Nel 2023 gli attacchi informatici sono cresciuti del 65%. I più colpiti sono i siti governativi e militari, ma Pmi e studi professionali sono i bersagli più vulnerabili. Perché non hanno risorse e strutture adeguate per proteggere i dati sensibili che gestiscono. E manca una piena coscienza dei pericoli in arrivo dalle truffe di phishing, furto di identità e credenziali. Le strategie difensive non possono però prescindere da una valutazione realistica dell’attrattività del proprio patrimonio di dati.
Secondo il rapporto 2024 dell’Associazione italiana per la sicurezza informatica (Clusit) lo scorso anno il nostro Paese ha assistito a una vertiginosa crescita degli attacchi cyber, aumentati qui del 65% contro una media globale del 12%. Circa la metà delle violazioni ha sortito impatti di entità ritenuta critica o elevata e i target prediletti dalla criminalità informatica sono stati il settore militare e governativo (19% degli eventi, +50% rispetto al 2022) e il manifatturiero (13%, +17% sul 2022).
Ma quel che è peggio è che le cifre descrivono inevitabilmente solo parte del fenomeno. È infatti facile ipotizzare che parecchie delle vittime preferiscano tacere, per riluttanza a mettere in piazza le loro disavventure o perché hanno ceduto a una richiesta di riscatto, in barba alle leggi. È questo perlomeno il fondato sospetto degli esperti di DuskRise Italia, attiva nella difesa del mondo enterprise e delle istituzioni con servizi di intelligence e infiltrazioni nel dark web; ma anche al fianco delle Pmi e dei professionisti con l’alter ego PuntoCyber. Quest’ultimo è «nato dalla volontà di democratizzare le soluzioni, gli strumenti e gli approcci» utili a prevenire possibili attacchi malevoli, rendendoli accessibili anche a quegli studi professionali e microaziende che restano altamente attraenti per il crimine informatico. Perché nessuno è al sicuro.
Un patrimonio da non sottovalutare
«Anche presso tessuti imprenditoriali e sociali in precedenza meno informati», afferma il ceo di DuskRise Fernando Di Luca, «conoscenza e consapevolezza dei pericoli stanno aumentando ma il panorama degli small office e home office (il cosiddetto SoHo, ndr) è per varie ragioni al centro del mirino. Sia perché spesso denota scarse risorse finanziarie (o umane) da destinare alla security sia perché sinora gli stessi vendor e fornitori di tecnologie non sono stati capaci di soddisfarne adeguatamente le loro esigenze. Inoltre, i piccoli attori non proteggono il loro patrimonio di dati come dovrebbero, perché ai dati non attribuiscono il peso e l’importanza che meritano e che è notevole, specie nel quadro di una catena del valore articolata». Si pensi, per esempio, alla criticità e alla delicatezza delle informazioni sensibili comunemente gestite da uno studio legale o a quelle archiviate nelle cartelle di uno psicologo, medico, chirurgo estetico e odontoiatra. «Abbiamo avuto a che fare con il settore delle costruzioni», ha proseguito Di Luca, «riscontrando a danno di un’impresa-cliente furti di dati che coincidevano con la presentazione delle offerte per una gara d’appalto. Lo scambio di informazioni è oggi più prezioso della compravendita di prodotti».
Vince la collaborazione
Opinione di Di Luca è che allo stato attuale una collaborazione stretta fra imprenditori, provider tecnologici, pubbliche amministrazioni e università sia imprescindibile per far crescere una radicata cultura del rischio e poter così fronteggiare «la guerra asimmetrica del cyberspazio». È necessario dare vita a politiche congiunte che agevolino i meccanismi di accesso alle tecnologie di protezione e prevenzione da parte della grande industria, del mondo Pmi e dei Professionisti, senza escludere in un prossimo futuro l’estensione al segmento consumer. «Che anche qui risiedano dati sensibili», ha spiegato Di Luca, «e per conseguenza interessanti opportunità di truffa via phishing o furto di identità e credenziali. A dimostrazione di tutto ciò il boom dei messaggi ingannevoli veicolati dai vetusti sms e relativi a spedizioni o pagamenti mai richiesti né avvenuti ne è la prova. Difendersene non pare difficile: la realtà è che emotività, disattenzione e fretta contano e controllarli non è sempre facile». Non lo è per i più smaliziati; figuriamoci per il proverbiale uomo della strada, che diviene a sua insaputa bersaglio ideale degli hacker e veicolo o collettore di informazioni riutilizzabili per bucare i firewall di una grande organizzazione. Il clic su un link in apparenza affidabile può equivalere alla concessione di uno spazio per l’installazione di un malware o all’accesso a un sito fake e maligno.
Intelligenza criminale
Molto e molto spesso si dibatte di come l’intelligenza artificiale possa servire la causa dei cattivi o quella dei buoni ma la verità è che il potere dell’AI può essere sfruttato da entrambi. Dai primi per analizzare quelle enormi moli di dati ove si celano le nostre stesse tracce, trattabili e rese commestibili per gli algoritmi, che si spendono poi a identificare target e modalità di attacco. Dai secondi per approntare naturalmente opportune procedure e meccanismi difensivi, consolidandoli e affinandoli. «Ma la artificial intelligence», ha sottolineato Fernando Di Luca, «pone le software house stesse dinanzi a uno scenario del tutto inedito e ne influenza i programmi di sviluppo. Le regole della partita sono cambiate; adesso bisogna affacciarsi alla competizione con le armi adatte». Avvocati, commercialisti, ingegneri, geometri ed esperti di brevetti, oltre alla vulnerabile galassia healthcare sono tutti bersagli appetibili e l’abitudine o tendenza a lavorare in remoto ne accresce l’esposizione al rischio. «Ci si deve rendere conto», ha detto Di Luca, «del valore dei dati e agire preventivamente cominciando con adeguata prevenzione. La prevenzione fa da argine al 95% delle possibili intrusioni; aggiungervi un’assicurazione contro il cyber risk consente di innalzare il livello di sicurezza ulteriormente». Ancor oggi i pericoli sono sottostimati e sovrastimate sono le misure di difesa, laddove basterebbero dei piccoli investimenti mirati a far la differenza. Il mercato deve indirizzare con tool semplici, intuitivi e su misura le esigenze dei professionisti, che devono essere consci di come, facendo prevenzione, gli eventuali attacchi possano essere indirizzati con sforzi e spese minori».
