Cybercrime, la guerra fantasma alle imprese italiane
Le vittime non denunciano ma sempre più cybercriminali colpiscono le aziende e presto gli smartphone.
«L’Italia non ha statistiche ufficiali, e le vittime tacciono». Insomma, nel Belpaese sempre più connesso e interconnesso alla Rete, anche per motivi aziendali, il cybercrime esiste, si subisce, ma non si dice. Il tipico scenario che permette il proliferare indisturbato di qualsiasi tipo di criminalità, salvo poi iniziare a parlarne e provare a controbattere alla minaccia quando ormai il terreno perduto diventa decisamente troppo. «Diversamente da altri Paesi europei, non sono purtroppo disponibili statistiche ufficiali in merito ai danni economici provocati dagli attacchi informatici, sia perché le vittime hanno un’oggettiva difficoltà culturale, organizzativa e tecnologica nel riconoscere di aver subito un attacco, sia perchè vige ancora una generalizzata riluttanza a denunciare di aver subito un attacco». Così Andrea Zapparoli Manzoni, membro del Comitato Direttivo del Clusit (Associazione per la Sicurezza Informatica), lo scorso 6 marzo ha riassunto la situazione italiana. Basti pensare che dei 1.152 attacchi analizzati da Clusit nel 2013 solo 35 si riferiscono a bersagli italiani: «Una cifra», spiegano dall’associazione, «dovuta alla cronica mancanza di informazioni pubbliche in merito, e, in misura minore, al fatto che le organizzazioni in Italia spesso non hanno ancora gli strumenti organizzativi e tecnologici per rendersi conto di essere state compromesse».
Uno scenario che favorisce i cybercriminali e non di certo il nostro sistema economico, che anno dopo anno si trova sempre di più a fare i conti con questa branca del crimine e in molti casi ancora non lo sa. Secondo una recente ricerca sarebbero circa 8,9 milioni i cittadini italiani rimasti vittima di crimini e frodi informatiche, senza contare l’impatto che di nuovo questi crimini hanno sulle aziende. Come? Un caso eclatante a livello mondiale è stato quello ha colpito la catena della grande distribuzione Target negli Stati Uniti. Un esempio che funziona sempre più spesso come paradigma: le grandi aziende vengono colpite da attacchi tramite i fornitori più piccoli. Così è accaduto nel caso di Target, che nel periodo tra il 27 novembre e il 15 dicembre scorso ha visto i cybercriminali all’opera sui terminali POS dei negozi: 41 milioni di dati sensibili dei clienti sottratti sfruttando una falla nei sistemi di un produttore di frigoriferi in contatto con la grande catena di distribuzione americana. Perdite registrate del 5,3% e testa saltata del capo dell’ufficio Information Technology. «Per un dollaro rubato», stima ancora Andrea Zapparoli Manzoni, «trenta sono di danno per l’azienda».
La spesa globale nel 2013 per prodotti e servizi di Cyber Security è stata stimata da Gartner intorno ai 70 miliardi di dollari (+16% rispetto al 2012), contro un totale di perdite dirette e indirette causate dal solo Cyber Crime che il Ponemon Institute stima in quasi 500 miliardi di dollari (+26% rispetto al 2012). «Allo stato attuale», commentano gli addetti ai lavori, «dobbiamo dunque prendere atto del fatto che l’investimento in contromisure cresce meno rapidamente di quanto crescano i danni provocati dagli attaccanti. Per non parlare poi dei danni legati agli ingressi nei sistemi di rappresentanti legali e commercialisti delle aziende, cui la sicurezza informatica non è in cima alle priorità degli uffici».
Insomma, gli “attaccanti” sono da pallone d’oro. E assolutamente da dimenticare è la visione “romantica” dell’hacker che smanetta in una stanzetta buia. Tanto che anche la relazione dei Servizi di sicurezza italiani si è concentrata sull’aspetto del cybercrime. «Il monitoraggio informativo svolto nel corso del 2013», si legge nella relazione, «ha consentito di rilevare come la concentrazione degli eventi cibernetici di maggior rilievo si sia tradotta in un significativo incremento di attività intrusive finalizzate all’acquisizione di informazioni sensibili e alla sottrazione di know how pregiato. Ciò in danno del patrimonio informativo di enti governativi, militari, ambasciate, centri di ricerca, nonché di società operanti nei settori aerospaziale, della difesa e dell’energia, anche di fonte alternativa».
Dati riscontrati anche nel rapporto Clusit 2014: stando ai dati contenuti nel report, riferiti a un campione di oltre 2.800 incidenti noti avvenuti negli ultimi 36 mesi (dal Clusit stimano che aggiungendo anche quelli non noti e su cui ci sono accertamenti, anche giudiziari, in corso il numero potrebbe essere almeno doppio), viene fuori che il Cybercrime è la causa della maggior parte degli attacchi (oltre il 50%) nel 2013, con una crescita del 258% in due anni, e che attività di Hacktivism e Cyber Espionage sono in costante aumento, con una crescita del 22,5% e del 131% rispetto al 2012. «Un lato positivo, se vogliamo trovarne uno», commenta Alessio Pennasilico, esperto di sicurezza informatico e membro del Clusit, «è che nonostante i mezzi scarsi siano arrivati a zero gli attacchi sconosciuti: questo vuol dire che almeno abbiamo imparato a conoscere il nemico».
«Auspichiamo», scrivono gli esperti del Clusit, «che, con l’attivazione del Cert nazionale (ente preposto alla raccolta e alla risoluzione degli incidenti informatici, ndr) e nel dare attuazione agli indirizzi espressi dal “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, si riesca a porre rimedio a questa situazione di carenza informativa e in alcuni casi di “omertà”, che per un malinteso senso di protezione della propria reputazione porta le organizzazioni nostrane a non denunciare gli incidenti subiti se non quando assolutamente inevitabile, il che danneggia concretamente tutta la collettività». Osservazioni che gli esperti in tema di sicurezza informatica riportano da anni e che ha portato nel dicembre 2013 il precedente esecutivo Letta al varo di un Quadro Strategico e di un Piano nazionale per la sicurezza dello spazio cibernetico.
Interessante è infatti osservare la situazione italiana riguardante questi 35 attacchi, che sono certo un numero che non può rappresentare la realtà, ma utile a indicare una tendenza, che tuttavia è ancora lontana dall’essere considerata un campione più che attendibile: la maggior parte di questi attacchi scaturisce da azioni di Hacktivism, a fronte di una quota di attacchi noti realizzati dal Cyber Crime che è meno di un terzo (17%) rispetto a quella rilevata a livello internazionale (53%). «Questo ci porta a supporre che la maggior parte di questo tipo di attacchi non sia di dominio pubblico», osservano dal Clusit. Secondo i dati forniti da Fastweb (è la prima volta che una grande compagnia italiana mette a disposizione del pubblico questi dati) la situazione è in effetti diametralmente opposta: stando alle rilevazioni del Security Operations Center dell’azienda risulta infatti che il 60% degli attacchi avvenuti verso i clienti Fastweb sia originato da episodi CyberCrime, il 24% da spionaggio cyber e il 16% da azioni di attivismo hacker».
Un mondo, quello degli attacchi, che numericamente, dice ancora Zapparoli Manzoni, «è cambiato tra il 2011 e il 2012 con l’ascesa di Anonymous e delle sue operazioni. Per il 2014 il campo di gioco per chi attacca si allargherà ulteriormente grazie alla progressiva crescita dei servizi cloud, degli stessi social network e del mondo delle cosiddette “crypto-monete”». Aumenterà quindi «la percentuale di malware scritta allo scopo di generare questo tipo di valute tramite i sistemi informativi di vittime ignare, fino a raggiungere la quasi totalità, dato l’altissimo guadagno per i criminali», sempre che la bolla di queste valute non sia destinata a implodere, e con la crescita delle piattaforme mobile si diffonderà anche «la scrittura di malware ad hoc».
Nel 2013 si sono confermati tendenze già visibili almeno negli quattro o cinque anni, riassumibili in quattro punti fondamentali:
- Moltiplicazione dei gruppi di attaccanti con capacità tecniche sofisticate: si sta assistendo a una sempre maggior espansione della figura dell’hacker, da Occidente verso Oriente. «Si è assistito», rilevano gli esperti del Clusit, «a una moltiplicazione esponenziale di capacità, anche molto avanzate, tra persone originarie di Paesi in via di sviluppo e del Terzo mondo». Una compenente che implica anche una serie di motivazioni strettamente politiche che si ripercuotono sulla razionalità e sulle motivazioni degli attacchi. Insomma, a livello di geopolitca, «il cybercrime sta diventando un vero e proprio asset» anche al servizio della cosiddetta “guerra informatica”.
- CyberCrime e Hacktivism diventano concetti sempre più sfumati: i due ambiti, si legge nel report, originariamente distinti per background, finalità e modalità di azione, sempre più spesso trovano conveniente allearsi per raggiungere i propri obiettivi. Eclatante il caso del complesso attacco alle banche e alle televisioni sud coreane (operation “Dark Seoul”), nel quale l’inedito e premeditato coordinamento tra hacktivist, cyber criminali e cyber spie è risultato estremamente efficace. Inoltre le frange di attivisti digitali più oltranzisti (in particolare di matrice nazionalista, come la S.E.A., Syrian Electronic Army) iniziano ad utilizzare le modalità operative del cyber crime per auto-finanziarsi. Tutto ciò, generando ulteriori ambiguità nelle “firme” degli attacchi, rende ancora più complesse le attività di Cyber Intelligence e di reazione da parte dei difensori.
- Le grandi organizzazioni vengono sempre più spesso colpite tramite i propri fornitori/outsourcer: questo è il caso del caso Target, che mette in evidenza una falla di cui nei prossimi anni dovranno occuparsi le imprese medio-piccole, che fungono da fornitori per grandi imprese, ma anche studi legali e commerciali. È in questi ambiti poco presidiati a livello di sicurezza che gli “attaccanti” trovano entrature agevoli per risalire alle grandi organizzazioni.
- I Social Network sono il principale veicolo di attività malevole: si legge nel report Clusti 2014: «I social network, grazie alle loro caratteristiche e alle modalità “disinvolte” di interazione tra gli utenti, sono utilizzati dagli attaccanti per massimizzare l’effetto delle loro campagne di diffusione di spam, di phishing e di social engineering, con la finalità prevalente di infettare il maggior numero possibile di sistemi. Inoltre, dato che i social network gestiscono i profili (e gli account) di un numero enorme di utenti, sono utilizzati per attività di “scraping” di credenziali e di dati personali su scala planetaria. Questo include anche le principali piattaforme di messaggistica per smartphone e tablet (che costituiscono la nuova frontiera dei social network), spesso afflitte da importanti vulnerabilità: a titolo di esempio, una popolare piattaforma ha consentito la diffusione non autorizzata di 6 milioni di numeri di telefono appartenenti ai suoi utenti, mentre un’altra consentiva a chiunque di aggirare la cifratura dei messaggi scambiati tra gli utenti e di leggerli in chiaro. Data la diffusione nell’uso dei social network oltre che tra i privati anche tra utenti di organizzazioni pubbliche e private di ogni dimensione, (spesso in associazione con strumenti mobile, il che rappresenta un moltiplicatore di rischio), queste minacce incombono costantemente anche sui relativi sistemi informativi e sulle informazioni che contengono (perfino, ed a maggior ragione, in ambiti molto delicati quali quelli governativi e militari)».
«Nonostante ci sia una presa di coscienza del problema», riferiscono consulenti di Polizia e procure, «le indicazioni che arrivano dalla politica sul problema della sicurezza e sulle investigazioni riguardanti i reati informatici sono ancora troppo deboli e riguardano soprattutto reati immediatamente visibili e riprovevoli come la pedofilia, che è sacrosanto perseguire, ma scarse forze e poco impulso viene dato invece a investigazioni riguardanti il mondo dell’economia e delle aziende. Questo è dovuto, è vero, anche alla scarsità di denunce che queste fanno, ma anche a un numero troppo basso di personale in grado di occuparsi di certi reati».
E di cybercrime ci sono aziende che possono morire. Non sarebbe inusuale, infatti, una pratica che va diffondendosi tra le organizzazioni criminali che si dedicano proprio al crimine informatico: cifrare interi dati delle aziende, chiedendo poi riscatti consistenti, provocando perdite che in alcuni casi avrebbero già costretto imprese a portare i libri in tribunale.
D’altronde, a scrivere delle debolezze sulla «protezione delle infrastrutture critiche e, più in generale, sul tema Cyber Security», è il consulente della Difesa Federico Sandrucci, neanche a farlo apposta in una mail finita nel calderone dell’ultima incursione del gruppo Anonymous all’interno dell’utenza privata di un ammiraglio della marina militare italiana. In una delle corrispondenze tra Sandrucci e l’ammiraglio ispettore Giuseppe Ilacqua, si legge dalla tastiera dello stesso Sandrucci, «il sistema Paese non è stato ancora in grado di individuare un sistema di vertice in grado di affrontare il problema Cyber Security, comprensivo anche del tema protezione delle infrastrutture critiche informatiche e non, ed adeguare le proprie strutture operative per individuare, fronteggiare e contrastare le nuove minacce del mondo cibernetico». Poi propone la sua ricetta, ignaro che l’utenza con cui sta scambiano la mail è sotto l’osservazione della sigla Anonymous: «Ritengo essenziale la razionalizzazione e ricomposizione dell’attuale sistema in modo pragmatico e snello, sul modello Task Force, con chiara individuazione delle strategie, delle responsabilità e suddivisione dei compiti in termini di Cyber Intelligence, Cyber Defense civile e militare, Cyber Crime, Agenda digitale e Protezione delle infrastrutture critiche nazionali non solo da minacce/attacchi provenienti dal Cyber world ma anche da altri eventi. Il tutto sotto una forte direzione della Presidenza del consiglio dei ministri attraverso l’azione dell’Ufficio del Consigliere militare, da potenziare e in stretto collegamento con l’Autorità delegata per la sicurezza della Repubblica, di coordinamento interministeriale e di relazione con tutti gli organismi, industria compresa, che trattano le materie di difesa, sicurezza nazionale e infrastrutture critiche».
Fonte: Linkiesta