Attacchi più diffusi e più pericolosi: il fenomeno della criminalità digitale continua a dilagare a livello mondiale colpendo con sempre maggiore frequenza e gravità non solo cittadini privati ma anche imprese e Governi. Le cause sono molteplici e vanno dal contesto internazionale alla elaborazione di tecniche di attacco sempre più evolute da parte degli hacker. L’Italia si sta trovando particolarmente esposta a questo fenomeno criminale come dimostra l’aumento, oltre la media, del numero degli attacchi e la diffusione di nuove forme di intrusione e violazione dei sistemi informatici. Tra i settori più colpiti figura il comparto finanziario, dove la diffusione del ‘fintech’ ha favorito la creazione di una molteplicità di attori ‘tecnologicamente orientati’ ma spesso privi dei necessari strumenti di difesa rispetto agli attacchi cyber. In crescita, in Italia, si segnalano anche gli attacchi contro la PA e le imprese del settore manifatturiero che hanno assorbito il 40% del totale degli attacchi cyber registrati nel primo semestre del 2023.
Cybercrime in crescita nel 2023 e l’Italia si ritrova nel mirino
Nel 2023 il fenomeno cybercrime non solo non ha rallentato il passo ma ha accelerato la sua diffusione e pericolosità, sia in Italia che a livello globale. È l’indicazione più rilevante che emerge dal rapporto 2023 pubblicato dalla Clusit, l’associazione italiana per la sicurezza informatica. Anzi, osservando la situazione dal punto di vista quantitativo, negli ultimi 5 anni la situazione è nettamente peggiorata. Confrontando il numero di attacchi rilevati nel primo semestre 2018 con quelli del 2023 la crescita è stata dell’86% (da 745 a 1.382). Anche sposando un’ottica qualitativa, che prende in considerazione la severità degli attacchi, non si può certo dire che la situazione sia rosea. Nello stesso periodo, infatti, la media mensile di attacchi gravi è passata da 124 a 230 (quasi 8 al giorno).
Il fenomeno del cybercrime a livello globale
Tra gennaio 2018 e giugno 2023 si sono verificati un totale di 11.015 cyber attacchi a livello globale. Nel primo semestre dell’anno sono stati registrati 1.382 cyber attacchi, il numero maggiore di sempre. Il picco massimo si è registrato ad aprile, con 262 attacchi. Esaminando i dati per tipologia, si osserva come il cybercrime sia in leggera flessione rispetto al 2021 (82% contro 86% del totale). Il calo percentuale del cybercrime è andato principalmente a “vantaggio” dell’Information warfare che ha raggiunto il 4%, tornando ai valori del 2018, dopo aver subito una leggera decrescita dal 2019 al 2021 (2 punti percentuali.). Infine, l’azione di spionaggio/sabotaggio ha perso un punto percentuale rispetto al 2021, dopo aver raggiunto il massimo del 14% nel 2020. Nel primo semestre 2023, il cybercrime ha assorbito l’84% degli attacchi mentre le altre categorie (spionaggio e information warfare) si segnalano in calo, a parte un picco di azioni di hacktivism, passate dal 3 all’8 per cento.
I settori più colpiti
Secondo i dati del rapporto nel primo semestre dell’anno gli attacchi si sono rivolti principalmente verso la categoria ‘Multiple Targets’ (20% degli eventi totali). Seguono Healthcare (14,5%), l’ambito Governativo/Militare/Law Enforcement (11,7%), ICT (11,4%), Financial/Insurance (10,5%) e Education (7,1%). Nell’insieme questi 6 settori rappresentano oltre il 75% degli incidenti globali classificati nei primi sei mesi dell’anno. Il confronto con gli anni precedenti mostra variazioni limitate rispetto al 2022. Diminuiscono leggermente gli attacchi verso i Multiple targets (-2 punti percentuali rispetto all’anno precedente): un segno che, per quanto gli attacchi di “a strascico” che puntano a colpire il maggior numero di vittime contemporaneamente siano sempre convenienti, la tendenza emergente è che le azioni criminali stanno diventando più mirate. Meno colpito anche il settore News/Multimedia (3% degli incidenti totali nel primo semestre 2023, -2%), che negli anni precedenti era stato particolarmente preso di mira anche a causa di numerose azioni di propaganda e disinformazione da imputare al conflitto in Ucraina. Aumentano invece gli attacchi verso i settori sanitario, finanziario e Education (+2%), tre ambiti che per la loro strategicità si dimostrano sempre convenienti dal punto di vista dei cybercriminali.
La distribuzione geografica degli attacchi
La lettura dei dati nell’ottica della distribuzione geografica percentuale delle vittime restituisce indirettamente la fotografia di come stia variando la digitalizzazione nel mondo e quanto sostanzialmente nessuno si possa più considerare al riparo dalle minacce della Cyber Security. È bene tuttavia sottolineare che per alcuni continenti come (Oceania e Africa) le informazioni sulle violazioni informatiche siano certamente limitate e quindi non rappresentative della situazione reale. Le Americhe nel loro complesso tornano ai valori 2021 dopo essere diminuite nel 2022 di 7 punti percentuali. Diminuiscono nettamente gli attacchi verso vittime in località multiple (-5%): un ulteriore segnale che nel 2023 i trend mostrino una preferenza verso azioni più mirate. Scende di poco avvicinandosi ai valori 2021 l’Europa, che resta comunque teatro di oltre un quinto delle violazioni globali. Restano invece sostanzialmente invariate le altre zone del mondo. Uno zoom sui dati dei primi sei mesi del 2023, confermano la preponderanza percentuale di vittime in America nel 2022 (46,5%), contro Europa al 22% e Asia all’8%. Quasi un quarto degli attacchi è avvenuto parallelamente verso bersagli posti in diversi Paesi (21,7%), oltre a Oceania (1,3%) e Africa (0,4%).
Le tecniche di attacco più diffuse
Nel primo semestre 2023 la tecnica di attacco che mostra numeri assoluti maggiori è ancora una volta “Malware”, che sia pure in leggera flessione (-1,3%), rappresenta il 35,7% del totale. Le tecniche sconosciute (categoria “Unknown”) sono al secondo posto con il 21%, con una diminuzione di 3 punti percentuali rispetto al 2022, superando la categoria “Vulnerabilità” (che cresce però del 4,8%) e “Phishing/Social Engineering” (in diminuzione del 3,4%), mentre le “Tecniche Multiple” rappresentano l’8% del totale (scendendo dell’1,4%). In concomitanza con l’aumento di attività riferibili ad Hacktivism e information Warfare, gli attacchi DDoS, pur pochi in valori assoluti, crescono del 3,8%, mentre rimangono stabili quelli realizzati tramite “Identity Theft/Account Hacking” (+0,3%). Osservando i dati relativi ai primi sei mesi del 2023, è necessario considerare che in numeri assoluti gli attacchi rilevati sono quasi raddoppiati. Ad esempio, per quanto riguarda il Malware, anche se in percentuale la categoria è diminuita di 8 punti rispetto al 2019, in valori assoluti il loro numero è aumentato del 34%. La stessa considerazione vale per tutte le categorie di tecniche di attacco.
Gli attacchi sono diventati sempre più pericolosi
L’analisi della gravità degli attacchi si pone come obiettivo la valutazione degli impatti degli incidenti, sia per quanto riguarda le ripercussioni tecnologiche che quelle economiche, legali e reputazionali. Negli ultimi tre anni si è instaurata una tendenza preoccupante che ha visto prevalere in maniera consistente gli attacchi con conseguenze ‘critiche’, ovvero che hanno causato danni importanti per le vittime, come ingenti perdite economiche, elevate quantità di dati sottratti o il blocco delle operazioni, mentre gli attacchi a basso impatto tendono a scomparire. Anche nel primo semestre dello scorso anno gli attacchi con impatti gravi o gravissimi sono la stragrande maggioranza (78,5% nel primo semestre del 2023 a fronte dell’80% nel 2022). Gli incidenti con impatti medi sono solo un quinto, mentre spariscono quasi del tutto quelli con impatti bassi. L’analisi degli impatti ha senso anche rapportata alla tipologia degli attaccanti. Il cybercrime, che normalmente è preponderante rispetto alle altre tipologie, nel 2023 ha impatti superiori rispetto all’anno precedente.
Ma l’aspetto più interessante emerge relativamente agli attacchi perpetrati con finalità di spionaggio o cyber warfare che mostrano impatti critici in misura notevolmente maggiore. E il confronto con l’anno precedente mostra che la tendenza è decisamente in aumento. Analizzando i dati sulla severità degli attacchi in relazione ai bersagli emerge chiaramente che non tutte le tipologie di vittime vengono colpite nello stesso modo. La categoria governativa/militare è quella che viene infatti impattata in misura maggiore: una tendenza già evidenziata nel 2022 e che è rimasta costante. In crescita anche gli impatti verso il settore Healthcare, che resta un bersaglio conveniente sia per attacchi a sfondo economico che per arrecare danni ai servizi fondamentali della società. Seguono ICT, Financial/Insurance, Education, Professional/Scientific/Technical, News/Multimedia e Wholesale/Retail. Diminuiscono invece gli impatti verso il settore manufatturiero che, sebbene negli ultimi anni sia stato particolarmente attenzionato, viene quanto meno colpito in maniera meno severa rispetto al 2022.
Il fenomeno cybercriminale in Italia
Per quanto riguarda la situazione italiana, il rapporto Clusit evidenzia, nel primo semestre del 2023, una sostanziale conferma dello scenario negativo emerso nel 2022. Nel periodo che va dal gennaio 2018 a giugno 2023, sono stati censiti 505 attacchi noti di particolare gravità che hanno coinvolto realtà italiane, di cui ben 132 (il 26%) si sono verificati solo nei primi 6 mesi del 2023. La media mensile – dopo aver registrato nei primi anni di analisi un valore abbastanza contenuto – è passata da 15,7 attacchi al mese rilevati nel 2022 a ben 22 attacchi al mese nel primo semestre 2023. Questo tasso di crescita è uno dei principali elementi di preoccupazione per il nostro paese: in tutto il 2022 erano stati rilevati 188 attacchi, che costituivano già un record negativo per l’Italia, segnando una crescita del 169%, quando a livello mondiale si registrava una (già grave) impennata del 21% anno su anno. Il primo semestre 2023 ha segnato una riduzione della crescita degli attacchi a livello globale, che torna ad attestarsi all’11%, poco sopra al trend anno su anno registrato dal 2019 al 2021. In Italia, al contrario, nel I semestre 2023 si è registrata una crescita del 40%, quasi 4 volte superiore al dato globale, analogamente a quanto avvenuto nel 2021.
Se da un certo punto di vista si potrebbe asserire che stiamo osservando un miglioramento rispetto al 2022, in realtà, dal 2019 a oggi, la crescita percentuale anno su anno in Italia è sempre stata maggiormente sostenuta rispetto al resto del mondo, passando da 3,2 volte la crescita mondiale 2019 su 2018, a 5 volte nel 2021, ben 8 volte tanto il ritmo di crescita nel mondo nel 2022, per tornare a 3,7 volte del I semestre 2023. È in conseguenza di tale ritmo di crescita che l’incidenza dei dati italiani ha assunto valori preoccupanti sul campione complessivo mondiale: già nel 2022 il dato italiano rappresentava il 7,6% del totale degli attacchi considerati a livello globale, mentre nei primi 6 mesi del 2023 gli attacchi in Italia rappresentano il 9,6% di quelli censiti nel periodo.
Mentre a livello mondiale dal 2019 al I semestre 2023 gli incidenti sono aumentati del 61,5%, in Italia la crescita complessiva raggiunge il 300%. Questa incidenza preoccupante dell’Italia è confermata anche da report nazionali e internazionali. Dalla Ricerca 2022 dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano emerge che il 67% delle grandi imprese ha subito un aumento dei tentativi di attacco rispetto all’anno precedente e che il 14% delle grandi imprese dichiara di aver subito attacchi con conseguenze concrete.
La tipologia degli attacchi in Italia, 2 su 3 sono riconducibili al cybercrime
Come accade a livello globale, la maggioranza degli attacchi noti in Italia si riferisce alla categoria “Cybercrime”, che rappresenta il 69% del totale, con una quota in significativo calo rispetto all’anno precedente. Sebbene il peso percentuale del Cybercrime stia diminuendo (nel 2022 costituiva il 93,1% degli attacchi), è bene però tenere presente che in termini assoluti gli attacchi sembrano invece mantenere un tasso di incessante crescita, con 91 incidenti rilevati in Italia solo nei primi 6 mesi del 2023. Crescono invece in modo decisamente rilevante gli attacchi classificati come “Hacktivism”, che in questo semestre si attestano al 30% (nel 2022 costituivano il 6,9% degli attacchi). In Italia, gli incidenti afferenti a questa tipologia costituiscono una quota molto superiore rispetto a quella globale (pari al 7,7%): oltre il 37% del totale degli attacchi con finalità “Hacktivism” è avvenuto nei confronti di organizzazioni italiane.
Si moltiplicano quindi gli attacchi dimostrativi, molto spesso perpetrati con finalità politica, ai danni di enti o aziende del nostro Paese. Analizzando nello specifico gli eventi registrati, emerge la correlazione con azioni legate alla situazione geopolitica, con particolare riferimento al conflitto in Ucraina, nei quali gruppi di attivisti agiscono mediante campagne rivolte tanto al nostro Paese che alle altre nazioni del blocco filo-ucraino. “Sebbene sia più che possibile un legame con il governo Russo (o più in esteso, con Paesi che stanno mantenendo una posizione ambigua nel conflitto in corso), non vi sono prove certe per classificare queste azioni come state-sponsored attacks, pertanto come è possibile vedere, non risultano azioni afferenti alla categoria Information Warfare”, si legge nel rapporto. Completa il campione l’1% di attacchi nella categoria “Espionage/Sabotage”: per entità e numerosità, in Italia è la prima volta che si ritrovavano incidenti in questa categoria dal 2020.
Gli attacchi per tipologia di target, il settore finanziario nel mirino
Guardando alla distribuzione delle vittime, ancora una volta la categoria per cui si rileva un maggior numero di attacchi è “Government” (23% del totale), seguita a breve distanza da “Manufacturing” (17%). La ripartizione è significativamente diversa rispetto a quella del campione a livello mondiale, in cui le due categorie raccolgono rispettivamente il 12% e il 5% degli attacchi (ricoprendo la terza e la settima posizione). Gli incidenti rivolti al “Manufacturing” rilevati in Italia, in particolare, rappresentano il 34% del totale degli attacchi censiti a livello globale nei confronti di questo settore. Il settore che registra il maggiore incremento di incidenti gravi rilevati è “Financial/Insurance”, che balza al quarto posto, con il 9% di attacchi (era il 3,7% nel 2022). Il numero di attacchi rivolti a vittime in questo ambito nei primi 6 mesi dell’anno supera il totale degli attacchi avvenuti in tutto il 2022.
Analizzando gli attacchi, uno dei fattori che incide maggiormente su questo trend negativo è la comparsa di un numero sempre più elevato di attori (ad esempio le cosiddette fintech) e il ricorso sempre più ampio all’esternalizzazione di processi e servizi bancari e assicurativi, che rendono questo mercato sempre più frammentato e vulnerabile ad azioni non più rivolte alle organizzazioni più blasonate, che per entità di investimenti e competenze sarebbero probabilmente meno vulnerabili. Se questo andamento fosse confermato anche per il secondo semestre 2023 (al momento non abbiamo ancora i dati), il tasso di crescita annuo sarebbe del 243%. Significativo anche l’aumento riscontrato dalla categoria “Multiple Targets”, che passa dal 10,6% del 2022 al 16,7% del primo semestre 2023; tale aumento è in controtendenza rispetto al resto del mondo, che vede una riduzione dal 22% del 2022 al 20% nel I semestre 2023. Si tratta di attacchi non mirati che in Italia sono ancora oggi causa di incidenti con effetti consistenti, sebbene l’incidenza nel nostro Paese sia meno rilevante che nel resto del mondo (al 20% del totale delle tipologie di vittime). Anche in questo caso se l’andamento fosse confermato anche per il secondo semestre 2023, la crescita sarebbe del 120%. Aumentano, sebbene in maniera più contenuta, anche le quote dei settori “Transportation/Storage” e “Gov/Mil/Le”, mentre diminuisce leggermente il peso percentuale di “Manufacturing” e “ICT” (sebbene, in entrambi i casi, gli attacchi in valore assoluto risultino in aumento).
In Italia è il malware la tecnica di attacco più utilizzata
Rispetto a quanto rilevato nel 2022, il malware (e in questa categoria il cosiddetto ransomware) ha continuato a rappresentare la principale tecnica di attacco utilizzata dai criminali (31%), ma in modo molto meno consistente (era pari al 53% nel 2022) e di 4 punti percentuali inferiore al dato globale. In crescita anche gli attacchi DDoS, che sono passati dal 4% del 2022 al 30% del primo semestre 2023, una quota 5 volte superiore. Aumenta anche il dato degli attacchi di tipo phishing e ingegneria sociale, che – diversamente da quanto rilevato nel 2022 – in Italia risultano incidere in maniera maggiore rispetto al resto del mondo (14% vs 8,6% globale), indice di una forte necessità di sensibilizzazione e aumento della consapevolezza rispetto alle minacce cyber da parte degli utenti che hanno quotidianamente a che fare con i sistemi informatici. Diminuisce la percentuale di incidenti basati su vulnerabilità note (4% vs 6% nel 2022), mentre compare una quota, seppur contenuta, di “web based attack” (1,5%).
In Italia attacchi con effetti meno gravi che a livello globale
Per quanto riguarda, infine, la criticità degli attacchi, nel primo semestre 2023 la pericolosità è risultata meno grave in Italia che a livello globale. Gli incidenti di tipo “Critical” si sono fermati al 20% (a fronte del 40% globale), mentre la quota maggiore di attacchi fa riferimento ad un livello di severità “Alta” (48% in Italia contro il 38% globale) e “Medium” (30% in Italia a fronte del 21% globale). Completa il quadro un 2% di incidenti con criticità bassa. In termini di severity, il quadro italiano nei primi 6 mesi del 2023 appare quindi più roseo rispetto al dato globale, con un numero minore di attacchi con severità massima.
Riflessioni finali
Tuti i dati più recenti e aggiornati dimostrano chiaramente che la cybersicurezza sta diventando un problema cruciale per le imprese e la Pubblica Amministrazione. La diffusione di modalità di attacco sempre più sofisticate e distruttive, la loro crescente ramificazione in settori sempre più ampi della vita sociale rende evidente quanto sia diventato necessario disporre, a livello pubblico e privato, di strutture dedicate alla difesa dei sistemi informatici. Allo stesso modo emerge con chiarezza la necessità di sviluppare canali di formazione e reclutamento altamente professionalizzanti in grado di formare personale tecnico qualificato a rispondere alle sollecitazioni di un fenomeno in grado di minacciare la sicurezza di cittadini, imprese e amministrazioni pubbliche