Cybersecurity: le minacce a cui non prestiamo abbastanza attenzione

Siete sicuri di essere “al sicuro”?

Oramai tutti conoscono il significato della parola cybersecurity e, oltre a quella, anche le regole essenziali da seguire per tutelare i propri dati online. 
Ma è davvero così? Siamo davvero sicuri di essere “al sicuro”? A giudicare dai dati, forse è più corretto dire che la verità sta nel mezzo. 

Sicuramente la sicurezza cyber negli ultimi anni è diventata un tema di dominio comune, tendenzialmente in tutte le fasce d’età. Accade però ancora molto spesso che gli utenti privati non prestino abbastanza attenzione alle minacce digitali che li circondano. Da una parte la crescente complessità delle tecnologie, dall’altra la continua sofisticazione delle minacce cibernetiche, fanno del tema delle protezioni cyber un argomento sfidante, al punto da ridurre drasticamente il numero degli esperti in possesso delle conoscenze adatte e aumentare invece in modo altrettanto consistente quello degli utenti a rischio. 
Ciò a maggior ragione se il contesto in cui si vive non è particolarmente attento o competente sulle dinamiche della sicurezza. Purtroppo è un problema che ci riguarda da vicino. Noi italiani siamo terzultimi al mondo per quanto riguarda la conoscenza della cybersecurity e della privacy su internet, con un punteggio complessivo di 57 su 100. Siamo molto lontani dai primi nel mondo: Singapore, Polonia, Germania e Stati Uniti. 

Fonte: NordVPN, 2023

1. La prima certezza è che le intrusioni negli ambienti cloud sono diventate sempre più frequenti negli ultimi anni, al punto da essere una delle prime cause di intrusione cyber. Pensate che soltanto nel 2023, le intrusioni negli ambienti cloud sono aumentate del 75% rispetto all’anno precedente. Vi state chiedendo a cosa è dovuto questo aumento drammatico? Semplice: principalmente alla crescente adozione del cloud computing da parte delle aziende e dei privati, che spesso però dimenticano di adottare misure di sicurezza adeguate. Ricorderete forse il caso dell’attacco a MOVE.it, un servizio di trasferimento file, che compromise centinaia di migliaia di documenti sfruttando le vulnerabilità dell’azienda proprio sul fronte cloud. Un altro caso noto è quello di Capital One – altra azienda ad aver subito violazioni di dati massicce, nuovamente a causa di configurazioni errate e vulnerabilità nell’ambiente cloud.
   Se sono vulnerabili le aziende, figuriamoci i privati. Pensate che tra le cause principali delle debolezze degli utenti ci sono le configurazioni errate (che possono includere autorizzazioni improprie, archiviazione di dati non crittografati e gestione inadeguata delle password), le credenziali compromesse (gli aggressori possono ottenere accesso non autorizzato ai sistemi cloud utilizzando credenziali rubate, il che può portare a violazioni dei dati e interruzioni dei servizi), la vulnerabilità delle applicazioni (come nel caso recente di Log4Shell, che ha evidenziato come la mancanza di una corretta politica di patching possa esporre i sistemi a rischi significativi) e l’immancabile divario di competenze. 

   

   Fonte: Emergen Research, 2023
2. La seconda certezza è che la quasi totalità (il 92% per la precisione) dei malware (in pratica qualsiasi programma o codice dannoso progettato per compromettere o interrompere il normale funzionamento di un dispositivo, sistema operativo o rete) viene distribuito tramite email. Sono proprio loro, le email di phishing, a ingannare il maggior numero di utenti facendoli cliccare su link malevoli o scaricare allegati infetti. Tra i casi recenti e più noti c’è l’attacco di phishing che ha colpito numerose aziende finanziarie utilizzando email apparentemente legittime per diffondere malware, portando alla compromissione dei dati di migliaia di clienti, oltre a causare danni reputazionali e finanziari significativi. 
   Anche qui i privati non sono messi affatto bene. Basti pensare questo: stando ai dati diffusi da Google, ogni giorno vengono bloccati 100 milioni di tentativi di phishing.  
   

   

   Fonte: Truelist, 2024
3. Terza e ultima certezza: quasi la metà (il 43% per essere precisi) dei dati è irrecuperabile dopo un attacco ransomware. Questo tipo di attacco, attraverso il quale i dati di un’azienda vengono criptati e successivamente i criminali richiedono un riscatto per decriptarli, può avere conseguenze devastanti. Per esempio l’attacco ransomware a MGM Resorts International ha causato gravissime interruzioni operative e perdite finanziarie. Peraltro in questi casi, oltre ai costi diretti, le aziende devono affrontare anche costi indiretti come gli investimenti in strategie di backup e recupero dati, oltre a formare i dipendenti sulla sicurezza informatica. Nel 2019 a finire sotto attacco è stata addirittura un’intera città: Baltimora, portando alla richiesta di un riscatto da pagare in bitcoin e alla paralisi dei servizi municipali protrattasi per settimane. 
   Quanto ai privati, sappiamo da un rapporto di Chainalysis che i pagamenti per i riscatti dei dati negli attacchi ransomware hanno raggiunto la cifra record di 1,1 miliardi di dollari nel 2023. 
   

   

   Fonte: Check Point, 2023

Insomma, ricapitolando: molti di noi sono vulnerabili agli attacchi via mail o tramite cloud, perdendo irrimediabilmente dati, energie e spesso anche soldi. 
A questo punto occorre chiedersi quali misure e accorgimenti siano adottate dai governi per contrastare questi rischi e quali contromisure possono essere prese dai privati per provare almeno a contenere le minacce. 

Qualcuno prova a proteggerci. Ma non sempre basta.

Allora, la buona notizia è che i governi di tutto il mondo stanno adottando misure sempre più stringenti e precise per migliorare la cybersecurity dei cittadini. 
La crescente consapevolezza delle minacce cibernetiche e la necessità di proteggere infrastrutture critiche, dati sensibili e la privacy dei cittadini stanno spingendo moltissime nazioni a implementare strategie e programmi avanzati.
Per esempio:

1. Nel 2023, gli Stati Uniti hanno approvato la nuova Strategia Nazionale di Cybersecurity, introducendo oltre 100 iniziative per migliorare la sicurezza digitale, tra cui l’adozione di un’architettura Zero Trust (ovvero un modello di sicurezza informatica che si basa sul principio di non fidarsi mai di nessun utente, dispositivo o connessione, sia all’interno che all’esterno della rete aziendale, senza una verifica esplicita) e l’incremento della collaborazione pubblico-privato. 
   La strategia statunitense è peraltro parte di un impegno più ampio per affrontare le crescenti minacce cibernetiche che colpiscono settori vitali come quello sanitario, energetico e delle infrastrutture critiche. Ad esempio, il governo USA ha promosso l’adozione di pratiche di cybersecurity nel settore sanitario per proteggere i dati sensibili dei pazienti, riducendo così il rischio di attacchi come quello subito da Universal Health Services nel 2020, che compromise i dati di milioni di pazienti e ha causato significative interruzioni operative. Infine, la strategia include la creazione di un fondo federale per rispondere rapidamente agli incidenti cyber e migliorare la protezione delle reti governative attraverso aggiornamenti continui e l'adozione di tecnologie avanzate. 

   

   Fonte: Bytlyft, 2023
2. Un programma rinomato globalmente per la sua efficacia è il “CyberFirst” del Regno Unito. Si tratta di un programma che mira a migliorare le competenze cyber dei giovani, coinvolgendo oltre 260.000 studenti in 2.500 scuole. CyberFirst offre corsi e campi estivi incentrati sulla sicurezza informatica e prevede anche forme di collaborazione con le università per sviluppare percorsi di studio che preparino gli studenti alle sfide del mondo digitale. Il programma ha recentemente lanciato una consultazione per espandere il suo impatto e creare una nuova organizzazione dedicata alla formazione cyber, con l’obiettivo di coinvolgere fino a 500.000 studenti entro il 2025. 
   Inoltre CyberFirst offre borse di studio per studenti universitari che si impegnano a intraprendere carriere nel settore della cybersecurity, contribuendo a costruire una forza lavoro qualificata e resiliente contro le minacce future. 

   

   Fonte: UK Government, 2022
3. E l’Italia? Dopo una lunga latitanza, anche il nostro Paese nel 2021 ha creato la sua Agenzia per la Cybersicurezza Nazionale (ACN). L’ACN ha inizialmente approvato una strategia nazionale per migliorare la resilienza cyber del paese, e poi avviato numerose iniziative per il monitoraggio delle minacce e il supporto alla transizione digitale sicura della Pubblica Amministrazione. 
   L’ACN lavora per creare un ecosistema di cybersecurity che coinvolga università, centri di ricerca e imprese private, promuovendo l’innovazione e la collaborazione. Tra le iniziative recenti, vi è la creazione di un Centro Nazionale di Coordinamento per la Cybersecurity, che funge da hub per la condivisione delle informazioni sulle minacce e la gestione delle crisi. Inoltre, l’ACN sta sviluppando programmi di formazione continua per i dipendenti pubblici, garantendo che siano adeguatamente preparati a fronteggiare le sfide cibernetiche. 

   

   
   

   Fonte: ACN, 2022

Andiamo oltre il versante pubblico. C’è tutto un fronte di iniziative private che rimane molto attivo e dinamico, e che lavora proprio al fine di sensibilizzare le persone ai temi della sicurezza cibernetica. 
Per esempio:

1. Un caso molto interessante è la Young Cyber Security Academy organizzata da Leonardo e Plenitude. Questa accademia mira a promuovere la cultura della sicurezza digitale nelle scuole italiane. Il progetto include un manuale di prevenzione e primo soccorso per nativi digitali, disponibile gratuitamente per le scuole che ne fanno richiesta.
2. Altro caso interessante è la Cisco Cybersecurity Scholarship. In pèratica Cisco offre borse di studio per formare persone tra i 18 e i 45 anni nel campo della cyber security. Il programma include videocorsi, webinar e laboratori con tutor, culminando in un certificato finale e la possibilità di entrare nella community di Cisco.
3. Altro caso virtuoso è la IBM Cyber Academy. Situata a Roma, questa accademia offre percorsi di formazione personalizzabili attraverso simulazioni e metodologie innovative come “Expert Labs” e “Design Thinking”. C’è addirittura un Cyber Theatre, un laboratorio interattivo, che permette di vivere esperienze immersive di attacchi informatici per testare le capacità di risposta.
4. Visto che parliamo di formazione non possiamo non citare le iniziative promosse da Talent Garden. Tra queste ci sono il master avanzato di 6 settimane su Cybersecurity & Data Protection  che si concentra su governance, risk management e compliance e forma professionisti in grado di gestire la sicurezza informatica nelle piccole e medie imprese; e L'Ethical Hacking Master, un programma intensivo progettato per fornire una formazione pratica e approfondita sull'offensive security.
5. Spostiamoci a livello internazionale. La Global Campaign to Raise Cybersecurity Awareness è un’iniziativa appunto globale per sensibilizzare sui rischi informatici e promuovere le migliori pratiche di sicurezza. Coinvolge partner internazionali del governo, del settore accademico, non profit e privato per garantire un Internet più sicuro per tutti.
6. Infine, non dimenticate che ottobre è il mese dedicato alla sensibilizzazione sulla cyber security sia in Europa che negli Stati Uniti. Iniziative come la European Cyber Security Month e il National Cyber Security Awareness Month negli USA sono nate appositamente per promuovere la resilienza informatica attraverso campagne di sensibilizzazione, eventi e attività educative.

L’elenco delle iniziative private potrebbe continuare ancora molto a lungo, ma il punto è chiaro. In tutto il mondo, sia dal lato pubblico sia dal lato privato, si rincorrono iniziative per rendere le persone più attente, più consapevoli, e soprattutto più formate, rispetto ai temi della sicurezza digitale. 

Il segnale è incoraggiante perché ci lascia ben sperare a proposito del futuro, ma al tempo stesso ci fa capire che c’è ancora moltissimo impegno da mettere su questi temi. 

A proposito di futuro, quali sono i trend che possono incidere sulla cybersecurity?

Com’è ormai abitudine in questi post, vale sempre provare a guardare un po’ meglio al futuro, per cercare di capire cosa sta cambiando e in che modo si trasformano le nostre relazioni personali e professionali con i temi della sicurezza digitale e della protezione dei dati.

Noi abbiamo individuato 4 macro-trend interessanti:

1. Il primo riguarda l’Intelligenza Artificiale (IA) e il Machine Learning (ML). Tanto l’IA quanto il ML stanno rivoluzionando la cybersecurity, migliorando le capacità di rilevamento e risposta alle minacce. Ad esempio, le statistiche ci dicono che il 35% dei Chief Information Security Officers (CISOs) in tutto il mondo utilizza già l’IA per applicazioni di sicurezza, e il 61% prevede di farlo nei prossimi 12 mesi. 
   Siamo davanti a un trend cruciale, perché promette di dotarci di uno strumento efficace per identificare e rispondere alle minacce cyber in tempo reale, riducendo oltretutto in modo consistente il rischio di attacchi riusciti. Come? Semplice. Per iniziare, l’IA può analizzare grandi volumi di dati per individuare anomalie che potrebbero sfuggire agli esseri umani. Invece il ML può apprendere dai pattern di attacco precedenti per prevedere e prevenire future minacce. Ad esempio, sistemi come i Security Information and Event Management (SIEM) alimentati dall’IA possono aggregare e analizzare dati da diverse fonti in tempo reale, migliorando la visibilità e la risposta agli incidenti. 

   

   Fonte: Digital360, 2023
2. Il secondo macro-trend da tenere sott’occhio riguarda la sicurezza dell'Internet delle Cose (IoT). Mano a mano che assistiamo all’aumento (esponenziale, letteralmente) dei dispositivi IoT, è chiaro che la sicurezza di questi dispositivi diventa un tema di fondamentale importanza. 
   Siamo già entrati in una fase nuova, in cui assistiamo allo sviluppo di protocolli di sicurezza standardizzati e certificazioni obbligatorie per i nuovi dispositivi – che rappresentano spesso i punti di ingresso per i cybercriminali. Da qui in avanti questi protocolli non potranno che aumentare. Oppure di organizzazioni che stanno investendo in soluzioni come le reti private virtuali (VPN) per IoT e l’implementazione di sistemi di rilevamento delle intrusioni specifici per IoT per mitigare i rischi. D’altronde, se le stime secondo cui entro il 2025 ci saranno oltre 75 miliardi di dispositivi IoT in uso sono corrette - allora è evidente che già ora è indispensabile individuare forme adeguate di protezione per questa tecnologia. 

   

   Fonte: AppInvent, 2022
   
3. Andiamo avanti. Il terzo trend ci riporta al discorso su Ransomware ed estorsioni. Nonostante una leggera diminuzione, il ransomware rimane una delle minacce più gravi in questo settore. Nel 2023, il 72% delle aziende è stato colpito da attacchi ransomware, con un riscatto medio di 1,54 milioni di dollari. 
   Stiamo assistendo già ora alla crescita del Ransomware-as-a-Service (un modello di business criminale in cui i creatori di ransomware mettono a disposizione la loro piattaforma di malware a terzi, permettendo anche a individui con scarse competenze tecniche di lanciare attacchi ransomware) che rende questi attacchi più accessibili e frequenti, richiedendo strategie di difesa sempre più sofisticate. I cybercriminali stanno diventando sempre più creativi, combinando ransomware con tattiche di estorsione come la minaccia di divulgare dati sensibili rubati. L’unica difesa efficace in questi casi sono le misure preventive come backup regolari, l’implementazione di sistemi di crittografia avanzati e i programmi di formazione sulla sicurezza per i dipendenti. 

   

   Fonte: Zion Market Research, 2023
4. Ultimo trend: le compromissioni della Supply Chain. Anche qui abbiamo dati inconfutabili. Gli attacchi alla supply chain stanno diventando sempre più comuni, con i cybercriminali che hanno imparato a sfruttare le vulnerabilità nei fornitori di terze parti per infiltrarsi nelle reti aziendali. Questo trend è cruciale perché le compromissioni della supply chain possono avere effetti a cascata non solo su numerose aziende e settori merceologici, ma anche sui singoli utenti. Prendete ad esempio l’attacco nei confronti di SolarWinds nel 2020. Qui un software di gestione della rete compromesso permise agli attaccanti di infiltrarsi in numerose agenzie governative e aziende private, con grande disagio anche per gli utenti che si rivolgevano a queste realtà.  

   

   Fonte: Ekran, 2024

Arrivati alla fine di questo viaggio forse dovremmo rivalutare la risposta data alla domanda iniziale. Siamo davvero sicuri di essere al “sicuro”? Dalle informazioni che abbiamo condiviso e dai casi che abbiamo analizzato la risposta sembrerebbe negativa. 

Attenzione però, abbiamo anche mostrato come ci siano moltissime iniziative pubbliche e private per sensibilizzare l’opinione pubblica sui temi della sicurezza, formare nuove competenze sul tema, dare alle aziende gli strumenti per difendersi e, più in generale, rendere la vita dura ai criminali cibernetici. 

Staremo a vedere se è questa la strada giusta e se il futuro che ci aspetta è un futuro meno a rischio.