Rischi cyber sottostimati, istituzioni e sanità nel mirino. È questo il quadro che emerge dal Rapporto Clusit 2017 al centro del Roma Security Summit in occasione del quale gli esperti dell’Associazione per la Sicurezza Informatica in Italia hanno evidenziato come, nel 2016, oltre un’organizzazione su due ha subìto un attacco nell’ultimo anno ma se ne è accorta solo dopo 146 giorni.
Un bilancio definitivo, che mette in luce come, dopo aver subìto un attacco, aziende, enti, istituzioni, e i loro dati sono potenzialmente alla mercé dei cyber-criminali.
Da qui la necessità del Clusit di accrescere la consapevolezza dei rischi cyber e renderla sempre più parte della quotidianità dei cittadini.
Di fronte a un livello di protezione inadeguato
Sono, infatti, in inesorabile crescita truffe ed estorsioni nei confronti di privati, aziende e organizzazioni. In particolare, il rischio cyber appare sempre più elevato nei settori della sanità (che nel 2016 ha subìto un incremento degli attacchi del 102% rispetto all’anno precedente), delle banche (+64%), delle infrastrutture critiche (+15%), che risultano particolarmente vulnerabili e quindi appetibili ai criminali, data la mole di dati gestiti e l’elevata possibilità di creare gravi disservizi, se non di mettere completamente in ginocchio servizi fondamentali per i cittadini, come si prefiggono di fare i sempre più frequenti State Sponsored Attacks.
Gli stessi cittadini diventano sempre più bersagli primari: gli esperti Clusit denunciano, infatti, anche l’incremento di attività di propaganda su web, PsyOps – la cosiddetta “guerra psicologica” volta a influenzare opinioni e comportamento – e alterazione di massa della percezione (alt-truth), supportate da cyber attacchi.
Il Phishing, che adesca le proprie vittime via email, instant messaging e social network, rimarrà il principale vettore di attacco anche nei prossimi mesi. “Lo abbiamo visto con il recente WannaCry: un ransomware non sofisticato, che si è diffuso rapidamente in tutto il mondo”, afferma Andrea Zapparoli Manzoni, tra gli autori del Rapporto Clusit. “Siamo in una fase molto delicata, in cui protocolli e architetture sono inadeguate per una superficie di attacco cresciuta in maniera esponenziale, soprattutto con l’Internet of Things e l’Industry 4.0. La messa a punto di un nuovo modello di investimenti in materia di sicurezza Ict, in cui normative, strumenti, consapevolezza e formazione siano gli elementi fondanti, è improrogabile”.
Aspettando il General Data Protection Regulation
Proprio l’aspetto normativo è stato oggetto di approfondito dibattito nel corso della tappa romana di Security Summit: il GDPR (General Data Protection Regulation – Regolamento Europeo 2016/679), che entrerà in vigore nel maggio 2018, prevede, infatti, la comunicazione obbligatoria entro 72 ore al Garante della Privacy di un eventuale “data breach”, ovvero della “violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.
“Diventa critico, a questo punto, per tutte le organizzazioni dotarsi di sistemi di monitoraggio e prevenzione. A rischio c’è la sopravvivenza”, conferma Andrea Zapparoli Manzoni.
Secondo i dati UNICRI 2014 sulla Criminalità Informatica e Rischi per L’economia e le Imprese a Livello Italiano ed Europeo, solo in Italia, è stato calcolato un costo, relativo al 2014, pari a 13 miliardi di euro per l’interruzione dei sistemi a seguito di attacco cyber. La perdita di informazioni ha causato danni per 8,4 miliardi di euro; 7,4 miliardi di euro sono stati, invece, i costi derivati da danni di immagine e alla reputazione e per il recupero dei dati[2].
Il prossimo appuntamento con il Security Summit è a Verona, il prossimo 4 ottobre.