Il nuovo panorama delle minacce cyber all’Italia

Il panorama delle minacce informatiche all’Italia e non solo sta cambiando. Lo rileva la Relazione annuale sulla politica dell’informazione per la sicurezza, presentata a Palazzo Chigi dal direttore generale del Dipartimento Informazioni per la Sicurezza (DIS), il prefetto Alessandro Pansa. Il testo evidenzia che i rischi maggiori derivano oggi dai collettivi di hactivisti. Questi rappresentano il 52% delle cyber minacce, seguiti dai gruppi di cyber-espionage, più pericolosi anche se meno rappresentativi (19%). Alle formazioni islamiste è imputato il 6% delle aggressioni, perpetrate in Italia nel 2016. Per le tre categorie si è registrato, rispetto al 2015, un incremento degli attacchi del 5% per i gruppi hacktivisti e gli islamisti e del 2% per quelli di cyber-espionage. Quanto ai dati sulle aggressioni cibernetiche in base ai bersagli,  persiste il notevole divario tra le minacce contro i soggetti pubblici, la maggioranza (71%), e quelli privati, che si attestano attorno al 27%.

I nuovi bersagli privati sono banche, Media, PMI e settore farmaceutico

Questa divaricazione negli attacchi informatici è riconducibile, verosimilmente, alle difficoltà di notifica degli attacchi subiti, in ragione del richiamato rischio reputazionale. In entrambi i casi, la Relazione registra un aumento pari, rispettivamente, al 2% ed al 4%. In relazione ai target privati sono emersi elementi di novità. Se nel 2015 i principali bersagli degli attacchi cyber erano quelli gli operatori nei settori della difesa, delle telecomunicazioni, dell’aerospazio e dell’energia, nel 2016 figurano ai primi posti quelli del bancario (17% delle minacce a soggetti privati, +14% rispetto al 2015), le Agenzie di stampa e le testate giornalistiche. Queste, insieme alle associazioni industriali, si attestano sull’11%. Le ultime costituiscono una “new entry”, insieme al settore farmaceutico che, con il suo 5% di attacchi verso target privati, si posiziona al fianco di settori “tradizionali” come quelli della difesa, dell’aerospazio ed energia. Difesa e aerospazio, comunque, hanno registrato una diminuzione del 13% e 7%.

Cambiano gli attacchi cyber, meno malware e più SQL Injection

Anche sulle tipologie di attacchi informatici si è registrata un’inversione di tendenza. Se, infatti, nel 2015, poco più della metà delle minacce cyber era costituita dalla diffusione di malware, nel 2016 si è vista una maggiore presenza di altre tipologie di attività ostili. Questa ha comportato una contrazione (-42%) del dato relativo ai malware, attestatosi intorno all’11%. Il dato, però, non va letto come una riduzione della pericolosità della minaccia Advanced Persistent Threat (APT). Ma come il fatto che gli APT registrati si sono caratterizzati, più che per la consistenza numerica, per la loro estrema persistenza. Tra le minacce che hanno registrato un maggior numero di ricorrenze vanno annoverate: l’SQL Injection (28% del totale; +8% rispetto al 2015), i Distributed Denial of Service (19%; +14%), i Web-defacement (13%; -1%) ed il DNS poisoning (2%), impiegati sia dai gruppi hacktivisti che islamisti.

Si prevedono più investimenti internazionali su cyber, difensiva e offensiva

Con riferimento al binomio capacità/intenzionalità degli attori statuali, la Relazione ricorda che la consapevolezza dell’entità del rischio ad opera di una moltitudine di attori della minaccia, parallelamente ai massicci investimenti in cybersecurity di alcuni Paesi occidentali, potrebbe comportare, a livello internazionale, una allocazione di risorse crescenti finalizzate alla costituzione/consolidamento di asset cibernetici. Che siano a connotazione difensiva o offensiva.  Impiegabili nella prosecuzione di campagne di cyber-espionage, nonché in innovativi contesti di conflittualità ibrida e asimmetrica (cyberwarfare)- Ciò anche attraverso attività di disruption di sistemi critici, in combinazione con operazioni di guerra psicologica.

Continua a imperversare il cyber-espionage

D’altronde, il cyber-espionage continua a imperversare. Nella Relazione si sottolinea che è stato pressoché costante l’andamento dei “data breach” a danno di Istituzioni pubbliche e imprese private, incluse le PMI. La finalità è acquisizione di know-how e informazioni di business e/o strategiche, anche attraverso manovre di carattere APT. E’ stato rilevato, infatti, il ricorso sempre più strutturato a server rinvenibili nel mercato nero digitale come ordinari prodotti di e-commerce, previamente compromessi dall’offerente mediante trojan. Ciò in modo da garantire all’aggressore l’accesso a un prodotto utilizzabile per la conduzione di attacchi, preservando l’anonimato.

Cosa gli hacker attaccano e con quali strumenti

L’attività degli attori ostili in ambito cyber è stata finalizzata, sul piano strategico, alla raccolta di informazioni. Tese a comprendere il posizionamento del Paese target su eventi geo-politici di interesse per l’attore statuale ostile (laddove obiettivo dell’attacco cyber sia un soggetto pubblico). Ovvero ad acquisire informazioni industriali, commerciali o relative al know-how (qualora si tratti, invece, di un obiettivo privato). Sul piano tattico, l’attaccante è parso interessato a minare la reputazione e il vantaggio commerciale sul mercato dei target privati. In relazione al modus operandi per il conseguimento di obiettivi, si è vista come novità il ricorso a parole-chiave in lingua italiana. Ciò per ricercare documenti di interesse da esfiltrare. A ulteriore conferma dell’elevato grado di profilazione delle attività ostili sui target nazionali, nonché della ricerca di singoli individui, ritenuti di particolare interesse in ragione dell’attività professionale svolta o delle informazioni cui hanno accesso.