Mostra tutti

Stato della minaccia cibernetica in Italia e possibile evoluzioni

Stato della minaccia cibernetica in Italia e possibile evoluzioni

In linea con un mondo che continua ad essere sempre più interconnesso e dipendente dall’efficace funzionamento e dalla resilienza di reti, sistemi e dispositivi informatici – che conferiscono natura ubiquitaria ai contenuti da essi trasportati, elaborati e conservati – l’architettura nazionale cyber ha conosciuto, nel 2017, interventi di modifica miranti a razionalizzare e potenziare ulteriormente le capacità di difesa cibernetica del Paese. Il 17 febbraio è stato adottato il nuovo Decreto del Presidente del Consiglio dei Ministri “Direttiva recante gli indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” (cd. “Decreto Gentiloni”) che, nel sostituire quello del 24 gennaio 2013, ha posto il Dipartimento Informazioni per la Sicurezza-DIS al centro della governance nazionale in materia di cyber security. Il DIS ha, così, assunto la direzione del Nucleo per la Sicurezza Cibernetica-NSC, deputato all’adozione di misure di coordinamento per la gestione di incidenti cyber di particolare rilevanza e per la dichiarazione della crisi cibernetica nazionale, rispetto alla quale è chiamato a tenere costantemente informato il Presidente del Consiglio dei Ministri. Nella sua nuova veste, il Nucleo si è riunito per valutare eventi cibernetici con potenziale impatto sistemico – ransomware WannaCry e software malevolo NotPetya – sia per definirne l’effettiva portata, sia per individuare le necessarie contromisure. In tale ambito, gli esiti degli approfondimenti svolti hanno consentito di rilevare, a dispetto del rilievo mediatico che hanno ricevuto i richiamati incidenti, contenute ripercussioni in ambito nazionale.

Tra le ulteriori misure tese ad elevare gli standard di sicurezza dei sistemi e delle reti italiane, vanno annoverate quelle che prevedono – anche in vista del recepimento della Direttiva UE 1148/2016 “Misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione” – l’unificazione operativa del CERT Nazionale (CERT-N) e del CERT della Pubblica Amministrazione (CERT-PA), al fine di acquisire maggiore capacità di rilevazione, allarme e prima analisi degli incidenti cibernetici, e l’istituzione, presso il Ministero dello Sviluppo Economico, di un Centro di Valutazione e Certificazione Nazionale- CVCN cui sarà affidata la verifica dell’affidabilità delle componenti ICT destinate ad essere impiegate nei sistemi di soggetti sia pubblici che privati nazionali, titolari di funzioni critiche o strategiche.

Tale riorganizzazione è stata formalmente declinata, a marzo, nel nuovo “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, che ha individuato, nell’annesso Piano d’Azione, le misure ritenute più urgenti per rafforzare gli assetti cibernetici del nostro Paese. L’aggiornamento del documento, frutto di una sinergia che ha coinvolto tutte le componenti dell’architettura nazionale, è stato agevolato da un articolato processo di revisione delle attività svolte a partire dal 2013 e di identificazione delle principali lesson learned. Sul piano generale, la razionalizzazione operata attraverso i richiamati interventi potrà meglio contribuire ad elevare la sicurezza dei nostri sistemi se le molteplici iniziative cyber – assunte a livello verticale (nazionale, regionale e locale) e orizzontale (pubblico e privato).

UNO SGUARDO AL CONTESTO INTERNAZIONALE

La disamina degli eventi cyber occorsi a livello internazionale nel 2017 ha portato all’attenzione due principali filoni di minaccia: il primo, riconducibile al ransomware che, mediante WannaCry, ha interessato, nel maggio, centinaia di migliaia di computer a livello globale, bloccando l’operatività di ospedali, banche e aziende; il secondo, da ascrivere alle campagne di influenza che, prendendo avvio con la diffusione online di informazioni trafugate mediante attacchi cyber, hanno mirato a condizionare l’orientamento ed il sentiment delle opinioni pubbliche, specie allorquando queste ultime sono state chiamate alle urne.

In particolare, tali campagne hanno dimostrato di saper sfruttare, con l’impiego di tecniche sofisticate e di ingenti risorse finanziarie, sia gli attributi fondanti delle democrazie liberali (dalle libertà civili agli strumenti tecnologici più avanzati), sia le divisioni politiche, economiche e sociali dei contesti d’interesse, con l’obiettivo di introdurre, all’interno degli stessi, elementi di destabilizzazione e di minarne la coesione.

AMBITI E ATTORI DELLA MINACCIA

Nel 2017, il dominio cibernetico ha continuato a costituire spazio privilegiato per attività ostili, di diversa matrice, condotte in danno di target nazionali – tanto pubblici che privati, con differente livello di strutturazione, a partire dal singolo individuo fino ad arrivare alla più complessa organizzazione istituzionale o aziendale – la cui esposizione alla minaccia è riconducibile alla crescente pervasività degli strumenti di comunicazione elettronica e di digitalizzazione delle informazioni e dei processi. La continua evoluzione del dominio cibernetico, quindi, nell’ampliare la superficie di attacco, ha parallelamente comportato una pronunciata diversificazione ed un affinamento dei vettori della minaccia. Tattiche, tecniche e procedure si sono caratterizzate, infatti, per diversi livelli di capacità offensiva: dalla negazione di servizio alla violazione di sistemi ICT, attraverso operazioni, spesso silenti, finalizzate a compromettere risorse di cui assumere il controllo, così da acquisire i dati in esse contenute.

A fronte di ciò, il Comparto ha continuato ad assicurare, mediante dedicate manovre informative, la tutela delle infrastrutture critiche e degli asset strategici, specie in occasione di eventi di rilevanza internazionale, tenutisi in territorio nazionale (incluso il G7), rispetto ai quali l’attività intelligence ha permesso di prevenire azioni ostili di matrice sia statuale che hacktivista. Nell’alveo, poi, della tutela del sistema Paese, sono state poste in essere iniziative tese ad individuare possibili criticità nelle infrastrutture di attori produttivi nazionali a protezione del loro know-how tecnologico. L’azione svolta ha consentito di rilevare la presenza di vulnerabilità nei sistemi informativi di rilevanti imprese italiane, suscettibili di esporle ad azioni sia di spionaggio digitale, sia miranti a bloccarne i sistemi e, di conseguenza, l’attività.

Il ricorso al cyber spionaggio ha continuato ad essere appannaggio quasi esclusivo di attori strutturati globali. Questi ultimi, quando hanno colpito target pubblici titolari di funzioni critiche, hanno impiegato armi digitali sempre più silenti e persistenti, articolate infrastrutture di comando e controllo, nonché tecniche di offuscamento volte a celare il codice malevolo e le sue funzionalità. Per la realizzazione delle infrastrutture d’attacco (registrazione di domini e servizi di hosting) gli attori ostili hanno privilegiato, in linea di continuità con il passato, servizi commerciali che offrono garanzie di anonimato nei pagamenti, accettando transazioni in criptovalute come i Bitcoin.

Tra le tattiche che hanno conosciuto significativa evoluzione, vanno annoverate le email di spear-phishing (v. Glossario), confermatesi quale principale vettore d’attacco. Qui, il dato emergente è costituito dal fatto che – mentre in passato, l’inoculazione del malware prevedeva l’interazione con il titolare dell’account di posta elettronica (che veniva spinto a cliccare su un link o ad accedere ad un allegato infetto) – oggi, la sola apertura dell’email è in grado di infettare la postazione colpita in modalità completamente stealth. Di particolare interesse, inoltre, sono risultate le tecniche di impersonation, che hanno consentito all’attaccante di acquisire credenziali di accesso a caselle di posta elettronica (sia istituzionali che private), riferibili spesso a figure apicali di aziende e Amministrazioni di rilevanza strategica. Tale tattica – altro tratto caratterizzante del cyber-espionage – è stata funzionale sia all’acquisizione di informazioni sensibili, anche per attività controindicate che si svolgono nel mondo reale, sia all’ulteriore propagazione del malware tra i diversi target. L’attaccante, infatti, ha fatto leva sul trust generato nel destinatario dalla ricezione di messaggistica proveniente da mittente noto o, ancorché non noto, di rango istituzionale. Sempre al fine di rendere le email credibili, sono stati usati indirizzi di posta elettronica e domini simili a quelli legittimi (cd. bitsquatting o typosquatting,), correlati al contesto professionale della vittima, ovvero analoghi a quelli impiegati da media, email provider o società, specie dei settori IT e finanziario. Al furto di credenziali ha fatto seguito, talvolta, la loro pubblicazione on-line, spesso sul dark web ovvero su siti impiegati per la condivisione di leak con il pubblico. Tali modalità, proprie dell’ecosistema hacktivista, sono state adottate sia da cyber-criminali in qualità di proxy di entità statuali, sia direttamente da quest’ultime, al fine di rendere maggiormente difficoltosa l’attribution dell’attività ostile nell’ambito di operazioni cd. “false flag” .

SERIE STATISTICHE

A completamento dello scenario descrittivo, anche per questa edizione sono state elaborate statistiche relative agli attacchi condotti contro target nazionali di rilevanza strategica sotto il profilo della sicurezza nazionale, ancorché non insistenti sul suolo italiano. Come di consueto, per maggiore completezza e adesione del dato rappresentato rispetto alla realtà fenomenica, l’analisi è stata condotta sulla base degli elementi informativi forniti da AISE ed AISI, dai Servizi Collegati Esteri, dagli organismi internazionali dedicati alla materia cibernetica, nonché dagli altri soggetti che compongono l’architettura. Imprescindibili esigenze di riservatezza circa l’entità numerica delle minacce rilevate impongono una trasposizione esclusivamente in termini percentuali del volume degli attacchi registrati.

La serie è corredata dai seguenti elementi grafici indicativi dei trend, desunti comparando i dati dell’anno di riferimento con quelli del 2016. Per quel che concerne la tipologia di attori ostili, anche nel 2017 ha trovato conferma il trend che vede nei gruppi hacktivisti la minaccia più rilevante in termini percentuali, con il 50% degli attacchi a fronte del 14% riferibili a gruppi di cyber-espionage. Entrambe le categorie hanno fatto registrare una flessione (rispettivamente, pari al -2% ed al -5%), a fronte di un aumento dei cd. “attori non meglio identificati”, che si sono attestati al 36% delle incursioni cyber. Elevato si è mantenuto, infatti, il numero complessivo di eventi per i quali non è stato possibile disporre di elementi univoci in termini di attribuzione e che, pertanto, sono stati inseriti sotto tale categoria. In merito, poi, ai gruppi islamisti, il 2017, a differenza degli anni precedenti, non ha fatto registrate in direzione di target italiani azioni così significative da essere prese in considerazione in questa analisi.

DOCUMENTO DI SICUREZZA NAZIONALE

Quanto ai dati in base ai target è diminuito in maniera rilevante – per la prima volta dal 2015, anno a partire dal quale sono state redatte serie statistiche sulle minacce cyber – il divario tra le azioni perpetrate nei confronti di soggetti pubblici, che hanno continuato a costituire la maggioranza con il 56%, e quelle in direzione di soggetti privati, che hanno raggiunto il 44%, registrando un aumento di 17 punti percentuali. Sintomo, questo, di una sempre maggiore consapevolezza dei rischi cyber e del conseguente aumento delle capacità di rilevazione e di un maggiore information-sharing. Nell’anno di riferimento, inoltre, è venuto meno il dato relativo ai target non meglio identificati o diffusi, a dimostrazione del fatto che le campagne cyber sono state condotte contro obiettivi specifici, anziché in direzione di numeri generalizzati e indistinti di obiettivi. Esplodendo, poi, i dati relativi ai soggetti pubblici, si coglie un elemento di novità rispetto agli anni pregressi. Infatti, pur continuando a rilevarsi una netta predominanza delle Amministrazioni centrali (70% degli attacchi cyber verso soggetti pubblici) rispetto agli Enti locali (30%), questi ultimi hanno fatto registrare un aumento di 17 punti percentuali rispetto al 2016. È rimasta invece immutata la differente tipologia di azioni di cui le richiamate categorie sono state vittime, anche in ragione del diverso grado di sensibilità delle informazioni da esse detenute; per tale motivo, le Pubbliche Amministrazioni Centrali-PAC, hanno continuato ad essere target privilegiato di attacchi di cyber-spionaggio, mentre le Pubbliche Amministrazioni Locali-PAL sono state perlopiù interessate da campagne di attivismo digitale. Quanto ai soggetti privati, il grafico mostra un chiaro incremento degli incidenti registrati da quasi tutti i principali settori, ad eccezione di quello bancario (-11%). È stato rilevato un notevole incremento di eventi che hanno interessato l’industria farmaceutica (+10% rispetto al 2016), obiettivo della campagna “OpSafePharma”, di matrice hacktivista. Seguono gli operatori energetici (+4%) e della difesa (+1%).

Altro aspetto da evidenziare è il ritorno di attacchi contro i settori delle telecomunicazioni (20%) e dei trasporti (6%) e quelli contro una “new entry”, rappresentata dalla grande distribuzione organizzata-GDO (3%). Sotto la voce “altri settori” (35%) sono state ricomprese aziende diversificate che non assumono, singolarmente considerate, rilevanza sotto il profilo strategico.

Con riguardo, infine, alle tipologie di attacco, rispetto al 2016 la diffusione di software malevolo (malware, v. Glossario) ha conosciuto un incremento di 19 punti percentuali, attestandosi al 30% degli eventi registrati, benché vi sia stato un sostanziale allineamento con l’SQL Injection (28% del totale; stabile rispetto all’anno precedente). In aumento sono risultate anche le attività prodromiche ad un attacco (25% degli attacchi cyber, +2% se confrontato col dato 2016), mentre in diminuzione sono i Web-defacement (-8%, v. Glossario) ed i Distributed Denial of Service (-9%). Il ricorso al phishing (v. Glossario) per finalità di truffa (2%) ha interessato in particolare operatori privati di rilevanza strategica, target, questi ultimi, di campagne che, attraverso tecniche di social engineering (v. Glossario), hanno interessato account email di personale operante nel settore Finance. L’obiettivo è stato quello di ottenere il pagamento di fatture false e/o altri benefici di natura economica, ingannando il destinatario mediante spoofing (v. Glossario) del mittente. TREND EVOLUTIVI Il cyber spazio è divenuto, nel tempo, terreno di confronto, se non addirittura di scontro geo-politico tra gli Stati. La disciplina dell’ecosistema che ruota intorno al concetto di “digitale” continua ad essere oggetto di ampio dibattito nei principali consessi internazionali dai quali emerge, in maniera “corale”, la necessità di un richiamo al senso di responsabilità degli Stati nello spazio cibernetico, atto ad evitare l’adozione di condotte suscettibili di sfociare in tensioni e conflittualità.

Al fine di scongiurare tale eventualità, una vasta gamma di strumenti – da quelli diplomatici a quelli più prettamente economici – è a disposizione della comunità internazionale, che si è dotata di appositi toolbox, come quello relativo alla “cyber diplomacy” approvato dall’UE nel mese di ottobre. L’adozione di tali misure costituisce una significativa presa d’atto dell’esigenza di intervenire nei confronti degli attori statuali ostili – ferme restando le difficoltà della definizione univoca dell’attribuzione degli attacchi – anche laddove gli stessi agiscano mediante l’impiego di proxy o secondo modalità tipiche della criminalità informatica e dell’hacktivismo. In prospettiva, si ritiene possibile un aumento del ricorso, da parte di attori statuali, a modalità operative di offuscamento, anche per conseguire profitti volti a finanziare lo sviluppo di attività sanzionate dalla comunità internazionale. Al contempo, appare ragionevole ipotizzare la crescita del trend delle minacce ibride. L’impiego di tali strumenti, pur non essendo un fenomeno nuovo, costituisce una realtà sempre più perniciosa, sofisticata e di difficile rilevazione. Gli attacchi di natura ibrida hanno infatti reso più labile la linea di demarcazione tra situazioni caratterizzate da assenza di ostilità e forme di conflittualità diffusa tra gli Stati. In questo, lo strumento cibernetico è destinato a divenire sempre di più un agevolatore di attività di influenza, realizzate attraverso la manipolazione e la diffusione mirata di informazioni preventivamente acquisite attraverso manovre intrusive nel cyber-spazio, così da orientare le opinioni pubbliche, fomentare le tensioni socio-economiche, accrescere l’instabilità politica dei Paesi dell’area occidentale, all’atto dell’adozione di decisioni strategiche, ritenute dall’attore ostile sfavorevoli ai propri interessi.

Estratto della “RELAZIONE SULLA POLITICA DELL’INFORMAZIONE PER LA SICUREZZA”  – Presidenza del Consiglio dei Ministri

libro vita da hacker

Ti potrebbero interessare

19 Luglio 2024

 Panorama delle minacce su Internet nel 2024

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
14 Gennaio 2020

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
31 Dicembre 2018

Cybersecurity: ecco i passi avanti dell’Italia

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
29 Novembre 2018

GDPR data breach notification – Notifica della violazione dei dati GDPR

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
14 Novembre 2018

#saveyourinternet – La campagna contro l’articolo 13

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua