Come di consueto, l’Autorità nazionale per la cybersicurezza (ACN) ha pubblicato la Relazione Annuale al Parlamento relativa all’anno 2023.
I numeri registrati dal Computer Security Incident Response Team (CSIRT) degli eventi e degli incidenti cibernetici e il nuovo fenomeno del cyber attivismo tra i temi affrontati relativamente a un anno che si è distinto per gli incidenti cyber, all’interno di un quadro già critico come quello caratterizzato da più conflitti in corso.
Acn, un anno critico per la cybersicurezza
“Come per larga parte delle Nazioni Occidentali, per l’Italia il 2023 è stato un anno di pesanti e diversificate aggressioni alla sicurezza cyber, che spesso hanno proceduto in parallelo ai conflitti in corso in Ucraina e in Medio Oriente”: così Alfredo Mantovano, Autorità Delegata per la sicurezza della Repubblica, nella Prefazione che dà inizio alla Relazione Annuale al Parlamento 2023.
L’anno da poco trascorso, infatti, è stato caratterizzato da numerosi attacchi cibernetici, che si sono aggiunti alle criticità già evidenti a causa del conflitto russo-ucraino e a quello mediorientale.
Dal canto suo, l’ACN ha lavorato duramente per garantire sicurezza e resilienza cibernetica a livello multidimensionale, gestendo la minaccia cyber con un approccio preventivo. Si è reso indispensabile un impegno condiviso che ha coinvolto “le migliori competenze e risorse della Nazione” congiuntamente a quelle europee e internazionali. “In tal senso, è importante il contributo dell’Agenzia per la cybersicurezza nazionale, la cui relazione annuale illustra, nei termini che seguono, le sfide in atto, le azioni per affrontarle e quanto va fatto in più e di più”.
Se, come si legge nell’introduzione alla Relazione del Direttore Generale dell’ACN Bruno Frattasi, è importante la protezione di infrastrutture e sistemi informatici, l’intervento tempestivo in casi di incidente e la condivisione informatica su attacchi e vulnerabilità, è altrettanto fondamentale utilizzare reti e sistemi sicuri, soprattutto nel caso di infrastrutture alla base del Sistema Paese, e coordinarsi con operatori privati, amministrazioni pubbliche e tutto il mondo accademico e dell’innovazione. Non ultima l’attenzione da dedicare alla formazione, sia per qualificare o ampliare le competenze dei lavoratori, sia per preparare i bambini e i giovani dalla scuola primaria ai percorsi professionalizzanti, per diffondere una consapevolezza cyber a tutta la cittadinanza.
I numeri del 2023: i dati del CSIRT
L’incremento della minaccia cyber registrato nel 2023 ha portato l’Agenzia per la cybersicurezza nazionale a rafforzare la prevenzione, la difesa e la gestione degli attacchi cibernetici, garantendo anche assistenza a chi ne è caduto vittima.
Secondo quanto è emerso dal monitoraggio effettuato dal CSIRT Italia, il Team all’interno dell’ACN deputato alla ricezione delle notifiche obbligatorie e volontarie di incidenti cibernetici, gli eventi malevoli sono stati per lo più ransomware e DDoS, ma anche malware diffusi via mail e phishing, e tra le vittime sia realtà pubbliche che aziende private appartenenti a vari settori.
Per citare alcuni numeri riportati dal CSIRT nella Relazione, gli eventi gestiti sono stati 1.411; 3.302 i soggetti target (1.150 nel 2022), 303 gli incidenti con impatto confermato, 13 gli interventi in loco a supporto della vittima e 31 gli interventi da remoto. In merito all’allertamento, le comunicazioni inviate ai soggetti sono state 20.825, 447 gli alert e i bollettini pubblicati sul portale pubblico, 72 quelli pubblicati sul portale di collaboration, 468 le stime di impatto di nuove vulnerabilità e oltre 180.000 gli indicatori di compromissione condivisi.
I dispositivi e i servizi a rischio segnalati ai soggetti sono stati 3.624 e 584 sono stati i tentativi di phishing segnalati alle vittime, 56 gli attori ransomware monitorati e 265 gli hacktivisti monitorati. Rispetto all’anno precedente, il 2022, nel 2023 è stato registrato un incremento delle segnalazioni arrivate all’ACN del 30% per gli eventi cyber e del doppio degli incidenti.
Guerre e cyber: il fenomeno del cyber attivismo
Relativamente alla correlazione dei conflitti in corso con gli attacchi cyber, è emerso nel 2023 un fenomeno, favorito dall’incremento delle tensioni geopolitiche dovuto agli scontri in campo russo-ucraino e mediorientale, che è stato chiamato cyber attivismo, caratterizzato da “gruppi che hanno lo scopo di sostenere la causa di una delle parti in conflitto attraverso azioni cyber malevole con impatti chiaramente visibili, rivendicati successivamente dal gruppo stesso”.
Gli eventi più gettonati, grazie a questo nuovo fenomeno, sono stati i DDoS, 319 per l’esattezza, un numero che rileva un aumento del 625% rispetto al 2022, contro i siti web delle Pubbliche Amministrazioni e delle imprese. Di minore quantità, 24 in totale, invece, i defacement, ossia le intrusioni informatiche che modificano le pagine di siti web con messaggi di rivendicazione, apologia o simili. 248 eventi sono stati rivendicati da collettivi filorussi, contro 15 attacchi DDoS di un’unica campagna rivendicati da un gruppo filopalestinese. Inoltre, rispetto alle PA, i soggetti privati sono stati le vittime predilette.
Su scala mondiale, i numeri registrati dal CSIRT collocano l’Italia al sesto posto nel mondo nella classifica dei più colpiti da questo tipo di eventi e al terzo posto a livello europeo.
Il piano d’azione e le parole del Direttore Generale dell’ACN
Bruno Frattasi, a seguito della presentazione al Parlamento della Relazione 2023 dell’ACN, ha dichiarato quanto segue a Cybersecurity Italia: “Sono più di 300 i cyberattacchi confermati […] Gli eventi possono riguardare sia attacchi effettivamente portati a segno, cioè per i quali c’è stato un impatto e un danno al soggetto che l’ha subito, ma anche attività preparatorie di questi attacchi che vengono rilevate dal sistema di monitoraggio che abbiamo e dal sistema di monitoraggio degli stessi attori che sono in genere dotati di questo SOC, che chiamiamo con questo acronimo, Security Operation Center, cioè queste strutture digitali naturalmente digitalizzate e informatizzate che rilevano ogni attacco o tentativo di ingresso abusivo ai propri sistemi e alle proprie reti.
Questo ci consente di rilevare anche questi attacchi che non si trasformano necessariamente in un impatto con relativo danno informatico al soggetto che lo subisce e quindi gli attacchi che hanno veramente determinato, che sono una compromissione della superficie impattata, sono stati più di 300, a fronte di un panorama molto più ampio in cui è ricompresa tutta la tipologia delle figure che noi conosciamo quando parliamo di minaccia cyber.
L’Intelligenza Artificiale è una classica tecnologia dual use, cioè può essere usata per leva di attacco e può essere utilizzata come arma difensiva. Noi ci stiamo concentrando sullo sfruttamento dell’Intelligenza Artificiale come arma difensiva, cioè come potenziamento della risposta alla minaccia cibernetica. L’ho citato nella presentazione delle slide, l’Hyper SOC, che è questa importante iniziativa che abbiamo avviato con i fondi del Piano Nazionale Ripresa e Resilienza, e che stiamo portando avanti in collaborazione con Cineca, si prefigge di utilizzare la High Performance Computing, l’alta capacità computazionale dei computer di ultimissima generazione, integrata dei sistemi degli algoritmi di Intelligenza Artificiale e di Machine Learning per analizzare con molta più profondità di quanto non ci faccia adesso la minaccia cibernetica, poterla conoscere nella sua struttura, poterla anticipare anche con quella che si chiama analisi preventiva e che è rivolta appunto ad anticipare l’offesa che l’attaccante intende portare alla superficie digitale del paese.
Questo è un importante balzo in avanti che noi speriamo di poter fare al più presto e lo faremo con una serie di collaborazioni che stiamo raccogliendo tra grandi player nazionali, che abbiamo già coinvolto nella fase di start up di questa iniziativa e contribuiremo a farlo perché più siamo a collaborare tra attori pubblici e privati strategici su questo fronte, più ovviamente rafforziamo la capacità di confrontarci adeguatamente e spero anche efficacemente a una minaccia che oggi è in incombente”
