’altro, possono comportare danni anche ben più gravi rispetto a quelli che colpiscono l’IT, perché possono portare addirittura alla distruzione di infrastrutture e apparecchiature, a danni fisici alle persone e a interruzioni di lunga durata di servizi indispensabili per l’industria e per i cittadini. Un esempio sono gli attacchi alle infrastrutture per la distribuzione elettrica, che si sono moltiplicati negli ultimi tempi per effetto dell’attività di organizzazioni di hacker connesse alla Russia nello sviluppo di nuovi malware specifici. Un interessante documento intitolato “Cybersecurity delle Operational Technologies (OT): minacce e contromisure” è stato sviluppato sul tema dal docente dell’Università Campus Biomedico di Roma Roberto Setola, diffuso come inserto alla pubblicazione “La Comunicazione” (anno 2023, volume 67) della direzione generale per le tecnologie delle comunicazioni e la sicurezza informatica del ministero delle Imprese e del Made in Italy.

I settori italiani più colpiti dal cybercrime. Strutture governative e industria sono ai primi due posti, rispettivamente con il 19% e il 13% degli attacchi totali. Rapporto 2024 sulla Sicurezza ICT in Italia, Clusit (marzo 2024).

SECURITY BY DESIGN

Gli attacchi cyber alle infrastrutture OT possono anche modificare i parametri di lavorazione o di movimentazione degli assi delle macchine, determinando un reale rischio fisico per gli operatori. Ecco perché norme tecniche come la NIS2 (Network and Information Security Directive), entrata in vigore il 17 ottobre, richiedono l’introduzione di sistemi di cybersicurezza “by design”, cioè a partire dalla progettazione di un sistema. Questo vale anche per il nuovo Regolamento Macchine, che sarà attivo del 20 gennaio 2027. Il principio fatto proprio da queste normative è che le logiche di sicurezza informatica devono diventare parte dei processi di progettazione e sviluppo di prodotti e macchinari, ed estendersi anche ai prodotti di terze parte acquisiti di fornitori.

Il rapporto Clusit si sofferma in particolare sugli impatti che la catena di fornitura può generare in tema di cybersecurity. Componenti elettronici contenenti parti di software già compromesse da virus informatici possono essere infatti particolarmente difficili da individuare o essere connesse da manutentori e tecnici esterni. Un tema che, sottolineano gli estensori del rapporto, “diventa particolarmente rilevante nel mondo manufatturiero, o dovunque siano presenti sistemi OT/IT, spesso bersagli semplici per attacchi come i DDoS o utilizzando le connessioni utilizzate dai manutentori”.

L’evoluzione dei cyberattacchi in Italia nei primi 10 settori target. Il Clusit conteggia in questa statistica solo gli eventi principali, che hanno avuto una eco mediatica. Rapporto 2024 sulla Sicurezza ICT in Italia, Clusit (marzo 2024).