Nella relazione al parlamento dell’Agenzia per la Cybersicurezza Nazionale importanti dati sulla cybersecurity nelle imprese.

Che cos’è l’ACN?

L’Agenzia per la Cybersicurezza Nazionale (ACN) è un organo relativamente giovane, istituito tramite il Decreto Legge del 14 giugno 2021 con lo scopo di monitorare e proteggere la sicurezza nazionale nello spazio cibernetico. Le crescenti minacce informatiche, evolutesi significativamente negli ultimi anni in termini di complessità ed efficacia, hanno reso necessaria la creazione di un’agenzia ad hoc, che si occupi di tutelare le infrastrutture critiche del paese. L’ACN coordina le attività relative alla cybersicurezza lavorando in collaborazione con altri enti pubblici e con il settore privato, dalle attività produttive ai centri universitari di ricerca, fino alle omologhe organizzazioni europee, favorendo la condivisione delle informazioni e dei dati cruciali. L’agenzia si muove su più fronti: in particolare, da un lato interviene in modo attivo in caso di attacchi malevoli, dall’altro promuove la ricerca e lo sviluppo di nuove tecnologie e soluzioni innovative nel campo della sicurezza, nonché la formazione di nuova forza lavoro specializzata. Svolge altresì un enorme lavoro di sensibilizzazione e formazione per aumentare la consapevolezza delle minacce informatiche e diffondere le competenze necessarie per prevenire gli attacchi.

La relazione al Parlamento

Il decreto di istituzione dell’Agenzia prevede l’obbligo di presentare una relazione annuale al Parlamento per riferire sulle attività svolte nel corso dell’anno e sulle prospettive di sviluppo future. Lo scorso 19 giugno questa relazione – la prima dall’istituzione dell’ACN – è arrivata in Parlamento con tutti i dati e le attività svolte nell’ambito della cybersecurity nel periodo che va dal 1 gennaio al 31 dicembre 2022. Un anno, tra l’altro, che ha visto il consolidamento della neonata agenzia, anche attraverso la definizione della Strategia Nazionale di Cybersicurezza 2022-2026, che prevede il raggiungimento entro il 2026 di 82 misure nei campi della protezione, della risposta alle minacce e dello sviluppo di nuove tecnologie. 

Cosa dicono i dati: aumento degli attacchi cyber

L’ACN ha rilevato nel corso del 2022 un aumento a livello globale degli attacchi informatici mirati ai settori governativi e alle infrastrutture nazionali critiche, di cui l’Italia è stato uno dei paesi più colpiti. Il rapporto si basa sulle informazioni raccolte e sulle segnalazioni arrivate al CSIRT (ossia la divisione operativa dell’Agenzia) nell’anno di riferimento, ed evidenzia come l’Agenzia abbia fronteggiato “1094 eventi cyber, per una media di circa 90 eventi al mese, con un picco di 118 a febbraio 2022”. Di questi, le modalità di attacco più frequenti sono state:

• malware tramite email: un attacco tramite email infette contenenti link o allegati dannosi;
• brand abuse: quando vengono sfruttate l’autorità e la fiducia associate a un marchio per ingannare gli utenti, per esempio tramite siti o email false;
• phishing: messaggi o comunicazioni ingannevoli che sembrano provenire da fonti affidabili, come banche o istituti finanziari;
• ransomware: una forma di malware che blocca l’accesso o crittografa i file presenti sul computer o la rete della vittima;
• sfruttamento delle vulnerabilità: modalità di attacco che sfrutta le falle di sicurezza presenti nei sistemi informatici per accedervi illegalmente;
• information disclosure: attacco mirato ad acquisire e divulgare informazioni sensibili, come per esempio dati commerciali o informazioni finanziarie.

Attacchi Ransomware: è colpito soprattutto il settore privato

Un ransomware è un tipo di malware dannoso progettato per criptare i dati su un computer o sistema informatico, rendendoli inaccessibili all’utente. L’obiettivo principale di questa modalità di attacco è il pagamento di un riscatto (generalmente richiesto in criptovalute poiché meno rintracciabili) in cambio della chiave di cifratura per recuperare l’accesso ai dati. L’ACN evidenzia come questo tipo di attacco sia sempre più complesso, e si spinga fino a chiedere un riscatto anche a soggetti terzi, per esempio clienti o fornitori dell’azienda compromessa, i cui dati sono stati criptati e poi esfiltrati. 

Secondo il report, dei 130 eventi ransomware registrati nel 2022, ben l’82% ha colpito il settore privato. Di questi, il 31% ha interessato le grandi imprese, il 28% le medie imprese, mentre il 41% ha colpito le piccole imprese. Il settore più colpito è stato quello manifatturiero con 20 attacchi registrati, seguito da quello tecnologico, dal retail e dal settore sanitario e alimentare. A livello geografico, infine, gli attacchi ransomware si sono registrati principalmente nelle aree metropolitane di Roma, Milano e Torino, nel nord-ovest e nel nord-est, in linea con la distribuzione geografica delle aziende produttive. Tuttavia, per l’ACN il dato rischia di essere sottostimato in quanto le piccole-medie imprese spesso tendono a non notificare gli eventi all’autorità competente, gestendoli in autonomia. 

Conflitto Russo-Ucraino e attacchi DDoS

Come è stato più volte segnalato, gli eventi cyber sono aumentati con l’inizio del conflitto russo-ucraino, con un picco specialmente all’inizio dell’invasione nel febbraio 2022. Lo stesso sito dell’ACN ha subito un attacco DDoS all’indomani dell’attacco, che è stato però prontamente mitigato dai sistemi di sicurezza. Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui un grande numero di dispositivi o computer compromessi (botnet) vengono utilizzati per inviare un’elevata quantità di traffico indesiderato verso un obiettivo specifico, come un sito web o un server, al fine di sovraccaricarlo e renderlo inaccessibile agli utenti legittimi. Questo tipo di attacco mette un sistema fuori uso, con danni tanto maggiori quanto più a lungo dura l’attacco, ma in genere non compromette l’integrità dei dati.

Nel 2022 sono stati registrati 44 attacchi DDoS, di cui il 35% circa a danno della Pubblica Amministrazione, ad opera principalmente di hacker e collettivi filo-russi, talvolta espressamente rivendicati come forma di sostegno alla Russia. 

Indicazioni per il futuro: come ridurre le criticità 

Conoscere le vulnerabilità che hanno aperto la strada agli attacchi malevoli è fondamentale per definire una strategia preventiva efficace. Il report dell’ACN ci viene in aiuto anche su questo fronte, con una panoramica delle principali criticità riscontrate nei sistemi compromessi. 

Senza sorprese, è emerso come dispositivi e sistemi obsoleti, sottoposti a scarsa manutenzione e non più aggiornati, costituiscano un terreno fertile per gli attacchi. Al tempo stesso, anche l’assenza di sistemi di autenticazione forte e la mancata cifratura delle password sono stati cruciali. Spesso sono i sistemi già attaccati a essere nuovamente colpiti, in mancanza di un’opportuna attività di mitigazione a cui deve seguire la costruzione di un’infrastruttura solida e moderna. 

L’ACN ci ricorda una serie di best-practice per la sicurezza, che vanno dalla predisposizione di sistemi di autenticazione multifattore a un’adeguata costruzione dei ruoli e degli accessi utente, in modo che solo le persone autorizzate abbiano accesso alle informazioni sensibili. Per rispondere in caso di incidente occorre inoltre definire un piano di azione che permetta di proteggere e ripristinare i dati, riducendo al minimo l’impatto sulle attività. Si tratta di azioni che richiedono alle imprese la volontà di investire risorse per implementare nuove soluzioni di sicurezza e formare personale tecnico qualificato: una strada sulla quale bisogna iniziare a lavorare fin da ora.