Il rapporto Clusit 2023 è inequivocabile: l’Italia è nel mirino, con il 7,6% di tutti gli attacchi informatici globali rivolti contro le proprie infrastrutture IT. L’aumento stimato su base annua è di 50 punti percentuali (nel 2021, il dato si attestava su 3,4%).
Allarme che si rispecchia anche nel poco confortante 527% di incremento su base quadriennale (periodo 2018-2022).
In termini pratici, si parla di 188 attacchi informatici noti e di particolare gravità solo nel 2022, contro i “soli” 30 registrati nell’intero 2018. Confrontando le percentuali di crescita degli ultimi 4 anni, si nota come queste si siano affermate sul 21,5% su scala globale, contro una media nazionale del 168,6%.
Insomma: il Bel Paese è nell’occhio del ciclone. Ma per quali ragioni?
Skill gap, mancanza di consapevolezza o di risorse: ecco alcune delle lacune che rendono l’Italia un Paese altamente vulnerabile.

Per comprendere meglio i rischi che corre la tua impresa e avere chiaro il percorso necessario a renderla sicura, partecipa al nostro Workshop gratuito! CLICCA QUI per saperne di più!

Partiamo da un assunto: l’Italia è tra i Paesi europei che risente in maniera più marcata della mancanza di competenze digitali, soprattutto in ambito cybersecurity.

Il Digital Index PMI di The European House – Ambrosetti evidenzia come le piccole-medie imprese italiane possiedano la percentuale più bassa a livello europeo di specialisti ICT (12%, contro il 18% UE).

Stando a quanto affermano media e Agenzia per la Cybersicurezza Nazionale (ACN), se a livello globale in ambito cybersecurity si stimano 3,4 milioni di posti mancanti, solo in Italia si necessiterebbe di circa 100.000 unità per soddisfare le esigenze più cogenti.

Mancanza di formazione qualificata, certo; ma non è tutto.
A questo si aggiungono:

• la scarsa competitività salariale delle aziende nostrane
• che si riflette in serie difficoltà di selezione e assunzione di personale qualificato

A fronte di uno stipendio medio annuo che si aggira sui 66.000 €, attrattori come Regno Unito, Lussemburgo, Stati Uniti e Svizzera sono in grado di offrire 1,5 volte tanto, intorno ai 100.000 €. (fonte: Economic Research Institute)

Alla luce di quanto detto, ben si comprende come in un rapporto di Guerre di Rete risalente a giungo 2022, l’88,1% dei responsabili di PMI intervistati avesse riscontrato difficoltà nel reperire nuova forza lavoro specializzata.
In sintesi, quindi, la mancanza di competenze rappresenta una criticità strutturale su cui le realtà produttive riescono a intervenire soltanto in modo indiretto.
Tuttavia, resta da chiedersi come le aziende investano effettivamente le proprie risorse economiche e umane in ambito sicurezza e protezione dati.

È sempre l’ultimo rapporto Clusit a fornirci un dato tanto significativo, quanto preoccupante: Il 66% delle aziende medio-piccole sul territorio nazionale afferma di non avere alcuna figura operante in ambito cybersec. Il che trova pieno riscontro in un’indagine di Cyberedge condotta nel 2022, in cui viene evidenziato come, tra le realtà imprenditoriali dei Paesi del G7, in Italia vengano stanziate in media molte meno risorse pro-capite (10,1% del budget, contro il 12 o 13,7 di Francia e USA).
Non dobbiamo, tuttavia, trascurare gli investimenti complessivi nel settore, pari a circa 1,86 miliardi di euro: in crescita del 18% rispetto al 2021.
Indicativi anche i numeri su redazione scritta di Procedure di Sicurezza e attività di formazione del personale, con rispettivamente il 64% e 73% del campione afferma di non adempiere a tali obblighi. (Fonte Survey CNA Milano e dell’Unione Artigiani Milano – Rapporto Clusit)

Insomma: la questione cybersecurity in Italia non ha basi soltanto tecniche, ma anche operative e gestionali.
Certo è che in questi ultimi anni, in particolare negli ultimi due, si è assistito a un radicale cambiamento di percezione del rischio cyber. Da una connotazione prettamente tecnica, le ripercussioni delle minacce informatiche hanno assunto i contorni di un problema strutturale vero e proprio. Non mancano, infatti, casi eclatanti di attacchi informatici dovuti a una cattiva gestione di basilari pratiche di sicurezza. Una fra tutte: la mancata installazione di patch.
Lo dimostrano i disservizi a Trenitalia o al portale di Regione Lazio degli scorsi anni, ascrivibili a mancati aggiornamenti di sistema che hanno permesso agli hacker di sfruttarne le falle di sicurezza.
Di conseguenza, hanno acquisito nuova veste anche gli specialisti IT, chiamati oggi ad affiancare alle mansioni puramente informatiche capacità di analisi e Business Intelligence.

Soprattutto in realtà sprovviste di figure specializzate in ambito cybersec, è quindi necessario che gli addetti all’Information Technology

• possiedano una conoscenza approfondita dei principi di sicurezza informatica e dei pericoli associati alle minacce
• siano in grado di identificare le vulnerabilità della rete aziendale e sviluppare politiche e procedure per la gestione dei rischi

Ma da dove deriva tutta questa cybersecurity fatigue delle PMI italiane nel far fronte alle nuove sfide della sicurezza informatica?
Diamo quindi uno sguardo a evoluzione e logiche di funzionamento del moderno cybercrimine.

Negli ultimi anni, anche il cybercrimine si è adattato agli avanzamenti tecnologici.
Tra le più marcate tendenze in tal senso, rientra sicuramente la compravendita di agenti malevoli (siano essi virus, Trojan o ransomware) sul dark web.

Un fenomeno che ha portato alla nascita di vere e proprie industrie del cybercrimine, basate su

• modelli organizzativi imprenditoriali
• strutture di distribuzione capillari, note come Malware- as- a-Service.

In Italia, il malware rappresenta il 53% delle infezioni, confermandosi la matrice prevalente per l’esecuzione attività illecite. Dato in linea con le tendenze globali.
Insomma: attacchi standardizzati e con un tasso di sofisticazione medio relativamente meno accentuato.
Caratteristica questa da non confondere con l’avanzamento “fisiologico” delle tecniche d’attacco. Oggi si parla sempre più di virus polimorfi, in grado di:

• mutare il proprio codice
• autoreplicarsi
• eludere le tecniche di rilevamento

In quest’ottica, grande impulso l’hanno fornito l’automazione e l’Intelligenza Artificiale: impiegati tanto nelle tecnologie di protezione, quanto nella creazione di script dannosi. Sebbene il connubio malware-AI sia pressoché agli albori – sia per la mancanza di adeguate competenze che per le risorse computazionali necessarie – non mancano prime attestazioni sperimentali in tal senso.
Tra queste:

• avvelenamento dei set di dati di apprendimento, che potrebbero indurre i sistemi di sicurezza basati su AI a classificare attività potenzialmente dannose come innocue
• spear phishing: l’AI potrebbe analizzare centinaia di migliaia di profili social al fine di indirizzare truffe interattive e personalizzate contro le vittime
• automatizzazione e incremento dei processi di scansione delle vulnerabilità, con un’impennata dei casi di exploit e sfruttamento delle falle di sicurezza
• sofisticazione degli agenti infettanti, dotati di avanzate tecniche di elusione del rilevamento

In questo scenario, la vittima italiana sembra risentirne in modo alquanto marcato. Difatti, la severity degli attacchi si attesta su un livello alto e critico per l’83% dei casi.
Mancanza di infrastrutture, competenze, consapevolezza e monitoraggio del rischio. Questo è quel che rende l’industria nostrana particolarmente vulnerabile.
Sempre secondo il Survey CNA e Unione Artigiani Milano, circa il 72% del campione di piccole-medie imprese intervistate, non è consapevole se sia stato o meno vittima di attacchi.
La logica del cybercrimine si basa, in sintesi, sul concetto di minimo sforzo e massimo rendimento.
Una realtà piccola e facilmente attaccabile permette quindi all’hacker di penetrare nella catena di approvvigionamento (supply chain) costituita da fornitori e aziende partner, allargando e potenziando contestualmente il raggio d’azione di ogni singola minaccia.

Autore dell’articolo Team Cybertment