In Italia il 7,6% dei cyberattacchi noti, manifatturiero il primo target

Accelera la crescita degli attacchi a livello mondiale, come evidenziato da Clusit: +23%, semestre su semestre, nella prima metà del 2024.

Image by freepik

Gli attacchi informatici crescono e, anzi, accelerano la propria crescita: si legge nel nuovo rapporto di Clusit ( Associazione Italiana per la Sicurezza Informatica) che a livello mondiale nel primo semestre del 2024 i casi noti di una certa gravità sono stati 1.637, ovvero in media 273 al mese, il 23% in più rispetto ai livelli del primo semestre 2023 (230 al mese, tra gennaio e fine giugno). Come sempre, nel report sono stati presi in considerazione incidenti cyber noti, andati a buon fine e di particolare gravità, che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali. 

“Considerato che questa analisi riguarda solo attacchi andati a buon fine (“incidenti”, cioè attacchi effettivamente avvenuti e confermati) divenuti di dominio pubblico, l’osservazione di queste dinamiche conferma la nostra convinzione che, rispetto al periodo 2011-2018, negli ultimi anni sia avvenuto un cambiamento drastico nello scenario globale della cyber-insicurezza, al quale, visti gli esiti, non è evidentemente corrisposto un incremento sufficiente delle contromisure adottate dai difensori”, si legge nel report.

Allargando lo sguardo agli ultimi cinque anni l’incremento è drammatico, pari al 110%: nel primo semestre del 2019 la media mensile era stata 139, contro i 273 attuali. Su questo trend pesa anche, ed è una buona cosa, il miglioramento delle tecniche di rilevamento, ma in gran parte l’incremento dei numeri si deve alla maggior diffusione ed efficacia degli strumenti di attacco. E non basta: oltre al numero degli episodi, è anche salito l’indice di gravità degli attacchi registrati. Complessivamente, nel primo semestre dell’anno l'81% ha avuto impatti “critici” o “gravi” sugli obiettivi colpiti, dato in linea con quello del 2023 ma in netta ascesa rispetto al 47% del 2019.

Queste tendenze si legano anche allo scenario geopolitico. “Oltre all’incremento dei danni causato dal cybercrime e dalle normali attività di intelligence che osserviamo ormai da molti anni, si conferma nel primo semestre 2024 la fase di conflittualità cibernetica diffusa in cui siamo entrati nel 2022, ulteriormente cresciuta nel 2023 anche a causa dell’allargamento del conflitto tra Israele e le milizie islamiche supportate dall’Iran in vari Paesi dell’area medio-orientale”, ha commentato Sofia Scozzari, membro del comitato direttivo Clusit.

Finalità e tecniche di attacco

Nella categoria del cybercrime, cioè le attività tese al guadagno economico, rientra l’88% degli attacchi rilevati nel primo semestre 2024 (dato in crescita del 23% anno su anno e del 5% semestre su semestre), mentre il 6% è classificabile come hacktivismo, il 4% come cyberspionaggio o cybersabotaggio e il 2% come information warfare. Il 18% degli attacchi si è rivolto su organizzazioni del settore sanitario, il più colpito in assoluto. Corrisponde al 16% dei casi la categoria “target multipli”, in cui diversi settori vengono colpiti contemporaneamente per massimizzare i danni.

Quanto agli strumenti usati per colpire, il 34% degli attacchi mappati ha utilizzato malware di vario tipo, in prevalenza ransomware (vista la redditività di questo metodo) ma non solo. Lo sfruttamento di vulnerabilità è al 14% (contro il 18% delle statistiche del primo semestre 2023), il phishing/social engineering all’8%. Inoltre per più di un incidente su quattro (26%) per il Clusit non è stato possibile, da fonti pubbliche, determinare la tecnica impiegata.

Lo scenario italiano dei cyberattacchi

Nel semestre, l’Italia è stata bersaglio del 7,6% degli incidenti conclamati, ovvero 124 eventi. La percentuale è alta, considerando le dimensioni geografiche del nostro Paese, ma comunque si nota una leggera diminuzione in numeri assoluti. Inoltre l’indice di gravità in Italia è inferiore alla media globale: da noi abbondano gli incidenti a medio impatto (41%, contro il 19%) e sono meno numerosi quelli gravi (8% versus 31%).

“Sono segnali positivi ma che riteniamo prematuro considerare come un alleggerimento della pressione, e che potrebbero essere causati da una fluttuazione stagionale”, ha sottolineato Andrea Zapparoli Manzoni, membro del comitato scientifico Clusit. “In ogni caso, anche nel primo semestre 2024 il numero di incidenti subiti dal nostro Paese è sproporzionatamente alto rispetto alla nostra popolazione ed al PIL nazionale in rapporto col PIL mondiale, il che certamente merita un’attenta riflessione ed azioni concrete di mitigazione”.

La sanità è il settore più colpito a livello globale, mentre nel nostro Paese in prima linea c'è il manifatturiero, che d’altra parte rappresenta una quota importante del nostro tessuto economico, e che è bersaglio del 19% degli attacchi (versus 13% del 2023). Seguono i “target multipli” (13%), il settore governativo, militare e delle forze dell’ordine (11%), trasporti e logistica (11%), sanità (9%), il settore professionale /scientifico/tecnico (8%) e associazioni Ong e di categoria (7%), e ancora Ict, arti /intrattenimento (entrambi al 4%) e finanziario/assicurativo (2%).

Anche in Italia, come nel resto del mondo, il cybercrime è la categoria prevalente: 71% dei casi, contro il 63,5% del primo semestre 2023. Da noi, tuttavia, l’hacktivismo ha un peso maggiore, rappresentando il 29% dei casi del semestre (versus 6% di media mondiale), nonostante il numero degli episodi sia diminuito. Non sono stati registrati in Italia casi di espionage/sabotage o information warfare. Coerentemente con questi dati, il malware è stato lo strumento primario degli attaccanti, 51% dei casi, mentre i DDoS (spesso usati per scopi di hacktivismo o sabotaggio) sono scesi al 27% (dal 36% di un anno prima) e phishing e social engineering sono al 7%.

“Osserviamo che la riduzione degli attacchi in Italia nel primo semestre del 2024 è principalmente attribuibile al calo del fenomeno dell'hacktivism, che contribuisce per due terzi alla diminuzione complessiva degli attacchi”, ha spiegato Luca Bechelli, membro del comitato scientifico di Clusit. “Inoltre, abbiamo notato una significativa riduzione degli attacchi DDoS, tradizionalmente tra i più utilizzati dagli attivisti, che sono calati del 52%. Tuttavia, le organizzazioni italiane risultano particolarmente vulnerabili a iniziative con finalità dimostrativa, di natura politica o sociale: infatti, oltre un terzo del totale degli incidenti classificati come hacktivism a livello globale è avvenuto ai danni di enti o imprese italiane”.