È record assoluto di cyber-attacchi nel secondo trimestre in Italia, ma con una diminuzione di quelli andati a buon fine e una sostanziale ripresa della sicurezza nel settore della Pubblica amministrazione, che è riuscita a migliorare i suoi sistemi di difesa dagli hacker. È quanto emerge dal nuovo Threat Intelligence Report elaborato dall’Osservatorio Cybersecurity di Exprivia.

Tra aprile e giugno si registra un aumento costante dei fenomeni di cybercrime, con 672 casi complessivi, quasi il doppio rispetto ai 308 del trimestre precedente. Nello specifico, si sono verificati 569 attacchi (+196% rispetto ai 192 del trimestre precedente), un numero mai raggiunto da quando l’Osservatorio Cybersecurity di Exprivia ha avviato per la prima volta l’analisi dei dati (gennaio 2020). Sono invece in calo del 21% gli incidenti, ovvero attacchi andati a buon fine, pari a 82 nel secondo trimestre rispetto ai 104 precedenti. Ammontano a 21 le violazioni della privacy (+75% rispetto alle 12 dello scorso trimestre).

Cybercrime prima minaccia alla sicurezza in rete

Il cybercrime si conferma la principale minaccia per la sicurezza in rete in Italia, con 617 fenomeni e un rialzo del 142% rispetto al trimestre precedente. A notevole distanza il data breach (violazioni di sicurezza che comportano distruzione, perdita, modifica, accesso o divulgazione non autorizzata dei dati personali) con 28 casi e l’hacktivism (attività criminali al fine di promuovere una causa politica o sociale) che ne riporta 22.

“Siamo di fronte a uno scenario di crescita costante dei fenomeni di cybercrime, anche se a fronte di un record di attacchi, rileviamo un valore minimo di incidenti, ossia attacchi andati a buon fine – commenta Domenico Raguseo, direttore Cybersecurity di Exprivia – Una lettura ottimista potrebbe suggerire una maggiore efficacia dei sistemi di difesa, così come dimostrano i dati nel settore della Pubblica amministrazione. Non è da escludere, però, che gli incidenti si possano registrare nei prossimi due mesi, così come evidenziato da dinamiche passate. Pertanto, è necessario attendere l’autunno per avere certezza di quanto gli hacker siano riusciti a portare a segno i loro colpi”.

Bersagliati il Finance e l’Ict. Migliora la Pa

Il settore maggiormente preso di mira dagli attaccanti nel secondo trimestre torna a essere quello Finance (aziende finanziarie, istituti bancari o piattaforme di criptovalute), con il 56% dei casi (377) e un raddoppio da aprile a giugno.

Al secondo posto il comparto Software/Hardware (società Ict, di servizi digitali, piattaforme di e-commerce, dispositivi e sistemi operativi) che passa da 99 fenomeni del primo trimestre a 105. Al terzo posto il Retail, ovvero quel mercato che comprende le attività di vendita da parte di un’azienda al consumatore finale, che dai 14 casi registrati nei primi tre mesi dell’anno ne segna 40 tra aprile e giugno. Il settore della Pubblica Amministrazione scende invece da 89 a 65 casi, per effetto di investimenti in politiche di protezione dei dati e frutto di una maggiore consapevolezza sulla sicurezza informatica negli enti pubblici. Chiude la classifica il settore Industria con 19 fenomeni.

Secondo gli indici di valutazione elaborati dall’Osservatorio di Exprivia, tra i dispositivi, a maggior rischio sicurezza ci sono le telecamere; mentre il settore più esposto ad attacchi – quindi dove si registrano meno investimenti in ambito cybersecurity – è quello dell’Entertainment (Industria del cinema, tv, sport, parchi tematici, ecc).

Gli attacchi: furto di dati ed estorsione

Mantiene il primato tra le principali tipologie di danni causati dagli hacker il furto dei dati con il 63% dei casi totali (423), in leggera flessione rispetto al 65% del trimestre precedente. Il furto dei dati consiste nell’archiviazione o nel trasferimento illegale di informazioni personali, finanziarie o proprietarie come password, codici software, algoritmi e processi causando gravi conseguenze per le persone o le organizzazioni colpite. Al secondo posto, la richiesta di denaro, con un incremento percentuale di circa il 362% rispetto al trimestre precedente.

A seguire, l’interruzione di servizio (l’arresto del normale funzionamento della rete, di un’applicazione o di un servizio software) con il 5% dei casi, in netto calo rispetto al 15% del trimestre precedente; mentre la violazione della privacy, ossia la divulgazione di dati da parte di soggetti terzi senza il consenso dell’interessato, si attesta al 4%.

È sempre il phishing/social engineering, ovvero l’adescamento in rete o via mail di utenti distratti o poco consapevoli, la principale tipologia di attacco, con il 60% dei casi totali (406 fenomeni rispetto ai 145 del trimestre precedente e un incremento del 180%); aumentano anche gli attacchi tramite malware (software dannosi che compromettono o interrompono l’utilizzo di dispositivi), al secondo posto con 173 casi rispetto agli 104 registrati tra gennaio e marzo 2023. In particolare, si registra un aumento esponenziale dei malware Rat (Remote access trojan), che hanno elevate capacità di evadere gli strumenti di rilevamento e, prendendo il controllo del sistema, possono eseguire, ad esempio, attacchi DDoS o rubare informazioni riservate.

Le Pmi sono più vulnerabili

Gli attacchi informatici prendono di mira soprattutto le piccole e medie imprese: secondo uno studio Data Gathering di CybergOn, business unit di Elmec Informatica dedicata alla cybersecurity, sono aumentate del 29% le attività malevole verso le pmi italiane nel primo semestre del 2023, rispetto allo stesso periodo dell’anno precedente. Data Gathering, giunto alla seconda edizione, si basa un’attività di analisi e di raccolta dati effettuata su un campione di 91 aziende capogruppo, per fornire una panoramica attuale della cybersecurity in Italia nel primo semestre dell’anno e promuovere una maggiore consapevolezza tra le diverse realtà aziendali.

Le attività registrate nel primo semestre del 2023 hanno evidenziato un aumento degli eventi critici rispetto al primo semestre del 2022. Al contrario dei mesi di aprile e giugno precedentemente rilevati, è stato sottolineato che i picchi questo semestre hanno avuto luogo nei mesi di marzo e maggio. Questo trend è in linea con quanto riscontrato dall’associazione Clusit, secondo cui le maggiori organizzazioni criminali stanno iniziando ad operare come delle vere e proprie aziende, evitando di mettere in campo attacchi informatici durante le festività.

Tuttavia, l’analisi di CybergON ha posto particolare accento su due fattori chiave: le “nazioni più attive” – ovvero le aree geografiche da dove sono partiti il maggior numero di potenziali attacchi alle pmi italiane – e i tempi di ripresa per un’azienda (in gergo tecnico remediation) dopo aver subito un attacco. Le “tre nazioni più attive” sono Russia, Bulgaria e Paesi Bassi, rispettivamente con una media settimanale di 10732 attacchi, 9542 e 4850.

Remediation: fino a 126 giorni per riprendersi

Anche l’aspetto della remediation ha portato alla luce risultati interessanti: nel primo semestre del 2023 è stato riscontrato un aumento della media dei giorni per sanare le vulnerabilità. In linea generale, per una pmi ci vogliono in media 126 giorni per sanare una vulnerabilità con criticità alta e 105 giorni per sanare una vulnerabilità critiche. Le imprese di dimensioni maggiori sembrano essere più reattive nel risolvere le vulnerabilità, sia per una maggiore consapevolezza della sicurezza informatica che per le risorse più ampie dedicate alla cybersecurity.

“La mancanza di consapevolezza delle corrette misure di sicurezza informatica da parte delle medie e delle piccole aziende in Italia è una sfida comune”, afferma Elisa Ballerio, marketing director di CybergOn. “È importante che queste realtà aziendali comprendano l’importanza di proteggere il proprio perimetro aziendale e adottino misure adeguate. Gli attacchi, anche se meno sofisticati, possono comunque rappresentare una minaccia significativa e richiedono un’attenzione costante. È fondamentale che le aziende adottino misure come firewall, sistemi di rilevamento delle intrusioni e corsi per la consapevolezza dei dipendenti, al fine di proteggersi dagli attacchi informatici provenienti da varie nazioni”.

