2016: il peggiore anno (per ora) per la sicurezza informatica
La presentazione in anteprima dei dati del Rapporto Clusit è preoccupante. L'asimmetria tra attaccanti e vittime è sproporzionata e il rischio di un disastro è dietro l'angolo. Serve un cambio di paradigma, ma potrebbe già essere troppo tardi
di Andrea Bai pubblicata il 23 Febbraio 2017, alle 12:21 nel canale SicurezzaIl CLUSIT, Associazione Italiana per la Sicurezza Informatica, ha presentato in anteprima alla stampa il rapporto sulla cybersecurity relativo all'anno appena trascorso: il 2016, senza troppi giri di parole, viene definito come un "annus horribilis" a fronte di una crescita numericamente importante dei problemi ed incidenti di sicurezza in campo tecnologico e informatico.
Il rapporto CLUSIT 2016 verrà presentato ufficialmente il 14 marzo 2017 nella giornata di apertura del Security Summit, che si terrà a Milano presso l'Atahotel Expo Fiera. All'interno, oltre ad una esposizione più approfondita dei dati presentati in anteprima qui di seguito, saranno presenti anche contributi di Fastweb e Akamai (che possono osservare in prima persona, sulle loro infrastrutture, le varie tipologie di attacchi) e una serie di approfondimenti verticali su vari temi, dalla sicurezza Cloud, al voto elettronico.
Nel corso del 2016 sono stati 1050, in tutto il mondo, gli incidenti noti classificati come gravi: cosa vuol dire ciò? Per incidente grave si intende ciò che ha avuto una conseguenza significativa per le vittime, in termini di danno economico, di reputazione o di diffusione di dati sensibili.
Attenzione, però: si tratta di incidenti noti, cioè quelli che sono stati resi di pubblico dominio o per obblighi di divulgazione o per dimensione così importante da non poter passare inosservati. Vi sono, quindi, un'altra enorme quantità di incidenti e problemi di sicurezza che non vengono divulgati pubblicamente (e che possono essere noti solamente agli addetti ai lavori) che non rientrano nell'analisi del rapporto Clusit 2017. Ciononostante il quadro tratteggiato è da solo sufficiente per comprendere come la situazione sia veramente ad un punto critico.
Andrea Zapparoli Manzoni, che da sei anni cura, assieme ad altri professionisti del settore appartenenti al Clusit, le edizioni del rapporto, commenta in maniera inequivocabile: "Nel 2016 la cyber-insicurezza globalmente ha raggiunto livelli inimmaginabili ancora pochi anni fa. E’ particolarmente evidente dai dati che presentiamo oggi che negli ultimi tre anni il divario tra percezione dei rischi cyber e la realtà, e la forbice tra la gravità di questi rischi e l’efficacia delle contromisure poste in essere si sono ulteriormente allargati. Nella situazione attuale, infatti, i rischi cyber non solo stanno crescendo sensibilmente, ma continuano a non essere gestiti in modo efficace, ovvero sono fuori controllo. In quanto tali, per la stessa definizione di rischio, devono essere considerati inaccettabili. Siamo giunti ad una situazione da ‘allarme rosso’".
Rispetto all'anno precedente gli attacchi gravi ascrivibili alla tipologia Cybercrime (cioè tutti quegli attacchi che hanno il solo scopo di "make money fast") crescono del 9,8% e la categoria Cyber Warfare (la guerra delle informazioni, per lo più di stampo politico) cresce del 117%. In leggero calo sono gli attacchi di tipo Cyber Espionage (sottrazione di segreti industriali/commerciali) con un -8% e scendono in maniera più marcata gli attacchi di tipo Hacktivism con un -23%. Quel che è più allarmante, tuttavia, è la crescita percentuale degli attacchi gravi considerata per tipologia di vittime: ecco che, ad esempio, il settore della sanità vede una crescita del 102%, quello della GDO +70%, l'ambito Banking/Finance +64% e le infrastrutture critiche +15%.
Sul fronte delle tipologie di attacco crescono del 45% le tecniche sconosciute (ma questo perché spesso sebbene un incidente venga divulgato, non vengono rilasciati dettagli sul come sia accaduto), ma a preoccupare di più è l'impressionante crescita del 1166% degli attacchi compiuti con tecniche di Phishing/Social Engineering. Il Malware, comprendente quindi anche i famigerati Ransomware, cresce del 116%.
Come si declinano, nel concreto, queste statistiche che possono sembrare un po' astratte e pur impressionanti forse non riescono a comunicare la reale portata del problema? Un riferimento utile arriva dalla società assicuratrice Allianz, la quale qualche anno fa ha stimato che l'impatto del cybercrime nella sola Germania equivale a circa 1,6 punti del PIL tedesco, cioè circa 60 miliardi di euro. Si tratta del valore economico dei danni diretti ed indiretti causati dal cybercrime, che corrispondono di fatto a centinaia di migliaia di posti di lavoro. Siamo dinnanzi ad un fenomeno di erosione dell'economia reale, con un trasferimento di ricchezza di impressionante portata.
Siamo ancora in tempo per correre ai ripari? E' una domanda a cui non è possibile rispondere. L'asimmetria tra attaccanti e vittime è esageratamente sproporzionata: oggi bastano pochissime risorse e nessuna competenza (la maggior parte dei malware sono acquistabili "in kit" sul mercato nero della rete a poche centinaia o migliaia di euro) per causare danni elevatissimi - in termini di ROI, Return On Investment, si parla dell'800% alla settimana per il malware di "bassa lega". A ciò si aggiunge il fatto che, se si guarda alle aziende, il modello di business attuale non prevede per la cybersecurity lo stanziamento di budget adeguati. Bisogna cercare di conservare l'ottimismo, ma la paura che la catastrofe sia realmente dietro l'angolo non è da liquidare con superficiale scetticismo.
E' una battaglia che va combattuta su più fronti, ed in particolare è necessario un cambiamento di paradigma: "Qualsiasi dispositivo elettronico oggi, come ad esempio uno smarthpone, per poter essere commercializzato deve per legge superare una serie di test di sicurezza "fisica" elettrica ed elettronica. Ma non esiste alcuna legge che imponga di produrre un dispositivo che sia sicuro dal punto di vista cyber. Lo stesso vale per il software. E' ora di iniziare a pensare in termini di security by design" osserva Zapparoli Manzoni.
Vi anticipiamo inoltre che nel corso della giornata di domani pubblicheremo un articolo relativo ad una serie di tendenze emerse la scorsa settimana in occasione della RSA Conference di San Francisco, che permetterà di chiarire ancor meglio quali siano i grossi rischi reali che il mondo tecnologico corre ogni giorno.
E noi, nel piccolo, cosa possiamo fare? Informarci e informare, non dare per scontato di essere al sicuro solamente perché abbiamo un antivirus installato, avere un approccio critico e proattivo al tema della cybersecurity e, soprattutto, entrare nell'ottica che si tratta di un problema che riguarda individualmente ciascuno di noi. Buona fortuna.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoBasta vedere le password più usate, ma anche il fatto che Phishing/Social Engineering sono fra le tecniche più di successo per capire che il problema sta nelle persone non nella tecnologia.
D'altronde come può una generazione che non l'ha vissuta insegnare la tecnologia ai più giovani. Meglio inserire la lingua veneta a scuola -_-"
Volevo segnalare una news che mi ha impressionato, il sito è europa.eu:
https://joinup.ec.europa.eu/communi...urce-developers
e si dice in sostanza che si finanzierà Debian in modo che le LTS durino almeno 5 anni, i soldi andranno ai singoli sviluppatori Debian e anche a società dell'Open Source collaterali al progetto Debian o comunque esperte nel campo FOSS:
“We want to extend the lifespan of the Debian releases to at least 5 years in order to provide a stable and safe environment for our researchers”, system administrator Cartiaux says. In February 2016, the department began sponsoring Freexian, a French company that partners with well-known contributors in the free software community to offer long term support. This includes both individual developers and companies specialised in free and open source.
Volevo segnalare una news che mi ha impressionato, il sito è europa.eu:
https://joinup.ec.europa.eu/communi...urce-developers
e si dice in sostanza che si finanzierà Debian in modo che le LTS durino almeno 5 anni, i soldi andranno ai singoli sviluppatori Debian e anche a società dell'Open Source collaterali al progetto Debian o comunque esperte nel campo FOSS:
“We want to extend the lifespan of the Debian releases to at least 5 years in order to provide a stable and safe environment for our researchers”, system administrator Cartiaux says. In February 2016, the department began sponsoring Freexian, a French company that partners with well-known contributors in the free software community to offer long term support. This includes both individual developers and companies specialised in free and open source.
Buona notizia. Dal mio punto di vista, tutto il software usato nella pubblica amministrazione dovrebbe essere open source e libero per almeno i seguenti motivi:
[LIST=1]
[*]Trasparenza e indipendenza da società private che utilizzano i dati degli utenti per propri scopi.
[*]Risparmio sulle licenze. I soldi risparmiati potrebbero essere usati per organizzare corsi ai dipendenti per far apprendere loro software "nuovi".
[*]Possibilità di avere sempre software aggiornato ed più immune a problemi di sicurezza.
[*] Il 90-95% dei software utilizzati ha un'alternativa open source e libera valida.
[/LIST]
Aggiungo che questo fatto dipende da se uno si accontenta di usare un software gratuito oppure se uno vuole sempre il top ma gratis. In più nella PA soprattutto i dipendenti vogliono il software professionale perché non lo pagano loro anche per scrivere "hello world" perché sono abituati con quel software e di sforzi non ne vogliono fare mezzo.
Mi è capitato un sacco di volte di avere un problema non risolto da degli uffici sia pubblici che privati e per conto mio ho trovato la soluzione. In alcune occasioni ho esposto la soluzione al lavoratore il quale è caduto dalle nuvole. Mi chiedo se uno che lavora 8 ore al giorno su un settore come non sia arrivato a conoscere tutto il conoscibile su un argomento oppure se si sia limitato a ripetere le procedure a memoria per 36/40 ore e 52 settimane all'anno. Temo la seconda.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".