l’approfondimento

Come evolvono gli attacchi cyber in Italia: le indagini OAD di AIPSI



Indirizzo copiato

Dal 2008, l’Osservatorio Attacchi Digitali (OAD) di AIPSI raccoglie dati sugli attacchi digitali ai sistemi informativi italiani. L’indagine, giunta alla diciassettesima edizione, offre preziosi trend e insight, evidenziando l’incremento degli attacchi e l’adeguamento delle misure di sicurezza, con particolare attenzione alle piccole e micro imprese

Pubblicato il 1 ago 2024

Marco Rodolfo Alessandro Bozzetti

Presidente AIPSI, Consigliere e Tesoriere FIDAInform, Founder e CEO Malabo Srl



digital360_Cybersecurity_e_privacy_739abca7-a84e-47ec-99e2-361cea2

Tra i servizi offerti [1] da AIPSI, l’Associazione Italiana Professionisti Sicurezza Digitale, è il capitolo italiano della ISSA, la più grande associazione no profit dedicata alla sicurezza digitale a livello mondiale, spicca l’Osservatorio Attacchi Digitali (OAD), l’unica indagine online in Italia sugli attacchi digitali intenzionali ai sistemi informatici di aziende ed enti.

Attiva dal 2008, l’indagine OAD è giunta alla sua diciassettesima edizione nel 2024 e coinvolge liberamente e in modo anonimo aziende di ogni settore e dimensione. I risultati raccolti, pur non avendo valenza statistica rigorosa, offrono preziose indicazioni sullo stato della sicurezza digitale in Italia, con un’attenzione particolare alle piccole e micro imprese, spesso trascurate in altre indagini. I dati e i rapporti finali delle indagini sono disponibili sul sito dedicato, costituendo una risorsa significativa per chiunque sia interessato al tema della sicurezza digitale.

L’indagine

L’indagine* è rivolta liberamente e in maniera anonima ad aziende/enti di ogni settore merceologico, incluse le Pubbliche Amministrazioni Centrali e Locali, e di ogni dimensione (come numero di dipendenti e fatturato/giro d’affari). OAD non predefinisce uno specifico bacino di rispondenti, il medesimo negli anni, ma consente a chiunque, interessato e coinvolto nella gestione di un sistema informativo di una azienda/ente, un pieno e libero accesso al questionario online con risposte preimpostate in maniera totalmente anonima. Essendo libero l’accesso ai questionari online su Internet, il campione che emerge non ha stretta valenza statistica ma, dato il numero di risposte e la buona distribuzione per dimensioni e per settore merceologico delle aziende/enti dei rispondenti, esso fornisce precise ed interessanti indicazioni sul fenomeno degli attacchi digitali in Italia, soprattutto per le piccole e piccolissime organizzazioni, che in Italia sono la stragrande maggioranza (dati ISTAT per le aziende italiane: 99,91% le PMI con meno di 250 dipendenti, e di queste circa 95% con meno di 10 dipendenti) e che difficilmente sono considerate nelle altre indagini nazionali ed internazionali.

I sedici anni di indagini ad oggi effettuate costituiscono un significativo insieme di informazioni, disponibili a tutti gli interessati, nel sito creato ad hoc che costituisce un repository di tutti i rapporti finali pubblicati e di tutta la documentazione, in alcuni casi anche il videostreaming, degli eventi in cui si sono presentati i discussi i dati emersi dalle indagini.

Nel seguito sono presentati e commentati dei confronti sui principali dati emersi nell’intero arco temporale delle indagini prima OAI e poi OAD: confronto che come già evidenziato non ha stretta valenza statistica (di anno in anno i bacino dei rispondenti sono diversi) ma che fornisce alcuni interessanti trend sugli attacchi rilevati e sulle misure di sicurezza in essere.

Premessa per la corretta lettura delle tabelle di confronto nei seguenti paragrafi

Nel leggere ed esaminare le tabelle dei prossimi paragrafi occorre tener presente che esse sono il frutto, anno per anno, dell’elaborazione dei dati acquisiti online dalle compilazioni del questionario online effettuato dalle aziende ed enti. Anno per anno il bacino dei rispondenti cambia per numero e per tipologia. Il questionario online, pur avendo mantenuto uno schema di base per le domande, tutte con risposte preimpostate, nelle varie edizioni ha aggiunto o tolto domande: da un lato per focalizzarsi su temi “caldi”, quali ad esempio l’uso di servizi in cloud e le terziarizzazioni, le certificazioni sulla sicurezza digitale dell’organizzazione, del personale e dei fornitori; dall’altro lato per ridurre il dettaglio, e la conseguente difficoltà nel rispondere, delle domande inerenti soprattutto la configurazione e le misure di sicurezza del sistema informativo., che nelle due ultime edizioni pubblicate sono state poste come opzionali.

Si tenga conto che:

  • la data di pubblicazione di un rapporto, quindi di una edizione, fa riferimento all’anno precedente o addirittura a due;
    • in quest’ultimo caso sono stati richiesti dati sugli attacchi subiti per ogni singolo anno; si hanno pertanto dati sugli attacchi anno per anno (si vedano tabelle in paragrafo 4), ma sulle tipologia di impresa, sulle macro caratteristiche del suo Sistema Informativo (SI) slle misure di sicurezza i due anni sono stati incorporati in una sola colonna, come mostrano le tabelle nei paragrafi 3 e 5;
  • l’edizione del 2017, che fa riferimento a dati del 2016, è stata volutamente focalizzata sugli attacchi agli applicativi di un SI, ed alle modalità di sviluppo sicuro di una applicazione; per questo motivo la colonna 2016 nelle tabelle di confronto ha il fondo grigio, e non riporta dati ma l’acronimo nr, che sta per non richiesto e quindi non rilevato;
  • solo dall’edizione 2018, quindi dal 2017 in avanti, OAD ha introdotto una chiara separazione tra la tipologia di attacco, ossia che cosa si attacca (le tipologie considerate sono elencate in fig. 4-2), e gli strumenti e le tecniche di attacco (le famiglie di tecniche d’attacco sono elencate in fig. 4-3);
  • nr è indicato talvolta anche per specifiche voci della tabella considerata in specifici anni;
  • i numeri nelle tabelle indicano, argomento per argomento, la diffusione in percentuale dello specifico argomento tra tutti i rispondenti nell’anno indicato;
    • nell’edizione 2023 (relativa all’anno 2022) le domande sulle misure di sicurezza erano opzionali; ad esse hanno risposto il 42,2 % del totale dei rispondenti; i dati emersi da questa parte opzionale sono pertanto significativi e rilevanti;
  • le percentuali di diffusione nelle tabelle indicano la diffusione del singolo tema considerato all’interno del bacino dei rispondenti, e non rappresentano, e non possono né vogliono rappresentare, la loro diffusione complessiva in Italia; ma grazie al mix di rispondenti, in termini di dimensioni e di settore merceologico, forniscono una chiara indicazione dell’andamento del fenomeno degli attacchi digitali e delle misure di sicurezza in essere nei SI per contrastrali;
  • dall’enorme insieme di informazioni raccolte, si sono estratti e correlati i dati su volutamente pochi argomenti che l’autore ha ritenuto significativi per mostrare specifici trend, commentati nei paragrafi che seguono.

Aziende/enti rispondenti ed i loro sistemi informativi nelle varie indagini OAI/OAD

Per inquadrare, pur in maniera generale e sempre in maniera anonima, il tipo e le macro-caratteristiche dell’azienda/ente rispondente e del suo sistema informativo, il questionario OAD ha posto domande obbligatorie sulla tipologia azienda/ente e sul settore merceologico di appartenenza, sul numero di dipendenti, sulla struttura organizzativa per la cibersicurezza e sulle primarie necessità di misure di sicurezza per le sue attività. Questo anche per poter contestualizzare le risposte (opzionali) sulle misure di sicurezza in essere, di cui al paragrafo 5 di questo articolo, e poter elaborare in tempo reale alla conclusione del questionario la macro-valutazione qualitativa del livello di sicurezza in essere del sistema informativo oggetto delle risposte.

Le prime due righe della tabella evidenziano il tipo di azienda/ente per le sue dimensioni come numero di dipendenti: nell’arco temporale considerato le organizzazioni al di sotto dei 250 dipendenti, sia private (le PMI, Piccole Medie Imprese) sia pubbliche, sono prevalenti, quasi sempre al di sopra del 60%: ed in questa fascia le organizzazioni al di sotto dei 50 dipendenti sono prevalenti in quasi tutti gli anni considerati.

Questo è uno dei principali valori che caratterizza l’indagine OAI-OAD: anche le piccole e piccolissime organizzazioni, che costituiscono la quasi totalità del tessuto economico dell’Italia, hanno risposto al questionario e forniscono indicazioni specifiche sullo stato della sicurezza digitale nei loro piccoli e piccolissimi SI. Indicazioni ed informazioni che ben difficilmente si trovano in altre indagini nazionali ed internazionali.

Come macro-caratteristica del SI oggetto delle risposte, due soli gli indicatori considerati:

  • il livello qualitativo di affidabilità, in termini di repliche delle risorse ICT, tipicamente quelle più critiche; in media, anno per anno, la percentuale oscilla tra il 40 ed il 70%, ed indica che i SI dei rispondenti, da più piccoli ai più grandi, hanno un minimo, se non buono, livello di affidabilità;
    • questo indicatore, insieme ad altri sugli attacchi subiti (si veda paragrafo 4) e soprattutto sulle misure di sicurezza in essere (si veda paragrafo 5), evidenzia come il bacino di rispondenti, in crescita anno dopo anno, rientra nella fascia medio-alta di chi ha considerato seriamente la sicurezza digitale ed ha iniziato ad implementare misure in merito, sia a livello tecnico che organizzativo: e questo probabilmente è uno dei motivi per cui ha risposto al questionario OAD;
  • l’uso di soluzioni ICT terziarizzate e/o in cloud. Osservando l’ultima riga della tabella in fig. 3-1 si evidenzia negli anni, pur con qualche non trascurabile variazione, una crescita nell’uso della terziarizzazione e di servizi in cloud. Nei primi anni solo organizzazioni di grandi dimensioni avevano iniziato ad usare servizi in cloud, poi negli ultimi anni anche le piccole hanno iniziato ad usarli, tanto che nel 2022 la quasi totalità (95%) dei SI era “ibrida”, ossia con un mix di servizi e sistemi ICT on premise e terziarizzati.

I trend sugli attacchi digitali rilevati dai rispondenti

La fig. 4-1 mostra l’andamento in percentuale degli attacchi digitali rilevati dalle/dai rispondenti al questionario dal 2007 al 2022 (si ricorda che la pubblicazione di un rapporto fa riferimento all’indagine dell’anno precedente). La barra arancione della figura evidenza la percentuale degli attacchi rilevati anno per anno. La riga rossa evidenzia come dal 2007 al 2016 gli attacchi rilevati si attestano attorno al 40%, con variazioni ad onda tipiche della logica “dopo un incremento della diffusione di attacchi segue un miglioramento/potenziamento delle misure di sicurezza a contrasto che riduce poi, tendenzialmente, gli attacchi subiti e rilevati”. In questo primo periodo si evidenzia un picco di attacchi nel 2008, uno dei primi “annus horribilis”. Dal 2017 la percentuale di attacchi inizia a crescere, e nel 2018 si verifica la prima svolta tra i rispondenti: la percentuale di attacchi rilevati supera quella degli attacchi non subiti (o non rilevati). Dal 2020 questa crescita è in continua forte crescita, e raggiunge il picco nel 2022.

Le cause di questa crescita sono ben note e si sovrappongono in una morsa assai critica per i Sistemi Informativi (SI) dei rispondenti:

  • la pervasività di Internet e il crescente uso di servizi e sistemi ICT in ogni tipo di attività e di settore merceologico; crescono quindi i consueti attacchi per frodi informatiche, furti di informazioni e di identità digitali, ricatti e sabotaggi digitali, etc, tutti facenti parte della così detta criminalità informatica
  • nel 2020 scoppia in Italia l’epidemia del Covid-19 che porta, in pochi giorni, la gran parte dei lavoratori di imprese pubbliche e private a lavorare da remoto via Internet: molti dei sistemi informativi, soprattutto delle piccole e medie organizzazioni, e spesso dei dispositivi d’utente non avevano strumenti di sicurezza adeguati, e tanto meno erano adeguate le misure organizzative e le competenze degli utenti per lavorare da remoto. Questo ha enormemente ampliato l’area di vulnerabilità informatica, ed ha causato un incremento degli attacchi, con l’aiuto anche di numerosi siti malevoli sul Covid 19 e sulle vaccinazioni;
  • Il 2022 evidenzia un ulteriore forte incremento degli attacchi digitali, arrivato al 85,1% dei rispondenti, causato dalla coda di attacchi che fanno riferimento al Covid, e dall’attacco della Federazione Russa all’Ucraina. Questa guerra, tuttora in corso, è stata preceduta ed è accompagnata da un largo uso di attacchi digitali ai principali sistemi informativi di enti pubblici e privati non solo dell’Ucraina ma anche dei vari paesi occidentali chi si sono affiancati all’Ucraina del respingere questa invasione.

La guerra cibernetica che si affianca alla guerra sul campo non è una novità del 2022, e da tempo è di fatto in atto contro le democrazie liberali occidentali da parte di paesi comunisti come Cina, Russia, Corea del Nord e da certi paesi islamici, in particolare dall’Iran, come approfondito nel Rapporto OAD 2023 cui si rimanda.

Una delle principali informazioni che emergono dall’indagine è la diffusione dei vari tipi di attacco nella realtà italiana. Si noti che solo da OAD 2018 vengono chiaramente separati nel questionario (e quindi nel rapporto finale) il “che cosa si attacca”, chiamata la tipologia di attacchi, dalle “tecniche di attacco” usate. Sia la tipologia di attacchi che le tecniche considerate non sono molto cambiate nel tempo, data la loro classificazione abbastanza ad alto livello, e la fig. 4-2 mostra la classificazione usata nell’ultimo questionario 2024 ora in uso per la tipologia di attacchi, e la fig. 4-3 per le famiglie di tecniche di attacco.

Per rendere più semplice e chiaro il trend della diffusioni degli attacchi, nella fig. 4-4 sono evidenziati solo i primi tre tipi di attacco più diffusi emersi anno per anno dalle indagini.

Nelle indagini fino al 2016 questa distinzione non esisteva, e come mostrato nelle ultime due righe in corsivo della tabella in fig. 3-4, dal 2007 al 2016 i codici maligni, che sono una famiglia di tecniche di attacco che include anche il ransomware, sono al primo posto tra gli attacchi, e la raccolta non autorizzata di informazioni, come il social engineering, altra famiglia di tecniche di attacco, è quasi sempre al secondo posto. Sempre in questo arco temporale, nelle domande del questionario online non veniva distinto il furto di apparati ICT fissi da quelli mobili: il valore percentuale riportato nella figura accomuna quindi questo tipo di attacco, che viene distinto tra apparati fissi e mobili solo dal 2017.

Il furto di dispositivi “fisici” mobili o fissi (o di alcune loro parti) rientra ai primi tre posti come diffusione fino al 2019, per poi scendere nella classifica negli anni successi ma senza mai sparire o raggiungere percentuali insignificanti. Il motivo per il furto di cellulari è abbastanza scontato: da un lato gli smartphone di buone capacità hanno un costo elevato, e quindi anche l’usato ha un suo mercato significativo. Dall’altro contengono normalmente userid e password di tutti o di gran parte degli account del possessore, che sovente non cripta tali informazioni sul dispositivo mobile: il furto del cellulare consente al ladro di disporre di tali informazioni per compiere attacchi ben più gravi, come ad esempio bonifici sui conti correnti del possessore. Solo da pochi anni gli istituti finanziari hanno introdotto l’autenticazione a più fattori, ad esempio con OTP inviate sul cellulare, che hanno significativamente ridotto la possibilità di questi tipi di attacchi. Nonostante questo il furto dell’identità digitale degli utenti rimane uno degli attacchi più diffusi, attuato prevalentemente con attacchi di social engineering (si veda fig. 4-5 e i relativi commenti). Ai primi tre posti si posizionano anche gli attacchi alle reti di comunicazione, soprattutto alle connessioni ad Internet, ma non negli ultimi quattro anni di indagine; i provider hanno potenziato le misure di sicurezza, soprattutto in ottemperanza alla direttiva europea NIS, emessa nel 2016.

Un altro tipo di attacco, la saturazione delle risorse ICT collegate ad Internet (DoS/DDoS, Denial of Service/Distributed DoS), entrò come terzo in termini di diffusione tra le/i rispondenti nel 2013 e nel 2014, e si è riposizionato a questo posto anche nel 2022, dato che molti attacchi da parte russa nell’ambito della guerra ibrida contro l’Ucraina sono di questo tipo.

Nel 2022 il primo posto come attacco più diffuso è stato guadagnato dalle “Modifiche malevoli e/o non autorizzate ai programmi applicativi e alle loro configurazioni del Sistema Informativo, anche terziarizzate e in cloud”, che negli anni precedenti non era mai entrato tra i primi tre posti: questo indica che gli attacchi sono sempre più mirati e critici, e sono in grado di cambiare, in maniera malevole, le configurazioni dei sistemi ICT e delle loro applicazioni. Questa tipologia di attacco è attuata prevalentemente con molteplici tecniche, anche in contemporanea, e con sofisticati malware.

La fig. 4-5 mostra, per chiarezza anno per anno, solo le tre famiglie di tecniche di attacco più diffuse per attuare gli attacchi di cui alla fig. 3-4. La figura evidenzia che proprio nel 2022 le tecniche ATP sono state le più diffuse, seguite da script-malware e da social engineering, almeno per gli attacchi rilevatesi più critici.

I trend sulle misure di sicurezza digitale in essere nei sistemi informativi dei rispondenti

Il confronto tra le varie misure di sicurezza in essere nei sistemi informativi dei rispondenti è risultato più complesso rispetto all’analoga sugli attacchi digitale, in quanto le domande e le risposte sulle misure nei questionari erano e sono più articolate e in qualche misura più complesse rispetto a quelle sugli attacchi, e nel tempo si è cercato di renderle il più possibile generali ed indipendenti da specifici prodotti e servizi disponibili sul mercato. Pur con le continue evoluzioni delle tecnologie ICT (sedici anni nel mondo digitale corrispondono a varie ere “geologiche”) si è sempre mantenuto un quadro concettuale di riferimento costituito dalle “famiglie” (o classi) di misure, schematizzate nella Tabella della fig. 5-1.

Misure tecnicheArchitettura complessiva delle misure della sicurezza digitale, integrata con l’intera architettura del sistema informatico, che può includere Zero Trust, SASE, SOAR, etc.
Analisi vulnerabilità
Contromisure fisiche
Misure di Identificazione, Autenticazione, Autorizzazione (IAA)
Contromisure tecniche sicurezza digitale a livello di reti locali e geografiche
Contromisure tecniche per la protezione logica dei singoli sistemi ICT
Contromisure tecniche per la protezione degli applicativi
Contromisure per la protezione dei dati
Misure organizzativeStruttura organizzativa, ruoli, competenze, certificazioni
Analisi rischi ed impatti
Policy e procedure organizzative
Contratti e clausole sicurezza digitale con le Terze Parti
Consapevolezza della sicurezza digitale a tutti i livelli della struttura organizzativa
Auditing
Misure di gestione e di governoSistemi di controllo e monitoraggio (gestione operativa della sicurezza digitale)
Governo (strategico) della sicurezza digitale
Disaster Recovery (piano, allocazione risorse alternative, etc. ).

Fig. 5-1

Si evidenzia come l’analisi delle vulnerabilità sia posta tra le misure tecniche, mentre la più generale analisi dei rischi e dei relativi impatti sulle attività e sul business dell’azienda/ente siano poste tra le misure organizzative.

Per ciascun gruppo si sono selezionate alcune misure riportate nelle prossime tabelle, idonee, a giudizio dell’autore, ad individuare alcuni significativi trend negli anni, come descritto nei seguenti sotto paragrafi.

Misure tecniche di sicurezza digitale

La tabella in fig. 5.1-1 mostra le principali misure tecniche considerate per analizzare la loro diffusione nei SI dei rispondenti nell’arco temporale considerato. Come già anticipato nel paragrafo 3, le misure considerate non sono le più importanti per la sicurezza digitale del SI, ma quelle che, presenti nell’intero arco temporale dell’indagine OAI-OAD, forniscono interessanti indicazioni sul loro trend. Dalla tabella in fig. 4.1-1 emerge in primo luogo che la maggior parte delle misure tecniche hanno percentualmente una certa “stabilità”, e le variazioni che ci sono tra un anno e l’altro dipendono soprattutto dal bacino di rispondenti emerso.

Come già sottolineato, anche questo conferma che i rispondenti al questionario OAI-OAD appartengono ad una fascia medio-alta di aziende-enti che si preoccupano della sicurezza digitale e che cercano di porvi rimedio, almeno con le risorse a loro disposizione.

Molte tematiche indicate in tabella hanno percentuali di diffusione relativamente alte fin dai primi anni, come ad esempio il controllo perimetrale e degli accessi fisici alle aree che contengono sistemi ICT in funzione, la ridondanza delle linee di collegamento ad Internet, l’uso di FWA e di reverse proxy, il backup sistematico. Negli anni queste misure sono migliorate, ma l’indagine non entra volutamente in questo tipo di dettaglio, dato che non effettua, e non può effettuare una dettagliate rilevazione dei prodotti e delle servizi in uso.

Altre voci hanno avuto un incremento negli anni, propri a causa della recrudescenza degli attacchi e della conseguente necessità di potenziamento delle misure tecniche per individuare, bloccare o ridurre l’attacco: in particolare l’analisi delle vulnerabilità tecniche dei sistemi ICT, l’autenticazione forte per gli utenti privilegiati e il progetto e l’implementazione sicura del software, la crittografia dei dati personali (e soprattutto sensibili) e di quelli più confidenziali e critici per l’impresa.

Un commento specifico per la voce “anti-malware”, che include anche sistemi antivirus: in tutti gli anni ha sempre avuto valori molto alti di diffusione (a parte due specifici anni), e nelle ultime due edizioni non è stata cercando di ridurre le domande nel questionario (e forse il non porre una demanda su questo tema è stato un errore). Nel 2012, 2013-14 e soprattutto nel 2018 la percentuale d’uso dei sistemi anti malware si riduce, ed anche fortemente. Questo dipende soprattutto dal bacino di rispondenti, assolutamente anonimo e, a personale parere dell’autore, dal fatto che una certa corrente di pensiero, tra i numerosi tecnici ICT, riteneva inefficiente e inefficace l’uso dei sistemi anti malware, per l’occupazione di capacità elaborativa per trovare la firma del malware e per i troppi falsi positivi; altri strumenti possono individuare codici maligni e provvedere ad eliminarli. E questo potrebbe essere la ragione per cui non si ha mai un 100% di diffusione.

Misure organizzative di sicurezza digitale

La tabella di fig. 5.2-1 mostra le voci scelte per le misure organizzative, scelte per meglio individuare specifici trend. Anche in questa tabella molte delle misure indicate hanno percentuali alte in tutti gli anni, ma molte, che fluttuano negli anni a secondo del bacino di rispondenti emersi, hanno un’impennata negli ultimi due anni considerati, ovviamente per cercare di meglio contrastare il crescente numero di attacchi digitali e dei loro impatti.

Le percentuali di diffusione delle policy e delle procedure organizzative inglobano situazioni diverse, con ben diversi livelli per la sicurezza digitale, dalle semplici indicazioni operative dei sistemi ICT per gli utenti finali o privilegiati alle procedure organizzative per i backup, dalla procedure per lo sviluppo sicuro di codice software a quelle per le diverse fasi per la sua messa in produzione, dalla gestione dei sistemi ICT e della loro sicurezza alla gestione degli incidenti e alla eventuale attivazione del piano di Disaster Recovery.

Il valore percentuale nella tabella include in generale tutte queste possibili e ben diverse articolazioni, ma indica che questi aspetti della sicurezza digitale, dai più ritenuti burocrazia o temi per le sole grandi realtà, di fatto si vanno diffondendo, anche grazie ai dettami delle diverse normative e dalle certificazioni. Sulla gestione del rischio residuo, tipicamente assicurandolo, la diffusione è nettamente inferiore anche perché per ora è effettuata prevalentemente dalle grandi imprese, ed ancora embrionale in quelle piccole, a parte alcune del settore ICT.

Analogamente all’analisi delle vulnerabilità nelle misure tecniche, la diffusione dell’analisi dei rischi ICT (e dei loro impatti) è cresciuta tra i rispondenti, in particolare dal 2017 in avanti. Anche l’auditing ha un simile tasso di crescita negli anni, e tale crescita è dovuta anche dalla necessità di audit per la maggior parte delle certificazioni. Simili le motivazioni per le certificazioni a livello aziendale sulla sicurezza digitale, in particolare per ISO 20000 e per ISO 27000. La richiesta di certificazioni personali sulla sicurezza digitale per proprio personale interno, soprattutto del CISO e dei suoi diretti collaboratori, cosi come la richiesta di certificazioni aziendali e/o personali sulla sicurezza per i Fornitori ICT hanno percentuali di diffusione minori, anche se in crescita negli ultimi anni, e sono attuate ancora prevalentemente da grandi organizzazioni, pubbliche e private. Due i principali motivi: le certificazioni aziendali sulla sicurezza, che richiedono specifiche certificazioni per almeno una parte di chi si occupa di sicurezza, e per i Fornitori l’emissione di gare, anche europee, per gli acquisti di prodotti e servizi sull’ICT (inclusa la consulenza).

La gestione della sicurezza digitale e del Disaster Recovery (DR)

La tabella di fig. 5.3-1 mostra le voci scelte in merito alla gestione della sicurezza ed al DR.

Le misure di gestione della sicurezza sono a cavallo tra le misure organizzative e quelle tecniche, essendo un mix tra queste; e per questo motivo l’indagine, fin dall’inizio, ha preferito considerarle in maniera separata.

Il primo tema è quello del monitoraggio e controllo di tutti gli strumenti di sicurezza digitale in funzione. In molti casi tale monitoraggio e controllo è centralizzato ed integrato con quello di gestione dell’intero SI, in altri casi è uno strumento a sé stante, anche perché spesso terziarizzato. Le percentuali di diffusione in questa prima riga fanno riferimento alle diverse tecniche usate: pur con diverse modalità, la maggior parte dei rispondenti effettua un controllo sistematico degli strumenti di sicurezza digitale in esercizio nel SI.

Nella gestione della sicurezza si è inclusa l’archiviazione e la gestione dei log degli utenti, sia quelli finali sia quelli privilegiati. In alcune edizioni di OAD non sono stati distinti i due tipi di utenza, ed anche nell’ultima pubblicata, per non rendere troppo dettagliate le domande nel questionario. La gestione dei log dell’utenza, e soprattutto degli utenti privilegiati, è una attività tipica di grandi e grandissime organizzazioni, o di quelle che gestiscono infrastrutture critiche. Nel mix di diverse aziende ed enti rispondenti negli anni, invece, questa attività ha una percentuale di diffusione non trascurabile, e con una tendenza ad una forte crescita nell’ultimo anno: sicuramente frutto della presa di conoscenza dell’utilità della raccolta dei log degli utenti, oltre a quelli dei sistemi ICT, per la sicurezza; presa di conoscenza sicuramente favorita dalle normative per la privacy e non solo, ed più in generale un altro indicatore che i rispondenti si collocano di fatto nella fascia alta della sicurezza digitale.

L’ultimo tema considerato è quello del piano di Disaster Recovery (DR): tema assai critico nella realtà italiana, considerando soprattutto il gran numero di piccole e piccolissime imprese. Anche in questo caso le risposte dell’esistenza di un piano di DR sono relativamente numerose, e con una parziale tendenza alla crescita, pur con forti variazioni anno per anno, dovute al diverso insieme di rispondenti. L’avere un piano di DR è però risultato in numerosi casi più una formalità, necessaria per certificazioni e conformità a normative, che un reale necessità ben pianificata con risorse alternative pre-allocate, la creazione di un Team di Emergenza, periodici esercizi di simulazione di un disastro; le risposte fornite alle domande di maggior dettaglio sul DR hanno infatti evidenziato questa realtà più formale che sostanziale. Pur con valori fortemente altalenanti, un “minimo” di DR è comunque presente in più di 1/3 dei rispondenti in tutti gli anni considerati, con ovviamente una maggior diffusione nelle grandi organizzazioni. In quelle piccole il DR è attuato prevalentemente o con risorse ICT in cloud o con hardware di scorta in locale, da utilizzare in caso di (limitato) disastro.

Il trend emerso dalle indagini OAI-OAD nei sedici anni

Gli attacchi digitali sono aumentati fortemente negli ultimi anni sia come numero sia come pericolosità e gravità dell’attacco, per aziende/enti di ogni dimensione e di ogni settore merceologico. La pericolosità dell’attacco, tipicamente target, aumenta per aziende/enti di grandi capacità finanziarie e di grandi dimensioni. Le aziende/enti più piccoli subiscono fortemente gli attacchi “massivi”, ad esempio con ransomware, e dato che hanno livelli di sicurezza inferiori rispetto ai “grandi”, subiscono anch’esse impatti significativi in termini di disservizi e di costi per il ripristino della situazione del SI ex ante l’attacco.

L’incremento delle misure di sicurezza in essere avviene, soprattutto in Italia e sulla larghissima massa di aziende di piccole e piccolissime dimensioni, per essere conformi alle misure di sicurezza digitale richieste da varie normative, soprattutto europee. Un primo balzo è avvenuto dal 1995 con l’introduzione della legge sulla privacy, che nel tempo ha costretto la maggior parte delle imprese, pubbliche e private, a migliorare e a potenziare le misure di sicurezza dei propri SI per proteggere i dati personali. Un’altra importante direttiva è stata la NIS, entrata in vigore a giugno 2018, focalizzata sulle infrastrutture critiche, e lo sarà ancor più la recente NIS2, che estende l’insieme di aziende ed enti obbligati a seguirla, ma che potrà essere utile come fattore leva anche alle imprese non obbligate ad essere conformi, che dovrebbero/potrebbero, con riferimenti alla NIS2, coinvolgere veramente il vertice dell’organizzazione nelle decisioni sulla sicurezza digitale, attuando una effettiva sua “governance”.

Il trend emerso dalle indagini OAI-OAD nei sedici anni, con attacchi digitali che crescono come diffusione e soprattutto come gravità di impatto quando vanno a buon fine, pur con misure di sicurezza tecniche ed organizzative non irrisorie, è in linea con quanto emerge dalle principali indagini europee e mondiali. E questo conferma la validità dell’indagine.

Essendo il questionario OAI-OAD rigorosamente anonimo, come si può essere sicuri che chi risponde non selezioni volutamente risposte errate, rispetto al suo SI? Questa sicurezza non esiste ma le risposte preimpostate sono sempre e volutamente poste in maniera diversa nelle varie domande. Ad esempio la risposta “sì” o “no” non è sempre al primo o all’ultimo posto, e nello stesso modo la risposta “non so”. Inoltre le diverse centinaia di rispondenti anno per anno costituiscono un numero tale per cui limitate scorrettezze o inesattezze divengono trascurabili rispetto alla larga massa di risposte corrette. D’altro canto risulta totalmente improbabile che centinaia di diversi rispondenti, che devono rispondere da PC diversi (il ripetere la compilazione del questionario dallo stesso dispositivo è riconosciuto e bloccato dal sistema applicativo di OAD) possano compilare il questionario selezionando volutamente risposte errate o in maniera totalmente causale. Sarebbe un impegno troppo gravoso, e per quali fini? Screditare l’indagine di una associazione no profit come AIPSI?

Conclusioni

Un’ultima considerazione dell’autore: nella attuale “guerra” tra guardie e ladri digitali, vincono quasi sempre questi ultimi. I primi cercano di seguire e talvolta di anticipare i secondi, anche acquisendo costosi strumenti, ma nel complesso questa costosa rincorsa continua non paga, visti i risultati. La sicurezza digitale non dipende solo dalle misure tecniche, ma anche da quelle organizzative e soprattutto dal comportamento degli utenti. Siamo ancora lontani da una vera security by default per tutti i dispostivi ICT, e la sicurezza digitale non potrà mai essere totalmente una “commodity”, data la necessità di contestualizzarla alla realtà, anche culturale, dell’azienda/ente. Nel breve e nel medio termine occorre agire con gli strumenti ch si hanno a disposizione, ma con un ben maggior coinvolgimento di tutto il personale, della filiera della logistica (i rischi e gli attacchi della supply chain) ed analizzando i possibili rischi ICT in una logica veramente “predittiva”: attacchi e attaccanti possono arrivare dall’intero mondo via Internet, e per i più disparati motivi: dal gioco di un giovane ad azione criminali, dalla “vendetta” di un dipendente fino alla guerra cibernetica. In caso di compromissione del SI, viene messa in gioco la continuità operativa e quindi il business stesso dell’azienda/ente. Di questo deve essere in primis ben cosciente il vertice dell’azienda/ente: la sicurezza digitale non è solo un problema tecnico, ma anche di business. Come più volte detto e scritto, la sicurezza digitale costa, ma quanto costa la “non sicurezza”?.


*Il questionario OAD 2024 è online, anonimo e sicuro, e si pregano tutti i lettori di questo articolo di compilarlo, o di farlo compilare da chi gestisce il sistema informativo della loro azienda/ente: https://www.oadweb.it/LS2024/limesurvey/index.php/279362?lang=it

Si prevede di pubblicare il rapporto finale OAD 2024 per metà-fine settembre 2024

Bibliografia

[1] Rapporti finali OAI-OAD: sono tutti scaricabili dal sito OAD dopo aver fatto il login: https://www.oadweb.it/it/rapporti-e-relativi-convegni.html

[2] ENISA, European Union Agency for Cybersecurity :

[3] ACN, Agenzia per la Cybersicurezza Nazionale:

[4] NIS, Network and Information Security, Direttiva UE n. 2016/1148: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A32016L1148

[5] NIS 2, Direttiva UE n. 2022/2555: https://eur-lex.europa.eu/eli/dir/2022/2555

[6] GDPR, Regolamento UE 2016/679 sulla privacy, https://www.garanteprivacy.it/il-testo-del-regolamento


[1] L’elenco dei servizi per le varie tipologie di socio e le modalità di associazione ad AIPSI sono dettagliate in https://www.aipsi.org/associazione/come-associarsi.html

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4