Mercoledì 6 ottobre si è tenuto a Verona il Security Summit 2017, organizzato da CLUSIT (Associazione Italiana per la Sicurezza Informatica).
Il Security Summit è la manifestazione che Clusit dedica alla presentazione dell’annuale Rapporto Clusit che, da anni, rappresenta la “fotografia” più completa ed accurata dello scenario della Cybersicurezza in Italia.
Giunto quest’anno alla nona edizione, il Security Summit si è imposto come l’Evento di eccellenza nel panorama italiano della Cyber Security e quest’anno l’appuntamento di Verona apre l’European Cyber Security Month (ECSM), la campagna dell’Unione Europea sui rischi informatici.
Il Rapporto Clusit 2017 era stato presentato il 14 marzo nel Security Summit di Milano. Ora a Verona ne viene offerto un aggiornamento che raccoglie i dati del primo semestre 2017. Dati assolutamente allarmanti e che confermano un trend in crescita. Nel precedente Rapporto si diceva che “il 2016 è stato l’annus horribilis della sicurezza cyber”. Ma “il primo semestre 2017 è stato il peggiore di sempre, non solo dal punto di vista quantitativo, ma anche e soprattutto da quello qualitativo”. Siamo arrivati ad una condizione di costante, quotidiano “allarme rosso“, ciò anche a causa dell’aumento costante della “superficie d’attacco” a cui è esposta la nostra società digitale. Una grande vulnerabilità del sistema deriva anche dall’esplosione dell’Internet delle Cose (IoT), sia in ambito consumer, ma soprattutto nei contesti produttivi (la c.d. Industry 4.0), dove stanno proliferando dispositivi connessi alla rete, ma realizzati senza le più elementari caratteristiche di sicurezza.
Andrea Zapparoli Manzoni (membro del comitato direttivo Clusit e tra gli autori del Rapporto Clusit 2017), nel suo intervento video (non potendo essere presente al Summit) ha dichiarato: “Nel primo semestre 2017 la cyber-insicurezza ha effettuato un ‘salto quantico’ a livello globale, raggiungendo livelli in precedenza inimmaginabili Questo a fronte di investimenti in sicurezza Ict ancora del tutto insufficienti. Considerato il livello delle minacce attuali ed il loro tasso di crescita, ed i danni già oggi sopportati dall’economia nel suo complesso, in particolare a causa del cybercrime e del cyber espionage (in Germania, da una recente ricerca, pari all’1 ,6% del PIL), appare francamente sconcertante che in Italia si spenda un solo euro in Information Security (e solo una frazione di questa cifra per attività di Cyber Security) per ogni 66 euro spesi in ICT (pari cioè al 1,5% della spesa in ICT), ovvero circa lo 0,05% del PIL”.
Infatti, mentre gli investimenti annui in ICT sono stati pari a 66 miliardi di euro, solo 1 miliardo di euro è stato speso in ICT Security (con una crescita del 5% rispetto all’anno precedente).
“Questo trend è evidentemente non solo irragionevole ma soprattutto insostenibile: chiunque considererebbe inaccettabile se, per esempio, la spesa per le dotazioni di sicurezza attive e passive di un autoveicolo rappresentasse solo l’1,5% del suo costo totale (in effetti, pur con tutti i distinguo del caso, in ambito Automotive questa percentuale è 20 volte superiore)”.
Questo dato rappresenta una enorme dissimmetria tra i mezzi messi in campo dal cybercrime (ormai si tratta di organizzazioni strutturate e con elevate disponibilità finanziarie) rispetto a quelli a disposizione di chi si difende (e che sono del tutto inadeguati). Sottostimare i rischi, procrastinare l’adozione di contromisure adeguate ed affidarsi alla “buona sorte” non sono più opzioni percorribili. In particolare non è più rimandabile una modifica radicale dell’attuale modello di investimenti in materia di sicurezza ICT (da conseguire tramite strumenti normativi, oltre che di sensibilizzazione ed awareness degli utilizzatori).
Dopo il collegamento con Zapparoli Manzoni, è intervenuto un altro degli autori del Rapporto, Alessio Pennasilico, che ci ha illustrato il Rapporto Clusit 2017: da gennaio a giugno di quest’anno sono stati 571 gli attacchi gravi di dominio pubblico, quelli cioè che hanno avuto un impatto significativo per le vittime, in termini di danno economico, reputazione e diffusione di dati sensibili. Questo indica un aumento del 8,35% rispetto ai 527 del secondo semestre 2016.
La prima causa di attacco rimane il Cybercrime, che nel 2017 arriva al 75% del totale (in crescita rispetto 72% del 2016). Tra le tecniche più usate dai cybercriminali ci sono i malware, cresciuti +86% rispetto al 2016 (un terzo composta da ransomware), e le tecniche di phishing-social engineering, cresciute di un ulteriore +85% nel 2017, dopo la crescita +1.166% dal 2015 al 2016.
Questi attacchi hanno come primo obbiettivo l’estorcere denaro e colpiscono a tutti i livelli: qualsiasi organizzazione, indipendentemente dalla dimensione o dal settore di attività, ha la ragionevole certezza di subire un attacco informatico di entità significativa entro i prossimi 12 mesi, mentre oltre la metà ne hanno già subito almeno uno nell’ultimo anno.
A livello geografico, sono in aumento gli attacchi verso l’Europa (dal 16% del secondo semestre 2016 al 19% del primo semestre 2017), e crescono significativamente anche quelli verso realtà multinazionali (dall’11% al 22%), ad indicare la tendenza dei cyber criminali a colpire bersagli sempre più importanti, di natura transnazionale. Esempi eclatanti sono stati gli attacchi “WannaCry” (maggio 2017) e “NotPetya” (giugno 2017).
Al termine della presentazione di Pennasilico, si è svolto un dibattito, moderato da Gigi Tagliapietra (Presidente onorario Clusit) con la partecipazione di: Alberto Mercurio (UNIS&F), Ettore Guarnaccia (Gruppo Intesa Sanpaolo – Divisione Banca dei Territori), Gianluca Busco Arre’ (Panda Security Italia) e Salvatore Marcis (Trend Micro).
Quello che è emerso, soprattutto negli interventi di Mercurio, Guarnaccia e Marcis, è che si investe nelle tecnologie, ma molto meno nella formazione delle persone, quando “la formazione dovrebbe essere il primo pilastro della sicurezza informatica” (Salvatore Marcis).
Sono poi seguiti alcuni interessanti seminari tecnici, condotti tra gli altri da Luca Mairani (ForcePoint), Alessio Pennasilico, Salvatore Marcis, Luca Bechelli (Clusit), Denis Valter Cassinerio (Bitdefender Italia), Stefano Maranzana e Francesco Speciale (LAN Service).
© Copyright 2017 Giorgio Sbaraglia
All rights reserved.