Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
uo ob
va re
ed 20
iz 21
io
ne
Rapporto
2021
sulla sicurezza ICT
in Italia
Indice
Di tutti i dati che ho letto in anteprima del Rapporto che avete in mano uno mi ha colpito in
particolare: il 25% degli attacchi che abbiamo mappato nel primo semestre del 2021 è stato
diretto verso l’Europa (senza contare la quota parte degli attacchi multipli).
Il dato è interessante perché nel 2020 gli attacchi gravi contro l’Europa sono stati il 17% ed
erano l’11% nel 2019.
Io non credo.
Penso che in realtà i dati derivino da altri elementi e in particolare dalla spinta delle norma-
tive che hanno costretto chi subisce attacchi che comportano violazioni dei dati a segnalar-
lo, quando dovuto per legge, non solo alle Autorità ma anche agli interessati oggetto della
violazione. Queste comunicazioni agli interessati unitamente al fatto che sempre più spesso
i criminali rendono noti gli attacchi soprattutto ransomware fa si che sia sempre più difficile
nascondere i fatti che accadono.
Questo comporta che molte realtà hanno preferito iniziare a comunicare in modo trasparen-
te informando il mercato degli attacchi subiti, delle conseguenze e degli interventi effettuati
per ripristinare i sistemi e limitare i danni.
L’abbandono della tendenza alla omertà è un fatto rilevantissimo ma comporta che scopria-
mo di colpo, per chi non se ne fosse accorto, che siamo al centro del fenomeno.
Perché?
Probabilmente perché non investiamo abbastanza e quello che investiamo finisce in rivoli
di spesa senza una strategia e una visione di insieme ma anche perché, venendo all’Italia,
non abbiamo una strategia politica e imprenditoriale se è vero, come risulta dai dati, che
il nostro paese ha contribuito in modo marginale alla creazione di start-up in ambito cyber
negli ultimi anni e, quelle poche nate, sono state finanziate mediamente un ventesimo
rispetto alle altre.
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 5
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Nel frattempo però abbiamo una grandissima occasione: il PNRR e i fondi che saranno
riversati in innovazione digitale nei prossimi anni.
Al di là del capitolo di spesa specifico, si deve pensare a tutto il resto. Non esiste innova-
zione senza sicurezza.
E allora se sapremo cogliere l’occasione che abbiamo davanti fra qualche anno potremo dire
di aver fatto un passo avanti.
Ed è possibile farlo grande.
Come CLUSIT continueremo a fare la nostra parte, portando avanti tutte quelle attività di
raccolta di dati, di analisi del fenomeno e di diffusione di conoscenza che ormai ci caratte-
rizzano da oltre 20 anni.
E allora buona lettura del Rapporto CLUSIT che avete fra le mani che è il frutto del lavoro
di un pool di esperti che ha analizzato e confrontato una ampia serie di fonti.
Il risultato dello sforzo di un team di altissimo livello che da anni lavora per sensibilizzare il
mondo pubblico e privato sui temi della sicurezza informatica.
Ringrazio, a nome di tutti gli Associati e di tutti coloro che lo leggeranno, i Colleghi che
hanno dedicato tempo e sforzi alla sua stesura.
Oltre 70.000 copie scaricate e più di 300 articoli pubblicati nel 2020, sono l’evidenza della
rilevanza del Rapporto CLUSIT ed è quindi importante diffonderlo, leggerlo, farlo conosce-
re, perché solo dalla consapevolezza può derivare la conoscenza del problema, la capacità di
adottare scelte idonee e quindi la sicurezza nostra e di tutti.
Buona lettura.
Gabriele Faggioli
Presidente CLUSIT
6
Introduzione al Rapporto
Fino all’anno scorso, avevamo l’abitudine di pubblicare a ottobre un rapporto di metà anno,
che riprendeva in gran parte il rapporto principale, pubblicato ogni anno a marzo, con l’ag-
giornamento dei soli dati relativi agli attacchi del primo semestre dell’anno in corso. A
partire da questa edizione, invece, abbiamo deciso di pubblicare un rapporto di metà anno
con contenuti e dati completamente inediti rispetto a quello di marzo. E ciò è dovuto allo
spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo
(per la gravità del loro impatto), che necessita di una costante attenzione. Siamo di fronte
a problematiche che per natura, gravità e dimensione travalicano costantemente i confini
dell’ICT e della stessa Cyber Security, e hanno impatti profondi, duraturi e sistemici su ogni
aspetto della società, della politica, dell’economia e della geopolitica.
La crescita drammatica delle perdite derivanti da questa situazione di Far West digitale,
stimate in 1 trilione di dollari per il 2020 e 6 trilioni per il 2021, dovrebbe far riflettere molto
seriamente. Stiamo parlando di dinamiche deleterie, che rappresentano un’emergenza glo-
bale concreta e incidono ormai per una percentuale significativa del GDP mondiale, con un
tasso di peggioramento annuale a 2 cifre e un valore pari a 3 volte il PIL italiano.
Auspichiamo che il PNRR (Piano nazionale di ripresa e resilienza), che complessivamente
alloca circa 45 miliardi di euro per la “transizione digitale”, possa rappresentare per l’Italia
l’occasione di mettersi al passo e colmare le proprie lacune (anche) in ambito cyber, e non
abbia come esito un ampliamento della superficie di attacco esposta dal Paese, ma una sua
complessiva, significativa riduzione.
Per realizzarsi, questo obiettivo (assolutamente prioritario e strategico) richiederà una go-
vernance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti dal
piano, una vision politica che non accetti compromessi e pressioni esterne, e (finalmente)
la valorizzazione delle risorse umane con competenze cyber (in termini di talenti e di espe-
rienze) del Paese, e il loro sviluppo in termini quantitativi e qualitativi.
Rispetto al secondo semestre 2020, in termini assoluti nel 1° semestre 2021 la crescita
maggiore nel numero di attacchi gravi si osserva verso le categorie “Transportation / Sto-
rage” (+108,7%), “Professional, Scientific, Technical” (+85,2%) e “News & Multimedia”
(+65,2%), seguite da “Wholesale / Retail” (+61,3%) e “Manufacturing” (+46,9%). Au-
mentano anche gli attacchi verso le categorie “Energy / Utilities” (+46,2%), “Government”
(+39,2%), “Arts / Entertainment” (+36,8%) ed “Healthcare” (+18,8%).
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 7
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Per quanto riguarda la severity: nel 2020 gli attacchi con impatto “Critico” rappresentavano
il 13% del totale, quelli di livello “Alto” il 36%, quelli di livello “Medio” il 32% e infine
quelli di livello “Basso” il 19%. Complessivamente, gli attacchi gravi con effetti molto im-
portanti (High) o devastanti (Critical) nel 2020 erano il 49% del campione. Nel primo se-
mestre 2021 la situazione è molto diversa, e francamente impressionante: gli attacchi gravi
con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical) rappresentano
il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto basso solo il
4%. In questo caso gli attacchi con impatto Critical e High sono il 74%.
Ci siamo avvalsi anche in questa edizione dei dati relativi agli attacchi rilevati dal Secu-
rity Operations Center (SOC) di FASTWEB, che nella prima metà del 2021 (dal 1°
gennaio al 31 agosto), ha registrato 36 Milioni di eventi malevoli, in forte aumento rispetto
allo stesso periodo dell’anno precedente (+180%). Il fenomeno più preoccupante è l’incre-
mento dell’attività dei ransomware con richiesta di riscatto. Infatti, è stata osservata una
crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo dello
scorso anno. E le conseguenze causate da questa tipologia di attacchi, sempre più aggres-
sivi, diventano in qualche modo ancora più evidenti. Si vedano ad esempio gli attacchi a
danno di strutture pubbliche che hanno bloccato l’operatività quotidiana.
L’analisi degli attacchi in Italia è poi completata dalle rilevazioni e segnalazioni della Polizia
Postale e delle Comunicazioni, che ci hanno fornito dati e informazioni estremamente
interessanti su attività e operazioni svolte nel corso del primo semestre di quest’anno.
Sempre a proposito di attività investigative, abbiamo ricevuto e pubblicato altri due auto-
revoli contributi.
Il primo realizzato dall’Ufficio Protezione Dati della Direzione Centrale Polizia Cri-
minale, sulla base di 5 anni di attività : le questioni organizzative e le sinergie maturate tra
data protection e cyber security.
Il secondo, realizzato da un esperto del CERT di Banca d’Italia, sull’Open Source Intelli-
gence nell’ambito delle investigazioni di Cyber Threat Intelligence (CTI).
Presentiamo a questo punto l’abituale capitolo dedicato al settore FINANCE, con un’ana-
lisi sul Cyber-crime nel settore finanziario in Europa, a cura di IBM, e un contributo
del CERTFin sull’Evoluzione delle minacce cyber nel settore finanziario italiano.
8
Introduzione al Rapporto
©
Clusit 2021 9
Panoramica dei cyber attacchi più significativi del
2018-2020 e del primo semestre 2021
In questo aggiornamento del Rapporto CLUSIT, giunto ormai al suo decimo anno di pubbli-
cazione, analizziamo i più gravi cyber attacchi noti avvenuti a livello globale (Italia inclusa)
nell’ultimo triennio1 e li confrontiamo con l’analisi dei 1.053 attacchi che abbiamo indivi-
duato e classificato per il primo semestre 2021.
Nell’ambito di questa ricerca, in 10 anni abbiamo identificato, classificato e valutato oltre
13.000 attacchi informatici gravi (in media 1.300 all’anno, più di 100 al mese). Di questi,
6.148 si sono verificati negli ultimi 3 anni e mezzo, dimostrando un’accelerazione impres-
sionante nella frequenza delle minacce cibernetiche.
La metodologia utilizzata per svolgere questa analisi è stata raffinata ed aggiornata nel tempo,
sia dal punto di vista del numero e della qualità delle fonti utilizzate (circa 450 nel 2020,
oltre 260 per il primo semestre 2021), che della quantità di variabili impiegate per descrivere
i diversi fenomeni e, a partire da questa edizione, delle tassonomie utilizzate per classificare
i dati, che sono state completamente riviste ed aggiornate per aderire quanto più possibile a
standard riconosciuti a livello internazionale.
In particolare il sistema di classificazione dei settori merceologici che da quest’anno abbiamo
adottato per mappare le vittime di attacchi informatici è derivato dall’ISIC (International
Standard Industrial Classification of All Economic Activities) delle Nazioni Unite e dalla
NACE della Commissione Europea (Nomenclature statistique des activités économiques
dans la Communauté Européenne)2.
La classificazione delle tecniche di attacco è ora derivata dalla Threat Taxonomy dell’ENI-
SA, dalla Open Threat Taxonomy e da diversi altri framework3.
La classificazione degli attaccanti deriva invece dalla nostra esperienza sul campo e rappre-
senta una mappatura tra le principali famiglie di “bad actors” e le motivazioni degli attacchi
osservati.
Oltre ad aver rivisto completamente il modello abbiamo anche riclassificato gli attacchi
dell’ultimo triennio (5.095) per renderli confrontabili con quelli del primo semestre 2021
(1.053) e non perdere così la visione “prospettica” dei fenomeni, che è una delle caratteri-
stiche più distintive di questa ricerca.
1
Dal primo gennaio 2018 al 31 dicembre 2020
2
Utilizzata anche in Italia come tassonomia ATECO, redatta dall’ISTAT
3 “A Taxonomy of Cyber Events Affecting Communities”, IEEE, 2011; “AVOIDIT: A Cyber Attack Taxonomy”, Department of Computer Science
University of Memphis; “Evaluation of Comprehensive Taxonomies for Information Technology Threats”, SANS Institute
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 11
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Quando nell’ormai remoto 2012 abbiamo iniziato questa ricerca, poi pubblicata nella prima
edizione del Rapporto Clusit, definendo (ingenuamente) il 2011 come “l’Annus Horribilis
della sicurezza informatica”, gli scenari erano radicalmente diversi e gli impatti geopolitici e
socio-economici delle minacce cibernetiche rappresentavano ancora un problema relativa-
mente minore, suscitando interesse e preoccupazione solo tra pochi esperti di ICT Security.
Giova qui ricordare che all’epoca i rischi “cyber” non erano nemmeno considerati all’interno
del Global Risk Report del World Economic Forum5, nel quale sono stati introdotti solo nel
2015 ma che già dal 2019 sono assurti al primo posto per impatto e probabilità di accadi-
mento, insieme ai disastri naturali ed agli effetti globali del climate change.
Lo scopo originario per il quale è nato questo lavoro era dunque di elevare la consapevolez-
za e migliorare la comprensione del pubblico italiano rispetto all’evoluzione delle minacce
cibernetiche, nell’ipotesi (poi dimostratasi drammaticamente esatta) che il problema sa-
rebbe inevitabilmente degenerato con grande rapidità nei mesi ed anni successivi, e che
la pressoché totale mancanza di sensibilità in materia fosse una delle principali ragioni del
peggioramento degli scenari.
Questa finalità rimane ancora oggi assolutamente centrale, ma data la criticità della situa-
4 https://it.wikipedia.org/wiki/Bias_(statistica)
5 https://www.weforum.org/reports/the-global-risks-report-2020
12
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
zione che si è venuta a creare nel frattempo, e considerati i rischi sistemici, esistenziali che
oggi incombono sulla nostra civiltà digitale a causa della crescita straordinaria delle minacce
cibernetiche, siamo convinti che innalzare l’awareness del pubblico non sia più sufficiente,
e che questa analisi debba continuare ad evolversi, trasformandosi da una semplice cronaca
ragionata degli attacchi in un vero e proprio strumento di lavoro e di supporto decisionale.
Per questa ragione dal 2017 abbiamo introdotto un indice della gravità degli attacchi ana-
lizzati, classificandoli in base a livelli crescenti di “Severity”, il che ci consente di realizzare
un’analisi dei differenti impatti causati dalle diverse categorie di attaccanti rispetto alle va-
rie tipologie di vittime, e di offrire interessanti spunti di riflessione a coloro che si occupano
di threat modeling, di cyber risk management e di cyber strategy, sia a livello aziendale che
istituzionale, grazie ad una migliore “fotografia” dei rischi attuali resa possibile da questo
ulteriore elemento di valutazione.
Anticipando alcune delle conclusioni che seguono possiamo affermare che se ad oggi il
2020 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e
dei relativi impatti, evidenziando un trend persistente di crescita degli attacchi, della loro
gravità e dei danni conseguenti, tale tendenza negativa si conferma ampiamente anche nel
primo semestre 2021.
Osservando la situazione dal punto di vista quantitativo, confrontando i numeri del primo
semestre 2018 con quelli del primo semestre 2021 la crescita degli attacchi gravi è stata del
30% (da 745 a 1.053). Detto diversamente, in 8 semestri la media mensile di attacchi gravi
è passata da 124 a 170.
Oltre ad una maggiore frequenza, la valutazione della Severity media di questi attacchi
(indice di gravità degli attacchi analizzati) nei confronti di alcune categorie di vittime è
contestualmente peggiorata, agendo da moltiplicatore dei danni.
L’osservazione di queste dinamiche conferma la nostra convinzione che a partire da 3-4
anni fa sia avvenuto un vero e proprio cambiamento epocale nei livelli globali di cyber-insi-
curezza, causato dall’evoluzione rapidissima degli attori di minaccia, delle modalità, della
pervasività e dell’efficacia degli attacchi, al quale non è corrisposto un incremento sufficien-
te delle contromisure adottate dai difensori.
Come previsto pertanto si sono realizzate appieno le tendenze più pericolose descritte in
questo Rapporto già nel 2017, che avevamo definito come “l’anno del trionfo del malware,
degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli, dell’alte-
razione di massa della percezione e della definitiva discesa in campo degli Stati come attori
di minaccia”.
Allo stesso tempo dobbiamo tenere presente che Cybercrime, Cyber Espionage ed Infor-
mation Warfare del 2020-2021 non sono certamente più quelli del 2017, anche se con-
tinuiamo ad utilizzare le stesse denominazioni, e mostrano un cambiamento qualitativo
straordinario.
©
Clusit 2021 13
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
A causa di ciò, già da anni siamo di fronte a problematiche che per natura, gravità e dimen-
sione travalicano costantemente i confini dell’ICT e della stessa Cyber Security, ed hanno
impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’eco-
nomia e della geopolitica.
La crescita drammatica delle perdite derivanti da questa situazione di Far West digitale,
stimate in 1 trilione di dollari per il 2020 e 6 trilioni per il 20216, dovrebbe far riflettere
molto seriamente. Stiamo parlando di dinamiche deleterie, che rappresentano un’emergen-
za globale concreta, un “clear and present danger”7 ed incidono ormai per una percentuale
significativa del GDP mondiale, con un tasso di peggioramento annuale a 2 cifre ed un
valore pari a 3 volte il PIL italiano.
Bisogna ormai ammettere che in ambito ICT l’approccio basato sul laissez-faire da parte del-
la politica, sulla mancanza di chiare responsabilità dei produttori di tecnologia e sul “carpe
diem” degli utenti finali, ha definitivamente mostrato tutti i suoi limiti, ed oggi rappresenta
una minaccia in sè per il benessere della società e dei suoi membri, generando rischi inac-
cettabili per una civiltà che ormai basa la sua sopravvivenza sul buon funzionamento del
digitale.
Riassumendo le nostre impressioni sulle tendenze in atto, con una battuta affermiamo che
“la festa è finita”. I dati dimostrano che il tempo della sottovalutazione dei problemi, del
rimandare l’adozione di contromisure efficaci (evitando di investire quanto necessario) è
terminato.
In questo senso auspichiamo che il PNRR (Piano nazionale di ripresa e resilienza), che
complessivamente alloca circa 45 miliardi di euro per la “transizione digitale”, possa rap-
presentare per l’Italia l’occasione di mettersi al passo e colmare le proprie lacune (anche)
in ambito cyber, e non abbia come esito un ampliamento della superficie di attacco esposta
dal Paese, ma una sua complessiva, significativa riduzione.
Per realizzarsi, questo obiettivo (assolutamente prioritario e strategico) richiederà una go-
vernance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti dal
piano, una vision politica che non accetti compromessi e pressioni esterne, e (finalmente)
la valorizzazione delle risorse umane con competenze cyber (in termini di talenti e di espe-
rienze) del Paese, ed il loro sviluppo in termini quantitativi e qualitativi.
Confidando che anche quest’anno il Rapporto CLUSIT possa apportare un contributo si-
gnificativo al dibattito nazionale in merito all’accelerazione crescente delle problematiche
globali di sicurezza cibernetica ed alle sue ricadute sul benessere del Paese, auguriamo a
tutti una buona lettura.
6 https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
7 “a risk or threat to safety or other public interests that is serious and imminent”
14
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
1050
1053
1000
950
957
900
917
850 871
800
809 796
750
745
700
1H 2018 2H 2018 1H 2019 2H 2019 1H 2020 2H 2020 1H 2021
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
8 pur avendo iniziato questa ricerca nel 2011, oggi ha poco senso fare confronti con gli anni precedenti al 2018
©
Clusit 2021 15
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Dal punto di vista numerico, dei 13.014 attacchi gravi di pubblico dominio che costitui-
scono il nostro database di incidenti degli ultimi 10 anni, nel 2020 ne abbiamo raccolti e
analizzati 1.874, contro i 1.667 del 2019 (+12%), con una media complessiva di 107 attac-
chi gravi al mese (erano 39 nel 2011, 130 nel 2018, e sono 176 nel primo semestre 2021).
Nel nostro campione, il picco massimo di sempre si è avuto ad aprile 2021 (204 attacchi).
Questa la distribuzione mensile degli attacchi registrati nel primo semestre 2021.
GIU.21 153
MAG.21 153
APR.21 204
MAR.21 196
FEB.21 188
GEN.21 159
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
180
176
170
160
160
150 153
140 145
130 135
133
120 124
1H 2018 2H 2018 1H 2019 2H 2019 1H 2020 2H 2020 1H 2021
16
GEN.21 159
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
0 30 60 90 120 150 180 210
Di seguito una rappresentazione sintetica delle medie mensili negli ultimi 3 anni e mezzo.
176
170
160
160
150 153
140 145
130 135
133
120 124
1H 2018 2H 2018 1H 2019 2H 2019 1H 2020 2H 2020 1H 2021
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
Le tre tabelle e i grafici seguenti rappresentano una sintesi dell’analisi dei dati che abbia-
mo raccolto. Come in passato abbiamo evidenziato nella colonna più a destra le tendenze
osservate.
Avendo modificato a fondo le tassonomie utilizzate per la classificazione degli attacchi pre-
sentiamo il confronto dei dati a partire dal 2018, rimandando alle edizioni precedenti del
Rapporto Clusit per i dati relativi al periodo 2011-2017.
©
Clusit 2021 17
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
1H 2021
2H Trend
ATTACCANTI PER TIPOLOGIA 2018 2019 2020 1H 2021 su
2020 2021
2H 2020
Hacktivism 64 48 48 21 7 -66.7%
Espionage-Sabotage +
261 238 308 172 121 -29.65%
Inf. Warfare
Rispetto al secondo semestre 2020 il numero di attacchi gravi di dominio pubblico che
abbiamo raccolto per il primo semestre 2021 è in crescita del 10% (957 contro 1.053).
In termini assoluti nel 2020 le categorie “Cybercrime”, “Cyber Espionage” e “Information
Warfare” fanno registrare il numero di attacchi più elevato degli ultimi 10 anni, tendenza
che si conferma anche nel primo semestre 2021.
Dal campione emerge chiaramente che rispetto al secondo semestre 2020 le attività riferi-
bili ad attacchi della categoria “Hacktivism” diminuiscono ancora sensibilmente (-66,7%
in termini percentuali), mentre nel primo semestre 2021 sono in aumento sia gli attacchi
gravi compiuti per finalità di “Cybercrime” (+21,1%) che quelli riferibili a “Information
Warfare” (+18,2%).
Diminuiscono gli attacchi classificati come attività di “Cyber Espionage” (-36,7%) dopo
il picco straordinario del 2020 (dovuti principalmente a spionaggio relativo allo sviluppo di
vaccini e cure per il Covid-19).
Va sottolineato che, rispetto al passato, oggi in alcuni casi risulta più difficile distinguere
nettamente tra “Cyber Espionage” e “Information Warfare”: sommando gli attacchi di en-
trambe le categorie, nel 1H 2021 tali attacchi rappresentano l’11% del totale.
18
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
1%
Tipologia e distribuzione
2% attaccanti 1H 2021
9%
1%
2%
9%
88%
88%
Cybercrime EspionageSabotage InformationWarfare Hacktivism
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
81%
79%
88%
83%
81%
79%
14% 14%
13%
12%
9%
13%
4%
4%
12%
3%
3%
2%
2%
2%
1%
9%
4%
4%
3%
3%
2%
2%
2%
1%
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
L’Hacktivism diminuisce ulteriormente, passando dal 4% dei casi analizzati nel 2018 al
1% del primo semestre 2021.
Per quanto riguarda le attività di Espionage (anche a causa della scarsità di informazioni
pubbliche in merito) la loro percentuale rispetto al totale degli attacchi rilevati nel primo
semestre 2021 si attesta al 9%, mentre l’Information Warfare rimane stabile al 2% (cre-
scendo in numeri assoluti del 18.2%).
Percentualmente il Cybercrime nel 1H 2021 sale al 88% del totale (dal 81% del 2020),
ricordando anche che in numeri assoluti è cresciuto del 21.1% in un semestre (da 764
attacchi nel 2H 2020 a 925 nel 1H 2021).
©
Clusit 2021 19
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Information Communication
191 233 269 149 113 -24.2%
Technology
Education 106 140 174 103 100 -2.9%
Manufacturing 32 32 61 32 47 46.9%
Organizations 40 35 46 29 30 3.4%
Hospitability 44 27 22 12 17 41.7%
Telecommunications 13 19 32 16 9 -43.8%
Construction 1 2 7 4 3 -25.0%
9 ISIC (International Standard Industrial Classification of All Economic Activities) delle Nazioni Unite e NACE della Commissione
Europea (Nomenclature statistique des activités économiques dans la Communauté Européenne)
20
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Rispetto al secondo semestre 2020, in termini assoluti nel 1H 2021 la crescita maggiore nel
numero di attacchi gravi si osserva verso le categorie “Transportation / Storage” (+108,7%),
“Professional, Scientific, Technical” (+85,2%) e “News & Multimedia” (+65,2%), seguite
da “Wholesale / Retail” (+61,3%) e “Manufacturing” (+46,9%).
Aumentano anche gli attacchi verso le categorie “Energy / Utilities” (+46,2%), “Govern-
ment” (+39,2%), “Arts / Entertainment” (+36,8%) e “Healthcare” (+18,8%).
Diminuiscono in modo sensibile gli attacchi verso le categoria “Telecommunications”
(-43,8%) ed “Information Communication Technology” (-24,2%), ed in misura minore
verso “Financial / Insurance” (-9,1%) ed “Education” (-2,9%).
La categoria “Multiple targets” è stata mantenuta anche nella nuova tassonomia delle vitti-
me per rendere conto degli attacchi gravi compiuti in parallelo dallo stesso gruppo di attac-
canti contro numerose organizzazioni appartenenti a categorie differenti. Di conseguenza
una parte degli attacchi verso vittime appartenenti a tutte le altre categorie confluiscono in
questa categoria, che nel primo semestre 2021 rappresenta il 12% del totale degli attacchi,
in diminuzione del 23,4% rispetto al secondo semestre 2020.
Il calo degli attacchi verso la categoria “Multiple Targets” rappresenta un cambio di strate-
gia da parte degli attaccanti ed è un importante campanello di allarme, dal momento che
deriva dall’aumento di attacchi gravi mirati verso singoli bersagli (in particolare di tipo ran-
somware con l’aggravante della “double extortion”, cioè della minaccia di diffondere i dati
rubati alle vittime qualora non paghino il riscatto).
Distribuzione delle vittime - 1H 2021
GovernmentMilitaryLawEnforcement
Healthcare
MultipleTargets
InformationCommunicationTechnology
6% 5% 5%
5% Education
4%
10% 3% FinancialInsurance
4% WholesaleRetail
2% ProfessionalScientificTechnical
11%
11% TransportationStorage
2%
Manufacturing
2% NewsMultimedia
12%
1% Organizations
16% 1%
ArtsEntertainment
13%
EnergyUtilities
Hospitability
OtherServices
Telecommunications
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
©
Clusit 2021 21
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
14%
14%
13%
12%
12%
12%
11%
11%
11%
10%
10%
10%
9%
8%
7%
7%
6%
6%
5%
5%
5%
4%
3%
3%
3%
3%
2%
2%
2%
2%
2%
1%
1%
1%
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
Osservando questo grafico delle prime 10 categorie più colpite tra il 2018 ed il 1H 2021, si
può apprezzare la variazione di “peso” tra la categoria Multiple Targets e le altre, che sono
quasi tutte in crescita.
22
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
La classificazione delle vittime per nazione di appartenenza viene qui rappresentata su base
continentale.
Nel 1H 2021 rimangono sostanzialmente invariate le vittime di area americana (dal 45%
al 46%), gli attacchi verso realtà basate in Europa aumentano sensibilmente (dal 15% al
25%) mentre rimangono percentualmente quasi invariati quelli rilevati contro organizza-
zioni asiatiche.
Percentualmente diminuiscono anche gli attacchi gravi verso bersagli con sedi distribuite
in diversi Paesi (categoria “Several / Multiple”), che dal 25% del 1H 2020 passano al 16%.
OC
3%
AS
10%
Several / Multiple
16% AM
46%
EU
25%
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
©
Clusit 2021 23
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Come già detto per la classificazione delle vittime, da quest’anno introduciamo una nuova
tassonomia delle tecniche di attacco derivata da framework internazionali10, articolata su 8
macro-categorie.
2H 1H 1H 2021 su
Tecniche di attacco 2018 2019 2020 TREND
2020 2021 2H 2020
Malware 601 737 776 411 454 10.5%
Phishing, Social
170 291 299 108 94 -13.0%
Engineering
Nel 1H 2021 la categoria che mostra numeri assoluti maggiori è “Malware” (+10,5%),
che rappresenta ormai il 43% del totale. Le tecniche sconosciute (categoria “Unknown”)
tornano al secondo posto, con un aumento del 13,9% rispetto al 2H 2020, superando la ca-
tegoria “Vulnerabilità note” (che peraltro fa segnare un preoccupante +41,4%) e “Phishing /
Social Engineering” (in leggero calo, -13%), mentre “Tecniche Multiple” sale del +11.6%.
Gli attacchi gravi con finalità di “Denial of Service” diminuiscono del 42,9%, così come
quelli realizzati tramite “Identity Theft / Account Hacking” (-29,5%).
In sostanza gli attaccanti possono fare affidamento sull’efficacia del Malware, prodotto in-
dustrialmente a costi decrescenti, e sullo sfruttamento di Vulnerabilità note, per colpire più
della metà dei loro obiettivi (59% dei casi analizzati).
Il 22% di “tecniche sconosciute” (in crescita del +13,9%) è dovuto al fatto che molti at-
tacchi (un quinto del totale) diventano di dominio pubblico a seguito di un “data breach”,
nel qual caso le normative impongono una notifica agli interessati, ma non di fornire una
descrizione precisa delle modalità dell’attacco (che normalmente quindi non viene fornita).
10 Non esistendo una tassonomia standard per le tecniche di attacco, le 55 sotto-categorie delle nostre 8 macro categorie sono state
derivate dall’analisi dalla Threat Taxonomy dell’ENISA, dalla Open Threat Taxonomy e di diversi altri framework.
24
1%
Tecniche
9% di attacco - 1H 2021
1%
3% 2% 43%
4%
16%
9%
43%
16%
22%
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
43%
41%
39%
43%
41%
28%
39%
22%
20%
19%
18%
28%
16%
16%
22%
11%
11%
10%
20%
19%
18%
9%
9%
16%
16%
5%
4%
4%
4%
4%
4%
3%
3%
3%
11%
11%
10%
2%
2%
2%
1%
1%
1%
1%
9%
9%
5%
4%
4%
4%
4%
4%
3%
3%
3%
2%
2%
2%
1%
1%
1%
1%
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
©
Clusit 2021 25
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Come anticipato nell’introduzione, anche per il 1H 2021 presentiamo una valutazione della
Severity degli attacchi analizzati.
Obiettivo di questa analisi infatti è individuare non solo le categorie di attaccanti, vittime e
tecniche di attacco che crescono maggiormente in termini assoluti nel periodo osservato, ma
anche come evolvono gli impatti degli attacchi, partendo dalla constatazione che spesso queste
due valutazioni non coincidono (p.es. in certi casi all’aumento del numero di attacchi da parte
di una certa categoria di attaccanti non corrisponde un aumento della loro Severity media, etc).
Le variabili che contribuiscono a comporre la valutazione dell’impatto per ogni singolo at-
tacco analizzato sono molteplici ed includono: impatto geopolitico, sociale, economico (di-
retto e indiretto) e di immagine.
Nella nuova classificazione abbiamo definito quattro categorie o livelli di impatto (consi-
derato che stiamo comunque analizzando un campione di attacchi già tutti definiti come
“gravi”): Basso, Medio, Alto e Critico.
Applicando la nuova modalità di valutazione degli impatti ai dati degli ultimi 3 anni e mez-
zo, emergono fenomeni molto interessanti:
49%
36%
33%
32%
32%
31%
25%
22%
20%
19%
16%
13%
8%
5%
4%
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
26
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Nel 2020 gli attacchi con impatto “Critico” rappresentavano il 13% del totale, quelli di
livello “Alto” il 36%, quelli di livello “Medio” il 32% ed infine quelli di livello “Basso” il
19%. Complessivamente, gli attacchi gravi con effetti molto importanti (High) o devastanti
(Critical) nel 2020 erano il 49% del campione.
Nel primo semestre 2021 la situazione è molto diversa, e francamente impressionante: gli
attacchi gravi con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical)
rappresentano il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto
basso solo il 4%. In questo caso gli attacchi con impatto Critical e High sono il 74%.
Raggruppando poi le nostre valutazioni di Severity per le consuete categorie (Attaccanti,
Vittime e Tecniche di attacco) emergono ulteriori elementi di interesse.
©
Clusit 2021 27
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
CYBERCRIME
0 100 200 300 400 500 600 700 800 900 1000
E S P I O N A GCEYSBAEBROC TRAI M
GE
HN
INFORMATIO AW
C KATRI V
F AI SRM
E
Ciò detto, come si evince confrontando i due grafici, nel primo semestre 2021 gli attacchi
con Severity “Critical” realizzati per finalità cybercriminali sono sensibilmente aumentati
rispetto al 2020, il che desta grande preoccupazione.
0 200 400 600 800 1000 1200 1400 1600
Severity per categoria di attaccante - 2020
CYBERCRIME
0 200 400 600 800 1000 1200 1400 1600
E S P I O N A G E C/ YSBAEBROC TRAI M
GE
ESPIONAGE H
/ AS CA KBTOI TVAI SGM
E
I N F O R M A T I OHNA W
C KATRI V
F AI SRM
E
28
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
L’aumento della Severity degli attacchi verso tutte le categorie più colpite è evidente anche
a colpo d’occhio.
©
Clusit 2021 29
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
DENIALOFSERVICE
DENIALOFSERVICE
WEBATTACK
WEBATTACK
IDENTITYTHEFTACCOUNTCRACKI …
IDENTITYTHEFTACCOUNTCRACKI …
MULTIPLETECHNIQUES
MULTIPLETECHNIQUES
PHISHINGSOCIALENGINEERING
PHISHINGSOCIALENGINEERING
VULNERABILITIES
VULNERABILITIES
UNKNOWN
UNKNOWN
MALWARE
MALWARE
0
0 100
100 200
200 300
300 400
400 500
500
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
Anche in questo caso emerge chiaramente l’evoluzione negativa del trend, confrontando i
dati del primo semestre 2021 con quelli del 2020:
DENIALOFSERVICE
DENIALOFSERVICE
WEBATTACK
WEBATTACK
IDENTITYTHEFTACCOUNTCRACKING
IDENTITYTHEFTACCOUNTCRACKING
MULTIPLETECHNIQUES
MULTIPLETECHNIQUES
PHISHINGSOCIALENGINEERING
PHISHINGSOCIALENGINEERING
VULNERABILITIES
VULNERABILITIES
UNKNOWN
UNKNOWN
MALWARE
MALWARE
0
0 100
100 200
200 300
300 400
400 500
500 600
600 700
700 800
800 900
900
30
Analisi Fastweb della situazione italiana in materia di
cyber-crime
Una novità, che sebbene sia sicuramente positiva, ha spinto i criminali informatici a spo-
stare la loro attenzione verso un punto più debole della catena ovvero verso l’endpoint,
il pc del dipendente. Si è infatti notata una crescita del numero di attacchi indirizzati ai
PC personali (85.000), che sono raddoppiati rispetto allo stesso periodo del 2019, dove si
registravano 45.000 infezioni. Questo fenomeno è spiegabile considerando che, durante il
periodo di emergenza, molte aziende non sono riuscite a dotare i propri dipendenti di lap-
top aziendali con conseguente utilizzo di dispositivi personali, solitamente maggiormente
vulnerabili a malware e virus.
Un’ulteriore evidenza, del fatto che il cybercrime è in qualche modo evoluto verso tipologie
di attacchi più efficaci durante questo periodo di lavoro da remoto, è anche data dal trend
degli eventi DDoS (Distributed Denial of Service) registrati dal Security Operations Center
(SOC) di Fastweb.
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 31
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Il volume degli attacchi DDoS infatti ha toccato i 7 Tbps, in fortissima crescita anche ri-
spetto al mese peggiore dello scorso anno dove si attestava al massimo a 1.8 Tbps.
In particolare, si è notato un forte innalzamento dei volumi nei mesi del primo e secon-
do lockdown (marzo 2.2 Tbps, aprile 3.3 Tbps, maggio 5 Tbps, ottobre e novembre circa
6.5Tbps) per poi tornare negli altri mesi a valori in media con l’anno precedente. Lo sposta-
mento del business verso internet ha spinto i cybercriminali ad incrementare questa tipo-
logia di attacchi tesa principalmente a rendere indisponibili i siti di grandi aziende, anche
chiedendo un riscatto, e delle Pubbliche Amministrazioni.
In conclusione, è importante evidenziare come la “nuova normalità” che stiamo tutti affron-
tando ha cambiato profondamente il modo di interagire, di lavorare, di vivere la società, ma
ha anche portato il cybercrime ad un adattamento e ad un inasprimento degli attacchi sulla
rete, asset fondamentale e irrinunciabile proprio in relazione al periodo attuale...
Nei paragrafi a seguire il dettaglio dei fenomeni rilevati.
Dati analizzati
I dati raccolti dal Security Operation Center di Fastweb sono stati arricchiti, analizzati e
correlati con l’aggiunta di quelli forniti da organizzazioni esterne come ad esempio la Sha-
dowserver Foundation, fonte autorevole in merito all’evoluzione delle botnet e dei relativi
malware. Inoltre, sono stati considerati eventi e segnalazioni dei principali CERT nazionali
e internazionali.
I dati sugli attacchi di distributed denial of service, sono stati ricavati da tutte le anomalie
DDoS rilevate dalle tecnologie di Fastweb per il contrasto di questo tipo di attacchi. Allo
stesso modo, le informazioni relative alle principali tipologie di minacce riscontrate, sono
state raccolte da piattaforme interne utilizzate per attività di Incident Management.
È importante sottolineare che tutti i dati, prima di essere analizzati, sono stati automatica-
mente aggregati e anonimizzati per proteggere la privacy e la sicurezza sia dei clienti sia di
Fastweb stessa.
32
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Al secondo posto troviamo invece QSnatch. Questo malware ha iniziato ad essere presente
a fine 2019 e durante tutto il 2020 ha avuto un forte impatto raggiungendo addirittura il
32% delle minacce riscontrate.
Tale malware che si diffonde sulle unità NAS (network-attached storage) prende il control-
lo completo del dispositivo ed è in grado di bloccare patch e aggiornamenti software. Ancora
non è noto come sarà utilizzata questa nuova minaccia, anche se i ricercatori pensano che
potrà essere usata per campagne di tipo DDoS o per la generazione abusiva di criptovalute
come bitcoin (criptomining).
Infine, si è rilevata una piccola percentuale di software malevoli (0,08%) che non sono
ancora stati catalogati e di cui non si conoscono tutti i dettagli.
avalanche-andromeda
0.63% 0.62%
qsnatch
0.73% 0.65% 0.08%
0.77% 0.66% 5.47% wannacrypt
0.97%
2.04% 1.21% mirai
3.02% android.bakdoor.prizmes
3.59%
43.31% gozi
4.10%
nivdort
vawtrak
zeus
murofet
ramnit
sality
32.14%
virut
lethic
__unknown__
__others__
Figura 1 - Analisi dei Malware rilevati (Dati Fastweb relativi all’anno 2020)
Andamento temporale
Il grafico di Figura 2 mostra la diffusione temporale degli host infetti e parte di botnet per
l’anno 2020. Come si può notare, il trend continua a crescere e anche nel 2020 si conferma
in forte ascesa.
Da evidenziare il picco di circa 8000/9000 host infetti durante i mesi di febbraio/maggio
in corrispondenza del primo lockdown, sintomo del fatto che l’aumento del business sul
digitale ha avuto come effetto un aumento complessivo delle minacce.
©
Clusit 2021 33
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
10000
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
gen feb mar apr mag giu lug ago set ott nov dic
2019 2020
Figura 2 - Distribuzione temporale del numero di Malware rilevati (Dati Fastweb relativi
all’anno 2019/2020)
Per quanto concerne le tipologie di attacco zero-day il trend è stato abbastanza costante e
in forte calo rispetto al 2019 anche se, secondo quanto rilevato da Fastweb nel tempo, la
tipologia, la potenza e l’efficacia di tali attacchi sono comunque da non sottovalutare.
Tali tipologie di attacchi sono infatti più pericolose della media perché non rilevabili da si-
stemi di protezione tradizionali che necessitano il rilascio di signature per essere identificati
(ad esempio gli antivirus).
34
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
40000
35000
30000
25000
20000
15000
10000
5000
0
gen feb mar apr mag giu lug ago set ott nov dic
Figura 3 - Rilevazione mensile dei Malware (Dati Fastweb relativi all’anno 2019)
©
Clusit 2021 35
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
USA
80.15%
Figura 4 - Dislocazione dei centri di Comando e Controllo (Dati Fastweb relativi all’anno
2019)
36
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
600
500
400
300
Gpbs
200
100
0
gen feb mar apr mag giu lug ago set ott nov dic
DDoS events - 2019 DDoS events - 2020
Figura 5 - Distribuzione mensile delle anomalie DDoS (Dati Fastweb relativi all’anno
2019/2020)
©
Clusit 2021 37
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Logistics
Gambling
1% __others__
Media & 2% 5%
Entertainment
5%
Industry Finance & Insurance
7% 33%
Service Provider
12%
Government
14%
Services
21%
Figura 6 - Target di possibili attacchi DDoS (Dati Fastweb relativi all’anno 2020)
9000
8000
IMPATTO_2020
IMPATTO_2019
7000
6000
5000
Gbps
4000
3000
2000
1000
0
gen feb mar apr mag giu lug ago set ott nov dic
Figura 7 - Banda totale mensile impegnata negli attacchi DDoS (Dati Fastweb relativi
all’anno 2019/2020)
38 1,89%
8,13% 0,77%
1000
0
Panoramica
gen dei
feb cyber
marattacchi
apr più
magsignificativi
giu lugdel 2018-2020
ago set e ott
del primo
nov semestre
dic 2021
Di seguito invece viene riportata la distribuzione della banda media di un attacco DDoS
nel 2020.
1,89%
8,13% 0,77%
24,13%
11,61%
< 2 (Gbps)
< 5 (Gbps)
< 10 (Gbps)
< 20 (Gbps)
< 50 (Gbps)
< 100 (Gbps)
22,90%
> 100 (Gbps)
30,57%
©
Clusit 2021 39
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
1,01%
0,88% 2,93%
1,14%
7,67%
< 1 (h)
< 3 (h)
< 6 (h)
< 12 (h)
< 24 (h)
> 24 (h)
86,38%
Figura 9 - Durata dei possibili attacchi DDoS (Dati Fastweb relativi all’anno 2020)
40
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
bilmente, dal 40% del 2019 al 52% del 2020. Tale fenomeno è indice del fatto che attacchi
diversificati hanno maggiore probabilità di essere efficaci a causa della loro maggiore com-
plessità per gestire la controparte difensiva.
IP Fragmentation
17,04%
DNS Amplification
NTP Amplification
CLDAP Amplification
14,82%
SNMP Amplification
TCP SYN
51,51%
SSDP Amplification
TCP RST
6,59% TCP NULL
4,14% UDP
Ulteriori vulnerabilità
©
Clusit 2021 41
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 11 -Servizi esposti direttamente su Internet (Dati Fastweb relativi all’anno 2020)
Blocklist
Una blocklist è una lista dove vengono inseriti e catalogati indirizzi IP classificati come
fonte di e-mail di SPAM.
Esistono diversi motivi per cui si può venire inseriti nelle liste di blocco, di seguito vengono
analizzati i principali:
• Invio di e-mail massive dal proprio indirizzo IP
• Nel testo o nell’oggetto delle e-mail inviate sono presenti caratteri e simboli in genere
utilizzati nelle mail di SPAM
• Il PC è infetto da virus che invia autonomamente e ciclicamente e-mail infette.
Dalle rilevazioni effettuate si è notato che circa 4.700 IP sono stati inseriti almeno una
volta nelle blocklist durante il 2020. Il dato è in sensibile calo rispetto al 2019 dove si
erano registrate oltre 7.300 azioni di blocklisting. Il grafico di seguito rappresenta le città
maggiormente colpite.
42
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
1200
1000
800
600
400
200
Figura 12 - Host in Blacklist per città (Dati Fastweb relativi all’anno 2020)
In questo paragrafo vengono analizzate le principali evoluzioni nel panorama della sicurezza
italiana nella prima metà del 2021 (dal 1° gennaio al 31 agosto).
Il Security Operations Center (SOC) di Fastweb ha registrato 36 Milioni di eventi malevoli,
in forte aumento rispetto allo stesso periodo dell’anno precedente (+180%). Tale trend è in
controtendenza rispetto allo scorso anno dove queste numeriche sono state raggiunte solo
alla fine dell’anno.
Focalizzandosi sulle motivazioni che hanno portato un rialzo dei numeri troviamo due prin-
cipali fenomeni:
Il primo riguarda un forte incremento nel primo trimestre degli attacchi di tipo “Proxy
Logon”.
Tale attacco consente di accedere ai server di posta elettronica delle aziende (su tecnologia
Exchange) delle vittime riuscendo a violare gli account di posta elettronica, e veicolando
attraverso di essi ulteriore software malevolo per aumentare la portata dell’attacco.
A partire dal mese di aprile tale attacco ha avuto una flessione vista la disponibilità di una
patch per andare a risolvere la vulnerabilità nei sistemi di posta.
©
Clusit 2021 43
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
1200
1000
800
600
400
Non disponibile
perché la
200 vulnerabilità è
stata resa nota il
2/3/2021
0
1 2 3 4 5 6 7 8 9
Figura 13 - Evoluzione server affetti da vulnerabilità Proxy Logon (Dati Fastweb relativi
all’anno 2021)
Il secondo fenomeno riguarda invece l’incremento dell’attività dei ransomware con richiesta
di riscatto. Infatti, è stata osservata una crescita dell’attività di questo malware di circa il
350% rispetto allo stesso periodo dello scorso anno. E le conseguenze causate da questa ti-
pologia di attacchi, sempre più aggressivi, diventano in qualche modo ancora più evidenti. Si
vedano ad esempio gli attacchi a danno di strutture pubbliche che hanno bloccato l’operati-
vità quotidiana. Ci sono però anche buone notizie perché osserviamo che l’attività della bot-
net Emotet ha cessato di fatto la propria attività durante il mese di aprile 2021 (Figura 14).
Emotet era apparso diversi anni fa come trojan bancario e nel tempo si è evoluto fino a
diventare un framework, distribuito globalmente e in grado di distribuire codice malevolo a
chi ne facesse richiesta tramite un vero e proprio servizio a noleggio sul dark web. Oggi gra-
zie all’intervento congiunto di associazioni governative internazionali tale minaccia è sparita
ma è importante evidenziare come nella cyber security sia importante il concetto di gioco
di squadra. Da soli non si vince, è necessario mettere insieme le forze e soprattutto essere
tutti consapevoli delle minacce cyber.
Provando invece a concentrarci su quelle che possono essere le previsioni per l’anno
2021/2022 si possono notare alcune tendenze che hanno una crescita importante.
Infatti, gli attaccanti si stanno concentrando su quello che è il punto debole della catena
della sicurezza, ovvero i dipendenti in smart working. Si registra, infatti, un crescente nu-
mero di minacce sull’endpoint che arrivano addirittura a 90.000 rispetto allo stesso periodo
dell’anno scorso (gen-sett) dove ci si fermava a 65.000 (+40%) (Figura 15).
44
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
1 2 3 4 5 6 7 8 9
Figura 14 - Host coinvolti nella botnet Emotet (Dati Fastweb relativi all’anno 2021)
16000
14000
12000
10000
8000
6000
4000
2000
0
gen feb mar apr mag giu lug ago set ott nov dic
Figura 15 - Singoli Indirizzi IP dell’AS per cui si rilevano endpoint infetti (Dati Fastweb
relativi all’anno 2021)
©
Clusit 2021 45
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Inoltre, per avere una lettura sempre più completa dei fenomeni in atto è necessario iniziare
ad analizzare anche tutto ciò che riguarda le minacce sulla parte applicativa visto che l’im-
piego di queste tecniche è sempre più frequente e con impatti in termini di cybersecurity
che saranno in futuro sempre più significativi.
Da quest’anno infatti Fastweb contribuirà al Rapporto Clusit con un’analisi sul mondo del-
le vulnerabilità e degli attacchi indirizzati ai software e ai sistemi applicativi delle aziende
clienti del settore Enterprise e della Pubblica amministrazione, rilevati attraverso tecno-
logie di tipo Web Application Firewall. Dalle evidenze raccolte nei primi nove mesi del
2021, possiamo constatare che buona parte delle rilevazioni fa riferimento ad attività cyber
correlate alla raccolta di informazioni (Information Gathering 54.8%). Tale attività, non
essendo legata direttamente a un attacco è spesso legata ad attività preparatorie in ottica di
raccogliere informazioni di dettaglio sui sistemi applicativi aziendali per sferrare successiva-
mente un attacco mirato al server.
Seguono per numerosità, tentativi di File Injection (18.3%) dove l’attaccante prova a inse-
rire nel sistema file malevoli con l’obiettivo di prenderne il controllo e i tentativi di sfrutta-
mento vulnerabilità verso applicativi Web (9.6%) come ad esempio: CMS Joomla; Drupal;
Wordpress.
Nella categoria Generic Attack (6%) sono state inserite invece tutte quelle tipologie di at-
tacchi che sfruttano exploit comuni ma non usano tecniche come SQL Injection (attacco
diretto ad avere accesso ai dati, sfruttando le debolezze del linguaggio di programmazione
per la gestione dei database), ad esempio LFI (Local File Inclusion).
Sempre presenti, anche se con percentuali minori, eventi di SQL Injection , di Cross Site
Scripting (attacco finalizzato all’introduzione di codice non appartenente al sito che si sta
visitando, costringendo l’utente a eseguire azioni non volute), e di Directory Traversal (at-
tacco per avere accesso a file in directory in cui non si è autorizzati ad accedere) che ancora
oggi sono vettori di attacco importanti nonostante queste metodologie siano ben note anche
a chi sviluppa e mette in sicurezza l’applicazione.
46
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
SQL Injection
Directory Traversal
18.3%
OS and Web Server
Attacks
Figura 16 - Tecniche di attacco applicativo rilevate dai WAF del segmento Enterprise/Top/
Pubblica Amministrazione (Dati Fastweb relativi all’anno 2021)
©
Clusit 2021 47
Attività e segnalazioni della Polizia Postale e delle
Comunicazioni nel primo semestre del 2021
In uno scenario nel quale la continua evoluzione tecnologica influenza ogni azione del
nostro vivere quotidiano, lo sforzo della Polizia Postale e delle Comunicazioni nei primi sei
mesi del 2021 è stato costantemente indirizzato alla prevenzione e al contrasto della crimi-
nalità informatica in generale, con particolare riferimento ai reati di precipua competenza
di questa Specialità.
L’adescamento on line
Particolarmente significativi sono i dati relativi all’adescamento on line: 287 su 3038, i
casi trattati dal Centro nei primi 6 mesi del 2021; si riconferma un trend in crescita,
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 49
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
già osservato all’avvio dell’emergenza Covid-19, per il quale, nell’intero anno 2020, i casi
erano stati 401. Nel 2021, dopo appena 6 mesi, risultano già raggiunti al 72% i numeri
dell’anno precedente. E’ possibile ipotizzare che le ore di isolamento, la riduzione delle atti-
vità ricreative imposte dalle misure di contenimento della circolazione del virus a partire dal
2020 continuino a fornire un impulso ulteriore ai ragazzi affinchè affidino alla rete, ai servizi
di socialnetworking la socializzazione e lo scambio comunicativo; ne deriva una complessiva
intensificazione dei livelli di presenza dei minori in rete, cosa che rende sempre più attrat-
tivi questi circuiti per i soggetti interessati a interazioni sessualizzate con minorenni online.
Nell’ambito delle indagini riguardanti il fenomeno dell’adescamento di minori online, sono
state eseguite 92 perquisizioni domiciliari ed informatiche, con un esito complessivo di ben
101 soggetti denunciati per questo reato solo nei primi 6 mesi dell’anno 2021.
Il cyberbullismo
Nello stesso periodo, sono stati trattati 291 casi di cyberbullismo (179 nei primi sei mesi
del 2020), con un aumento percentuale pari al 63%.
Sono 75 i minori (49 nello stesso periodo dello scorso anno) denunciati all’Autorità Giudi-
ziaria perché autori di reati online connessi con il cyberbullismo, con un aumento percen-
tuale pari al 53%, rispetto all’anno precedente.
Anche in questo ambito la complessità del rapporto tra giovani e tecnologia mostra direttive
di aggravamento: sono sempre più frequenti i casi in cui l’uso di immagini sessuali, la loro
realizzazione, la circolazione di queste in chat e messaggistica istantanea sono spesso i primi
passi per vere e proprie campagne diffamatorie avviate contro coetanei, “colpevoli” di essere
a qualche titolo “diversi”.
Il cyberbullismo assume in modo progressivamente consistente un connotato multidimen-
sionale in cui le distorsioni cognitive proprie della tecnomediazione (anonimato, impunità,
irrintracciabilità), gli effetti concreti dell’immaturità cognitiva ed emotiva dei ragazzi (im-
pulsività, reattività, non accuratezza delle valutazioni degli effetti delle azioni) si scontrano
con la potenza amplificatoria del web, con la sua ubiquità spazio-temporale e con la con-
tingenza del momento evolutivo critico che vivono ogni vittima e il suo giovane carnefice.
50
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
©
Clusit 2021 51
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Truffe on-line
Il fenomeno criminale delle Truffe OnLine ha visto, nel periodo in esame, un impegno con-
tinuo da parte della Specialità sia nell’ambito della prevenzione che in quello di contrasto
alle varie tipologie che si riscontrato in rete: e-commerce, immobiliare, falso trading on-line,
”sentimentali”.
Attraverso sofisticate metodologie di social engineering e facendo leva sui “bisogni” delle
persone i cyber-criminali, proponendo facili guadagni, investimenti miracolosi o illusorie
relazioni sentimentali, individuano il loro target che, con artifici e raggiri, viene invogliato
ad investire ingenti somme di denaro, acquistare “prodotti” a prezzi sensibilmente più bassi
di quelli proposti dal mercato o su siti web abilmente contraffatti.
L’esito di tali attività investigative ha portato ad indagare 1882 persone, procedere all’arre-
sto di 7 ed effettuare 4157 perquisizioni su tutto il territorio nazionale.
L’attenzione della Polizia Postale e delle Comunicazioni si è poi rivolta al monitoraggio della
Rete finalizzato al contrasto della vendita di farmaci online sul web senza le garanzie e le
modalità previste dalla legge, con particolare riferimento a quelli utilizzati per la cura del
virus Sars Co2 – Covid 19. Nell’ambito di tale attività la Specialità ha aderito per la prima
volta all’Operazione denominata “Pangea XVI” che il Segretariato Generale Interpol di
Lione ha organizzato nell’ambito dell’‘’Illicit Goods and Global health Programme”.
52
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
In relazione ai reati contro la persona perpetrati sul web sono state trattati complessiva-
mente trattati 5.041 casi, indagate 785 persone e tratte in arresto 6, resisi responsabili di
estorsioni a sfondo sessuale, stalking, molestie, minacce e ingiurie, diffamazione
online,
Particolare rilevanza ha assunto l’attività di contrasto al revenge porn, con 133 casi trattati
e 49 persone indagate.
Si segnala, inoltre, l’attività investigativa volta ad arginare il fenomeno dell’hate speech,
con l’individuazione nell’ambito del monitoraggio della rete o su segnalazione di altri Uffici
o di cittadini, in riferimento a commenti diffamatori e di hate speech nei confronti di mino-
ranze o di determinate categorie di persone. e l’approfondimento a livello investigativo delle
segnalazioni dell’UNAR (Ufficio Nazionale Anti discriminazioni Razziali), organismo della
Presidenza del Consiglio dei Ministri e dell’OSCAD (Osservatorio per la Sicurezza contro
gli Atti Discriminatori).
Infine, di particolare rilievo è stata l’attività di pubblico soccorso per i manifesti intenti
suicidari, segnalati attraverso il citato portale, dai vari social network e dal Servizio di Coo-
perazione Internazionale, che ha portato ad individuare e attivare i servizi sanitari preposti
per 15 persone.
©
Clusit 2021 53
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Tra le attività investigative condotte in tale ambito, si segnalano 50 indagini avviate nel
semestre di interesse che hanno condotto all’arresto di 1 persona ed al deferimento all’AG
di ulteriori 97.
Nell’ottica di un’efficace condivisione operativa, nel primo semestre 2021 il Centro
ha proseguito la stipula di specifici Protocolli a tutela delle infrastrutture critiche nazionali.
Si rappresenta, altresì, che analoghe forme di collaborazione, nell’ambito del progetto
SINC3, sono state avviate dagli uffici territoriali della Specialità con strutture sensibili di
rilevanza locale, sia pubbliche che private, al fine di garantire un sistema di sicurezza infor-
matica capillare e coordinato.
Cyberterrorismo
Nell’ambito della prevenzione e del contrasto alla diffusione di contenuti terroristici online
ed, in particolare, dei fenomeni di radicalizzazione sul web, il personale della Polizia Postale
e delle Comunicazioni effettua costantemente il monitoraggio del web e svolge attività
investigative sia d’iniziativa, che su specifica segnalazione, anche grazie a quelle che giun-
gono dai cittadini tramite il portale del Commissariato di P.S. Online, al fine di individuare
i contenuti illeciti presenti all’interno degli spazi e servizi di comunicazione online di ogni
genere.
Così come già riscontrato nel corso del 2020, anche nel corrente anno è stato possibile
constatare come la struttura mediatica di propaganda del Daesh abbia continuato a basarsi
su una miriade di account, attivati quotidianamente dai supporter del Califfato (anche in
forma automatizzata) con l’obiettivo di divulgare magazine online dell’IS, aggiornamenti sul-
le attività dei combattenti nei teatri operativi, video, documenti, manuali o pubblicazioni di
esponenti di spicco delle correnti radicali islamiche, infografiche di minaccia etc.
L’individuazione di tale modalità operativa per la diffusione della propaganda jhiadista, con
l’utilizzo di piattaforme social diverse dai principali canali di comunicazione online, trova
fondamento nel costante incremento delle azioni di contrasto e rimozione dei contenuti il-
leciti presenti sulle proprio piattaforme da parte dei maggiori fornitori di servizi Internet (tra
i quali, Facebook, Google, Twitter, Telegram, etc.), sia per le particolari attività di contrasto
54
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
©
Clusit 2021 55
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
forum etc., materiale online riportante loghi di gruppi, manifesti, manuali, tutorial, media
file prodotti e disseminati da organizzazioni di estrema destra, ovvero relativo a precedenti
attacchi terroristici connotati dalla medesima ideologia.
Nel dettaglio, all’esito dei lavori ai quali hanno partecipato operatori della Specialità e ope-
ratori di polizia di altri 27 Stati, sono state segnalate 1038 URL ai Provider al fine di ot-
tenerne l’oscuramento; in particolare, l’Italia ha segnalato 77 URL tra cui profili social di
Facebook, Twitter e VKontacte, nonché una serie di account e canali Telegram.
Inoltre, la grave emergenza socio-sanitaria, tuttora in corso, accompagnata dalle restrizioni
introdotte dai decreti governativi per contrastare la diffusione del virus Covid-19, ha deter-
minato negli ultimi mesi un’intensa attività sia di controinformazione, sia di incitamento ad
azioni di protesta.
La costante attività di monitoraggio del web svolta dal personale del Polizia Postale ha per-
messo di riscontrare il considerevole aumento di canali e gruppi all’interno delle varie piat-
taforme di comunicazione online nei quali sono stati pubblicati numerosissimi commenti
da cui emergeva la volontà di reagire alle decisioni governative attraverso vere e proprie
azioni di piazza, anche violente.
Ed invero, tra le fattispecie illecite che hanno fatto registrare un considerevole incremento
c’è sicuramente la diffusione di fake news (notizie destituite di fondamento relative a fatti od
argomenti di pubblico interesse, elaborate al solo fine di condizionare l’opinione pubblica,
orientandone tendenziosamente il pensiero e le scelte) con le quali vengono prospettati
rimedi fraudolenti per il contenimento del contagio, nonché vere e proprie “teorie del com-
plotto” volte a destabilizzare l’ordine democratico ed indirizzare i sentimenti di rabbia nei
confronti di determinate “categorie sociali”.
Appare evidente, inoltre, come i problemi economici e sanitari causati dall’emergenza coro-
navirus siano stati strumentalizzati da numerosi esponenti dei movimenti della c.d. ultrade-
stra, per alimentare la disinformazione ed organizzare l’imminente “chiamata alle armi per
reagire al caos globale” attraverso azioni di violenza eversiva.
Infine, si evidenzia come le misure di contenimento sanitario adottate per contrasto all’at-
tuale pandemia mondiale abbiano determinato il considerevole aumento di tutti quegli stru-
menti di comunicazione che possano garantire il cd. “distanziamento sociale”. Pertanto,
numerosi convegni ed eventi pubblici sono stati svolti attraverso il ricorso a piattaforme di
videconferenza online, mediante la pubblicazione del link di accesso all’interno di varie pa-
gine social per assicurarne la massima partecipazione in forma “aperta”, spesso anche senza
la predisposizione di password di sicurezza.
Proprio l’assenza di adeguati strumenti di sicurezza ha determinato il diffondersi del feno-
meno digitale chiamato zoom bombing, che prevede l’irruzione virtuale nella videoconferen-
za, con la successiva diffusione di immagini a sfondo sessuale, ovvero con insulti sessisti o
di natura razziale.
56
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
In tale contesto, dunque, la Polizia Postale ha monitorato centinaia di chat “riservate” in cui
venivano diffuse le credenziali di accesso alle videoconferenze, ed ha identificato e deferito
alla competente Autorità Giudiziaria i soggetti responsabili di tali accessi abusivi, ovvero
autori della diffusione di messaggi di incitamento all’odio razziale.
Financial cybercrime
Così come già riscontrato nel corso del 2020, anche nel corrente anno è stato possibile
constatare come il Financial Cyber Crime nello scenario globale del cybercrime ha ormai da
tempo superato i livelli di guardia, rappresentando oggi una delle principali - se non, ormai,
la principale - minaccia alla tenuta della struttura e del sistema economico del Paese.
Negli ultimi anni, a livello mondiale, si è riscontrato un aumento esponenziale di attacchi
cibernetici, che si risolvono in violazioni di spazi e dei sistemi informatici appartenenti a
Istituzioni, imprese e singoli cittadini. Detti attacchi sono ispirati da motivazioni ancora in
larghissima parte riconducibili ad una matrice criminale, comune ed organizzata, e sono
dettati da assolute finalità economiche, sebbene degni di assoluto rilievo - specie dal punto
di vista qualitativo – siano oggi gli attacchi ispirati da motivazioni di guerra cibernetica (cy-
ber warfare) a matrice statuale, nonché gli attacchi mossi da ragioni di attivismo ideologico
(cyber hacktivism) o peggio ancora, ispirati da matrici fondamentaliste e da scopi terroristici
(cyber terrorism).
Qualsivoglia attività umana, e dunque, nel suo risvolto patologico, ogni attività criminale,
con consequenziale attivazione preventivo/repressiva da parte delle forze di polizia, assume
oggi profili “cibernetici”, e richiede, pertanto, un’azione di contrasto sempre più specializza-
ta in grado di contenere, nei suoi diversi livelli di complessità, la minaccia in corso.
Il momento attuale è, peraltro, segnato dalla definitiva presa di coscienza circa l’ingresso
delle grandi organizzazioni criminali transnazionali, come pure le principali mafie nazionali,
nel crimine informatico, in considerazione delle enormi potenzialità che la rete esprime in
ogni senso, anche in termini di realizzazione e moltiplicazione di profitti illeciti.
In tale scenario, è proprio il dato, l’informazione, a costituire il profitto più pregiato e l’o-
biettivo più ambito delle massive campagne di phishing, rivolte soprattutto ai danni delle
aziende che costituiscono l’ossatura del sistema paese.
I dati, in forma semplice, strutturata o aggregata, vengono massivamente carpiti, in seguito
esfiltrati ed infine utilizzati per la realizzazione di finalità illecite eterogenee (conseguire o
riciclare i profitti di reato da parte delle organizzazioni criminali - anche transnazionali ed
a carattere mafioso).
Il settore degli attacchi alle Aziende italiane rientrano negli ambiti che destano oggi mag-
giore preoccupazione.
Si tratta di attacchi sistemici, sempre più sofisticati ed avanzati, diretti ad un ampio spettro
di obiettivi: dalle pubbliche amministrazioni del paese (ivi comprese la sanità, la scuola, la
giustizia, la sicurezza) alle grandi imprese, spesso erogatrici di servizi pubblici essenziali,
dalle PMI sino ai singoli utenti.
©
Clusit 2021 57
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Quando sono diretti a colpire i sistemi strategici istituzionali ed aziendali, gli attacchi ven-
gono realizzati da hacker esperti con l’impiego di tecniche e virus informatici sofisticati,
strategie di social engineering, di spionaggio e di cyber-profiling della vittima, che consento-
no alle organizzazioni criminali di penetrare nel DNA di aziende e istituzioni, violandone i
segreti più sensibili, ed accumulando così un patrimonio di informazioni successivamente
sfruttato per portare a termine un vasto novero di reati, tra i quali figurano senz’altro frodi
informatiche e cyber-estorsioni, oggi sempre più mirate ed invasive.
Si assiste oggi alla diffusione capillare, specie nel c.d. Darkweb, di software e strumenti,
dal sempre più agevole utilizzo, appositamente studiati per la violazione di reti e sistemi
(hacking) o per la violazione della sfera della riservatezza individuale e aziendale (softwa-
re-spia e strumenti di intercettazione illegale). A ciò si accompagna un netto aumento del
fenomeno del c.d. “crime as a service”, prassi attraverso la quale possono essere commissio-
nate sul web prestazioni criminali di vario genere.
Molti, in questo scenario criminoso, sono gli ostacoli all’attività investigativa, essendo per
contro numerosissimi gli strumenti di manipolazione delle tracce informatiche (sistemi di
anonimizzazione della navigazione) e delle tracce finanziarie (account e strumenti finanziari
esteri, non intestati o falsamente intestati a corrieri di denaro, i c.d. money mules o l’utiliz-
zo di cryptovalute non tracciabili), oggi accessibili ai grandi sodalizi come alla criminalità
comune.
A complicare notevolmente il quadro, vi è poi l’elemento della costante transnazionalità del-
le condotte illecite che caratterizza ormai l’intero panorama dei reati commessi attraverso
le nuove tecnologie. In tal senso, l’effettività della risposta preventivo/investigativa risente,
come noto in maniera assai incisiva, della disomogeneità dei sistemi legislativi nazionali,
soprattutto in tema di regole per l’acquisizione della prova digitale ed in materia di data
retention.
Allo stato attuale, tanto i provider di contenuti (in possesso di informazioni preziose circa
gli indirizzi IP delle connessioni ai loro server), quanto i provider di servizi di connettività (in
possesso di dati imprescindibili per l’identificazione dei soggetti a cui ricondurre le medesi-
me connessioni), sono sottoposti ad apparati regolatori assai diversificati e sono autori a loro
volta di regole di policy aziendale assai eterogenee, al punto che non sempre risulta possibile
(nonostante l’efficienza dei modelli di cooperazione internazionale, giudiziaria e di polizia)
ottenere evidenze investigative da parte delle Agenzie di law enforcement, soprattutto se
riconducibili ad un Paese diverso rispetto a quello di appartenenza del Provider interessato.
58
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
“Internet Assassins”
Nel febbraio 2021 il Servizio Polizia Postale e delle Comunicazioni è stato ingaggiato dal
Servizio di Cooperazione Internazionale di Polizia, in seguito ad una segnalazione del
collaterale tedesco che informava di conversazioni aventi ad oggetto la consumazione
di lesioni gravissime su commissione.
In particolare all’interno del Dark web, nel sito “Internet Assassins”, un cliente sconosciu-
to chiedeva che una persona residente in Italia venisse gravemente ferita, provvedendo
al pagamento in moneta elettronica per la prestazione richiesta. Nelle conversazioni con
l’intermediario, l’uomo richiedeva esplicitamente la lesione della schiena della vittima
con il fine di lasciarla paralizzata e lo sfiguramento del volto con l’acido. Le transazioni
effettuate verso diversi Wallet btc avevano un valore di circa 11.700 USD. Nelle con-
versazioni venivano comunicati i dati della potenziale vittima, una cittadina romana, tale
B.L. di anni 27, della quale veniva fornito anche il profilo personale sulla piattaforma
Facebook.
La donna, rintracciata presso la propria abitazione da parte del personale della Squadra
Mobile della Questura di Roma, riferiva in un primo momento di non avere sospetti su
alcuno, Ciò nonostante, gli approfondimenti compiuti hanno permesso di riscontrare
atteggiamenti molesti ed ossessivi posti in essere da un uomo con il quale la donna aveva
intrattenuto una relazione sentimentale fino al luglio 2020. L’uomo è risultato essere im-
piegato nella stessa azienda della ragazza in una posizione gerarchicamente sovraordinata.
A fronte della situazione ricostruita, il personale del Servizio Polizia Postale procedeva
all’analisi del traffico della moneta elettronica, individuando il wallet di origine, radicato
presso una società italiana di Exchange. L’intestatario è, in effetti, risultato essere l’ex
fidanzato della potenziale vittima, un uomo di anni 38, residente a Roma. Approfonditi
accertamenti OSINT, consentivano di confermare la collocazione lavorativa del soggetto
attenzionato e i legami con la potenziale vittima, presenti sulle piattaforme social, ove i
due erano in contatto.
©
Clusit 2021 59
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
A fronte degli importati riscontri emersi, l’A.G. emetteva in urgenza un ordine di custodia
cautelare in carcere a carico dell’uomo, al fine di scongiurare il pericolo nel quel versava
la vittima. I wallet destinatari dei pagamenti sono stati localizzati in Romania e in Cina.
Sono attualmente in corso le attività finalizzate ad individuare i destinatari del denaro
inviato per commissionare il delitto.
60
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Servizio Polizia Postale e delle Comunicazioni e del Compartimento per la Puglia, unita-
mente alla Polizia Spagnola, ha concluso un’operazione di Polizia denominata “FONTA-
NA-ALMABAHÍA”.
L’indagine, coordinata per la magistratura spagnola dal Giudice istruttore di Arona e per
l’Italia dalla Procura della Repubblica presso il Tribunale di Bari, è stata supportata a li-
vello internazionale, dalle Agenzie europee Eurojust ed Europol. Quest’ultima, in partico-
lare, ha partecipato attivamente inviando personale per il coordinamento internazionale
nelle località dove sono stati eseguiti gli arresti.
L’operazione di polizia ha colpito in particolare gli appartenenti ad un sodalizio criminale
composto prevalentemente da cittadini italiani di stanza alle isole Canarie, in particolare
nel sud di Tenerife, dedito alle frodi on-line e al riciclaggio di denaro. Gli accertamenti
svolti dagli investigatori italiani e spagnoli, hanno consentito di ricostruire l’intera strut-
tura piramidale dell’organizzazione criminale composta da oltre 150 membri e di svelare
il complesso sistema di frode e di cyber-riciclaggio.
Il sodalizio, avvalendosi di hacker specializzati in attacchi di phishing e vhishing di ultima
generazione e nell’uso di tecniche di ingegneria sociale, riusciva ad impossessarsi dei
codici dispositivi dell’home banking di vittime in prevalenza italiane ma anche spagnole,
inglesi, tedesche e irlandesi, disponendo bonifici bancari per migliaia di euro in favore di
conti correnti spagnoli intestati a “muli” riciclatori, anchessi di nazionalità italiana, reclu-
tati all’occorrenza e residenti in Spagna.
Le somme sottratte venivano in seguito riciclate attraverso l’acquisto di criptovaluta o
reinvestite in ulteriori attività criminali, quali prostituzione, produzione e traffico di dro-
ga, traffico di armi, per un giro di affari di oltre 10 milioni di euro solo nell’ultimo anno.
Gli investigatori italiani, in collaborazione con gli omologhi in territorio spagnolo hanno
partecipato, nell’ambito della vasta operazione conclusiva, alla cattura e all’arresto di 16
pluripregiudicati per truffa, frode informatica, ricettazione, stupefacenti e rapina, per-
sonalità di spicco del sodalizio criminale residenti su territorio iberico ed al sequestro di
118 conti correnti bancari utilizzati per il riciclaggio. Contemporaneamente in Italia, a
Torino ed Isernia, sono state eseguite due ordinanze di custodia cautelare in carcere in
esecuzione di altrettanti mandati di arresto europei emessi dalla magistratura spagnola,
nei confronti dei vertici dell’articolazione criminale italo spagnola.
©
Clusit 2021 61
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Nel corso del periodo in esame, è stata ulteriormente implementata l’attività di contrasto a
queste condotte delittuose con 520 casi trattati, investigati tramite i più moderni strumen-
ti normativi di cooperazione internazionale sia in ambito giudiziario, attraverso l’Agenzia
dell’Unione europea per la cooperazione giudiziaria penale (Eurojust), e in ambito di polizia
attraverso l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Eu-
ropol).
Uno strumento agevole che consente al cittadino, da casa, dal posto di lavoro o da qualsi-
asi luogo si desideri, di accedere al sito web dedicato ed usufruire dei medesimi servizi di
segnalazione, informazione e collaborazione che la Polizia Postale e delle Comunicazioni
quotidianamente offre agli utenti e che ha mostrato in maniera ancora più evidente la
sua efficacia nel periodo connesso all’emergenza pandemica da Covid-19, fornendo una
pronta risposta all’accresciuto bisogno dei cittadini di strumenti idonei a garantire rapidi ed
efficaci riferimenti istituzionali a cui poter indirizzare le proprie segnalazioni e le proprie
preoccupazioni e da cui poter apprendere le informazioni utili a prevenire il consumarsi di
condotte delittuose.
In tale direzione è proseguita anche, nel corso del primo semestre 2021, l’attività costante
di contrasto al fenomeno della disinformazione, agevolato dalla diffusione delle cd. fake
news e sovente caratterizzato da un potenziale impatto negativo sulla salute pubblica e sulla
corretta ed efficace comunicazione istituzionale - che aveva visto un crescente proliferare
nel 2020 -, attraverso la predisposizione e diffusione di specifici alert, funzionali alla veico-
lazione delle corrette informazioni.
62
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Il progressivo innalzamento del livello di interazione con i cittadini è confortato dai dati
statistici. Nel primo semestre 2021 il Commissariato di P.S. Online ha ricevuto 54.634
segnalazioni, quasi il doppio (+ 92%) di quelle acquisite nell’analogo periodo dell’anno
precedente, che erano 28.457.
La popolarità del sito è confermata anche dal numero degli accessi che sono stati nel perio-
do di riferimento oltre 32.500.000.
Nell’ambito delle progettualità funzionali alla prevenzione dei rischi e pericoli connessi
all’utilizzo della rete, la Polizia Postale e delle Comunicazioni è costantemente attiva in di-
verse campagne educative rivolte soprattutto alle giovani generazioni che, nell’ultimo perio-
do, in relazione alle misure di contenimento dell’emergenza epidemiologica da COVID-19
e parallelamente allo svolgimento delle lezioni attraverso la modalità della didattica a di-
stanza presso le scuole di ogni ordine e grado, sono state portate avanti anche con incontri
in videoconferenza, riscuotendo consensi e partecipazione da parte di alunni, genitori e
insegnanti.
È il caso della 8^ edizione di “Una vita da Social”, tra le iniziative più tradizionali e signi-
ficative realizzate in tale ottica, grazie alla quale nel corso dell’anno 2020 sono stati incon-
trati oltre 134.000 studenti, 7.000 genitori, 9.000 docenti, per un totale di 1.240 istituti
scolastici (per i quali è stata messa a disposizione anche un’email dedicata: progettoscuola.
poliziapostale@poliziadistato.it). In relazione al ritorno in presenza dei ragazzi in aula, si può
ipotizzare per la nuova edizione, la possibilità di poter tornare ad organizzare nuovamente
incontri de visu con la platea scolastica, ripristinando almeno in parte la caratteristica di
campagna itinerante del progetto.
Nel primo semestre del 2021, l’impegno profuso nei confronti della prevenzione di ogni
forma di prevaricazione in danno dei minori è proseguito con costanza e dedizione anche
nei confronti di un fenomeno che desta grande allarme sociale, come quello del cyber-
bullismo. Una coinvolgente campagna realizzata periodicamente in tale prospettiva dalla
Polizia Postale e delle Comunicazioni è il format teatrale #cuoriconnessi dedicato agli
studenti delle scuole, con il quale, attraverso uno spettacolo in cui il conduttore concentra
l’attenzione del pubblico sull’importanza delle parole in tutte le sue sfumature, con filmati,
letture, musiche e testimonianze dirette, vengono forniti agli spettatori informazioni utili
alla corretta navigazione in rete, volte anche a stimolare nei ragazzi una sempre maggiore
©
Clusit 2021 63
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
consapevolezza della gravità delle azioni prodotte on line, in relazione all’impatto prodotto
nella vita dei loro coetanei.
Per l’anno 2021, la 5^ edizione della citata manifestazione è stata realizzata in data 9 feb-
braio, in occasione del Safer Internet Day, giornata mondiale per la sicurezza in Rete, con
un grande evento on line, durante il quale la Polizia di Stato si è collegata, attraverso una
piattaforma dedicata, con oltre 200 mila studenti di 3 mila scuole italiane.
Per chi ogni giorno si confronta con i più giovani, è stato pensato e realizzato, con il contri-
buto scientifico della Società Italiana di Pediatria, il progetto “In rete con i ragazzi: gui-
da all’educazione digitale”, con l’obiettivo di supportare insegnanti, genitori, pediatri,
etc…, nel guidare i nativi digitali a un rapporto equilibrato con la Rete, al fine di prevenire
le possibili conseguenze negative sulla salute psicofisica e relazionale dei minori. A tale
scopo è stata realizzata una guida di facile consultazione che affronta i diversi aspetti utili a
favorire una navigazione sicura, uno strumento rapido e agevole per le figure di riferimento
dei ragazzi, spesso tecnicamente più competenti in ambito digitale rispetto agli adulti, ma
non per questo pienamente consapevoli dei possibili rischi di un uso non corretto della
Rete. Per il biennio 2020-2021, l’iniziativa prevede lo svolgimento di corsi di formazione, in
tutti i capoluoghi di regione, per circa 30.000 persone.
64
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Questo contributo al rapporto CLUSIT 2021, pertanto, non vuole aggiungere nuovi
schemi, modelli o metodologie a quanto già di valido è stato proposto o riproposto
dalla comunità tecnico-scientifica o giuridica di riferimento, piuttosto vuole presen-
tare la particolare – forse unica, per via del peculiare mandato istitutivo – esperienza
dell’Ufficio Protezione Dati della Direzione Centrale Polizia Criminale, esempio con-
creto di articolazione della cosa pubblica a cavallo tra data protection e information/
cyber security.
Per una sua fortunata coincidenza, l’Ufficio Protezione Dati della Direzione Centrale della
Polizia Criminale1 viene istituito nel 2015, quando già la dialettica legislativa che avrebbe
portato l’anno successivo alla pubblicazione del GDPR e della Direttiva Law Enforcement
era matura e pronta per la ventura svolta per quanto riguarda la concezione della protezione
delle persone fisiche con riguardo al trattamento dei loro dati personali.
Tale concomitanza ha permesso all’Ufficio, per quanto il suo mandato istitutivo non potesse
far riferimento a quanto solo a breve sarebbe stato normato per il responsabile della prote-
zione dei dati, di orientare la propria azione verso quelle funzioni che erano ormai ritenute
di prossima attuazione, affiancandole a delle attribuzioni – queste sì già presenti nell’atto
istitutivo – segnatamente di carattere tecnico e riflessive di un approccio alla materia non
meramente e monodimensionalmente legale/giuridico.
1 La Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza, tra le altre attribuzioni, gestisce la raccolta e
l’elaborazione dei dati interforze in materia di tutela della sicurezza pubblica e di lotta alla criminalità per il tramite, all’oggi, di quattro
sistemi informativi: il cosiddetto CED interforze, il Sistema Informativo Schengen, la Banca Dati Nazionale del DNA e il recentissimo Si-
stema Informativo PNR. Questi sistemi, ben distinti per normativa di riferimento, tipologia di dati trattati ed infrastruttura tecnologica di
supporto, hanno come comune Titolare del trattamento il Dipartimento della Pubblica Sicurezza e vedono il medesimo DPO incaricato.
©
Clusit 2021 65
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
L’evoluzione e l’esperienza dell’Ufficio Protezione Dati pertanto, avendo vissuto e, per certi
versi, anticipato alcuni orientamenti cardine nella materia quali la continua contaminazione
tra data protection e cyber security e la consapevolezza della necessità di un ruolo proattivo
per la funzione rappresentata, può ben servire da esempio per un percorso di crescita e
strutturazione di analoghe articolazioni tanto nel settore privato quanto soprattutto nelle
amministrazioni pubbliche.
Peraltro, se soluzioni concrete circa questo, possiamo dire, “orientamento operativo e cul-
turale” della funzione di data protection sono poche e preziose in generale, tanto più lo sono
nel contesto delle Pubbliche Amministrazioni, ove le risorse umane sono limitate e la crea-
zione di una nuova unità funzionale richiede, tipicamente, la ricollocazione di altre profes-
sionalità, dove non sempre esiste una ben delineata sezione o articolazione che sovrintenda
alla gestione operativa della sicurezza IT e dove, soprattutto, il Titolare del trattamento, in-
dividuato per legge nel vertice dell’Amministrazione, si trova a sovrintendere ad una grande
varietà di trattamenti diversi per estensione degli interessati, della normativa di riferimento,
della tipologia di dati trattati nonché per l’infrastruttura tecnologica di supporto.
In siffatto contesto, per quanto il principio di accountability inquadri nel titolare il motore
immobile dell’universo della data protection, il DPO e il suo ufficio dovranno giocoforza
saper trovare non solo un punto di equilibrio tra aspetti legali e approfondimenti cyber, ma
altresì trovare una via proattiva per non solo supportare ma, in qualche misura, indirizzare il
Titolare le cui prime e più importanti preoccupazioni saranno, con elevata verosimiglianza,
del tutto ortogonali alla data protection, peraltro da declinarsi su tanti trattamenti diversi.
66
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
L’organizzazione dei processi di supporto al DPO così come la visione sul come declinarne
le attribuzioni in un quadro che sappia tenere in dovuto conto l’ormai nota inscindibilità
della protezione dei dati personali dalla sicurezza cyber, sono temi cruciali e spesso poco
considerati in contesti pratici. Nondimeno, soprattutto per quei casi nei quali al DPO,
come detto, si richiede un ruolo proattivo di affiancamento costante al Titolare, esempi di
esperienze concrete possono portare interessanti spunti di crescita con i quali integrare la
letteratura e le buone prassi ivi raccomandate.
La posta in gioco, del resto, è molto alta. Se il DPO non saprà avere una vision ben definita
e non avrà di conseguenza ben strutturato i propri processi di ufficio, è molto probabile che
la data protection nell’Amministrazione Pubblica – ma, come detto, i medesimi concetti
valgono anche per il privato – si adagi molto presto, pur in contrasto con i principi ispiratori
dell’architettura GDPR/LED, in un comodo riparo di aderenza formale e documentale,
riducendosi pertanto ad una raffinata collezione di documentazione: un pittoresco castello
di carte.
In principio …
Lungi dal credere che prima del 2015 i dati interforze, conservati presso la Direzione Cen-
trale della Polizia Criminale fossero lasciati all’incuria; è bene rimarcare, anzi, che gli archivi
informatici di polizia esistono ancora da prima del 1981, anno della “smilitarizzazione” della
Polizia di Stato nonché momento in cui si istituisce il Centro Elaborazione Dati (CED
Interforze) del Ministero dell’Interno.2 Da allora molte nuove banche dati di polizia sono
nate e confluite o, a seconda dei casi, sono state “federate”, in quel primo CED che ha visto
rafforzare sempre più le modalità e i meccanismi di protezione dei dati ivi archiviati.
Nel 2005 un provvedimento spartiacque del Garante Privacy, organo di controllo per il
CED e non solo di garanzia per gli interessati dalle attività di trattamento dei dati, prescris-
se, tra le altre cose, di istituire un organismo interno, terzo rispetto al gestore delle banche
dati, che ricoprisse il ruolo di Security Manager.
©
Clusit 2021 67
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Ci vollero “solamente” due lustri per arrivare all’istituzione dell’Ufficio per la Sicurezza dei
Dati, che assolveva anche alle incombenze di Security Manager per le banche dati interfor-
ze, sia sul piano della “sicurezza fisica” che per quanto riguarda la “sicurezza logica”. La lun-
gimirante intuizione dell’Amministrazione, maturata nel corso dei lavori volti all’istituzione
dell’Ufficio, fu di ipotizzare già una forma ante litteram di Ufficio del DPO, ove le materie
dell’information security e della data protection fossero finalmente trattate in materia olistica
ed unitaria, riconoscendone la forte interrelazione, le implicazioni congiunte e i rischi po-
tenziali in un approccio del tutto dimentico delle stesse.
Dunque, un Ufficio del tutto nuovo, con compiti di indirizzo e controllo per quanto con-
cerne la protezione dei dati personali e la sicurezza delle banche dati. È bene rimarcare che
la sicurezza non era – non lo è tutt’ora – gestita da questo Ufficio, bensì dalle stesse unità
organizzative che gestiscono l’operatività delle banche dati interforze; tuttavia, l’Ufficio per
la Sicurezza dei Dati andava ad occupare lo spazio vuoto, mai presidiato, dell’audit interno
in materia di conformità alle norme di data protection e alla cyber security del data center.
Nel 2020 si è poi giunti ad una innovazione nel decreto istitutivo dell’Ufficio, ridenominato
Ufficio Protezione Dati. La nuova denominazione era più vicina alle definizioni normative
del 2016 e alla nuova funzione espressa – Responsabile della Protezione dei Dati (DPO) e
non più Security Manager – sebbene non meno distante, anzi ancor più vicina rispetto al
precedente mandato, ai compiti di indirizzo e controllo anche in materia di cyber security.
Prima di ragionare sul come è stato organizzato l’Ufficio, occorre innanzitutto comprender-
ne la filosofia.
Come anticipato, è parso in prima battuta fondamentale designare un Ufficio del DPO
in grado di supportare attivamente il Titolare, pur avendo cura di non incrinare il ruolo di
terzietà nelle attribuzioni di sorveglianza sull’osservanza dei dettati normativi. Del resto,
l’organizzazione gerarchica dell’Amministrazione della Pubblica Sicurezza non permetteva
una declinazione a 360 gradi delle richieste caratteristiche di indipendenza dal titolare. La
soluzione è stata pertanto quella di definire un Ufficio che, pur dipendendo gerarchicamen-
te dal medesimo vertice, fosse collocato in un rango dirigenziale equipollente con gli uffici
coinvolti nella gestione operativa dei sistemi informativi e che pertanto attuano nel concreto
gli indirizzi del Titolare.
68
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
gradi di libertà intorno alla loro finalizzazione (es. identificare e trattare i rischi) che sarà poi
oggetto della richiesta attività di monitoraggio e controllo.
In tal modo si ottiene un duplice risultato. Da un lato il DPO si assicura che tutte le atti-
vità fondamentali siano instradate e correttamente attivate e, al contempo, ha già chiara la
logica con la quale le stesse sono state progettate, così da poter attuare in maniera rapida
ed efficace i dovuti controlli.
Mutuando le fasi del ciclo di Deming, l’Ufficio Protezione Dati, fornendo supporto ed in-
dirizzo nella fase di PLAN, e astenendosi da quella di DO, mantiene indipendenza e in-
cisività nella fase di CHECK, di sua più precipua pertinenza. Il risultante sistema, oltre a
rappresentare un punto di stimolo verso la compliance alle norme di protezione dati pur nel
rispetto dei principi di indipendenza, integrando indirizzi congiunti di data protection e cyber
security si giova oltretutto di una visione di insieme e di un approccio orientato alla comple-
tezza che viceversa si sarebbero persi laddove l’indirizzo delle tematiche di protezione dei
dati personali e di sicurezza fossero state diluite in diversi Uffici.
Tale risultato è stato ottenuto attraverso una continua sinergia tra l’Ufficio Protezione Dati
– il DPO e il suo staff – ed il Titolare del trattamento per il tramite degli uffici che, ratione
materiae, sono coinvolti nella gestione della protezione dei dati personali quali, a titolo di
esempio, gli uffici IT, gli uffici giuridici, gli uffici acquisti o – per quanto attiene alla pubbli-
cizzazione dei diritti degli interessati – gli uffici di relazioni esterne.
Un tale approccio si è nel corso del tempo dimostrato ben adattato alla gestione di tutti i più
importanti adempimenti previsti dal GDPR/LED, dal registro delle attività di trattamento
all’analisi dei rischi di sicurezza delle informazioni, dalle modalità di pubblicizzazione dei
diritti e delle modalità di esercizio dei medesimi, alla cura dei rapporti con gli interessati,
dalla valutazione di impatto sulla protezione dei dati personali, alla gestione dei processi di
gestione degli incidenti e di notifica dei data breach. In tutti questi contesti, l’Ufficio Pro-
tezione Dati ha potuto fruttuosamente stabilire metodologie, predisporre schemi di lavoro
e promuovere strumenti e buone prassi, fermo restando il potere autorizzatorio del Titolare
che può ovviamente scegliere metodologie, schemi e strumenti di lavoro diversi.
Appurato quindi il perimetro e i limiti di un’accezione estesa del ruolo del DPO cablata sin
dalle origini nell’Ufficio Protezione Dati, si può ragionare sul come è stato dimensionato e
organizzato l’Ufficio e quali sinergie con il dominio della cyber security siano state conse-
guite.
©
Clusit 2021 69
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Come noto, il ruolo del DPO vive di una forte multidisciplinarietà, essendo la data pro-
tection una materia che, pur di natura giuridica nella sua genesi più profonda, non può or-
mai prescindere da competenze (se non addirittura da un approccio complessivo ab origine)
proprie dell’ICT.
In quest’ottica, l’organizzazione interna dell’Ufficio Protezione Dati, è stata sin dalle origini
articolata in tre funzioni fondamentali:
1. Giuridica
2. Tecnologica
3. Verifiche.
70
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Infine, alla funzione Verifiche sono state assegnati i compiti più propriamente di controllo
del DPO, ossia di verificare lo stato di avanzamento e l’attuazione dei vari adempimenti
previsti dalla norma, ivi compreso il processo di analisi e trattamento dei rischi di sicurezza
delle informazioni, di definire una metodologia per la valutazione di impatto sulla protezio-
ne dei dati personali e di provvedere alle fasi di post validazione della medesima, nonché
di monitorare le attività dei responsabili del trattamento secondo quanto stabilito nei data
protection agreement. La stessa funzione, sulla scorta di tali attribuzioni, svolge attività di
auditing di natura tecnica, quali ad esempio test periodici dell’intero ciclo di gestione delle
vulnerabilità dei sistemi, delle reti e delle applicazioni, di verifica intorno al rispetto di po-
litiche e procedure stabilite dal titolare e cura la progettazione di un insieme di parametri
prestazionali di sistema, riconosciuti quali indici di possibili anomalie nel trattamento.
©
Clusit 2021 71
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Alcune delle attività elencate per le funzioni Tecnologia e Verifiche sono molto vicine a quanto
svolto dalle articolazioni preposte alla cyber security e agli audit interni. Come premesso, questo
può essere un buon compromesso per realtà medio-piccole. Ma, in linea del tutto generale, l’o-
biettivo del DPO non è quello di progettare, implementare e misurare la protezione dei dati e la
cyber security, bensì quello di fornire consiglio e impulso, anche non richiesto, a tutti i processi
dell’organizzazione che in qualche modo hanno impatto sui dati personali trattati.
Le attività delle tre funzioni hanno permesso all’Ufficio Protezione Dati da un lato di indi-
rizzare compiutamente gli adempimenti previsti dalla normativa di riferimento, fornendo un
utile ed efficace supporto al Titolare del trattamento, e dall’altro, a ragione della suddivisio-
ne interna dello staff, di assicurare la dovuta indipendenza e terzietà nelle fasi di controllo
e monitoraggio.
72
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
L’Ufficio Protezione Dati, così organizzato da un punto di vista strutturale, vede a tutt’oggi
due unità di personale per ogni funzione, una di direzione ed una di supporto. Tale soluzio-
ne, per quanto estremamente parsimoniosa, abilita un potente valore aggiunto. Difatti, nel
garantire una completezza di azione pur con un numero limitato di risorse allocate, compa-
tibile con le carenze organiche della quasi totalità delle pubbliche amministrazioni nazio-
nali, induce altresì ad un approccio graduale nella costruzione dei sistemi di data protection
ove i singoli requisiti sono affrontati in maniera incrementale e concreta, deflazionando il
rischio di una inutile, dannosa e precipitosa rincorsa alla compliance.
Esaminati gli aspetti tecnico organizzativi, appare di interesse descrivere la soluzione im-
plementata per la realizzazione della funzione di punto di contatto per gli interessati dal
trattamento, attività ricompresa nel dominio della gestione della data protection. Tale attri-
buzione, in taluni casi espressamente prevista in capo al DPO – cfr. ad esempio il caso della
Direttiva (UE) 2016/681 – in altri desunta implicitamente, rappresenta in effetti uno dei
compiti più sfidanti e potenzialmente impattanti in termini di impiego di risorse.
Atteso l’elevato numero di richieste lavorate su base annua, dovuto tanto dalla varietà di
sistemi informativi presenti nel proprio perimetro di competenza, quanto all’estensione del-
la platea degli interessati dal trattamento, pressoché coincidente con l’intera popolazione
nazionale, nel caso concreto dei trattamenti sotto l’egida dell’Ufficio Protezione Dati si è
resa necessaria una organizzazione dei flussi di lavoro tale da non saturare l’ufficio del DPO
dando riscontro nei tempi dovuti agli interessati stessi.
La soluzione progettata dalla Direzione Centrale della Polizia Criminale al fine di rispon-
dere con efficienza a detti prerequisiti è stata quella di decentralizzare tale gestione tra
le sue varie articolazioni interne: gli Uffici con in carico la gestione di ciascun sistema
informativo recepiscono e danno riscontro alle richieste di accesso/integrazione/correzione/
cancellazione attinenti ai trattamenti di propria pertinenza, pur seguendo regole e politiche
comuni emanate dall’Ufficio Protezione Dati. Lo stesso Ufficio Protezione Dati sottopone
a monitoraggio e audit il funzionamento di tale processo, acquisendo periodici rapporti
statistici e svolgendo controlli a campione onde assicurarsi la corretta e puntuale gestione
delle pratiche ricevute.
Tale soluzione, nel ricondurre ad un unico centro di competenza l’emanazione di linee
guida e best practices e demandando la gestione di dettaglio delle operazioni a diverse arti-
colazioni, ciascuna dotata delle massime expertises per ogni specifico sistema di trattamento
di dati personali, ha permesso nel tempo alla Polizia Criminale di dare riscontro ai cittadini
con tempi certi e con uniformità rispetto ai diversi sistemi di trattamento.
©
Clusit 2021 73
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Con particolare riguardo alle ultime tre iniziative elencate sembra opportuno fornire qual-
che elemento in più.
La formazione (e l’informazione) sulla materia della protezione dei dati personali, oltre ad
essere esplicito mandato normativo in capo al DPO per le persone autorizzate al trattamen-
to, pare ormai porsi quale un irrinunciabile imperativo categorico per la collettività in gene-
rale. Osserviamo, in diversi ambiti della società civile, una certa propensione a considerare
la data protection quale ennesima ingessatura burocratica piuttosto che come un diritto fon-
damentale dell’uomo. Se ciò accade, è anche per una ben chiara carenza culturale che inve-
ste la popolazione dal comune lavoratore fino al vertice d’azienda. In questo senso, soprat-
tutto chi opera nelle istituzioni è chiamato ad uno sforzo orientato al proiettare gli aspetti di
consapevolezza (la c.d. awareness in linguaggio anglofono o tecnico) al di fuori della propria
organizzazione. In tal contesto, l’Ufficio Protezione Dati, oltre a integrare la formazione
in tema data protection all’interno dei piani formativi della Polizia di Stato rivolti ad ogni
ordine e grado ha anche, nel corso del tempo, declinato diverse iniziative, partecipando ad
eventi e congressi pubblici e pubblicando articoli di informazione. Di particolare rilievo, in
74
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
questo contesto, l’organizzazione della VII edizione della Conferenza Internazionale EDEN
(Europol Data portection Expert Network), periodico evento dedicato ad approfondimenti,
condivisione e visioni per il futuro sul tema della protezione dei dati personali nel settore
law enforcement, curato in collaborazione con Europol e con l’Accademia Europea di Legge.
L’evento, che avrà luogo a Roma pressoché in concomitanza con il rilascio del presente rap-
porto, nato originariamente come un momento di confronto tra i DPO delle Forze di polizia
Europee, ha nel corso del tempo aperto ad altri settori della società, quali l’accademia, il
mondo forense e l’industria, rappresentando pertanto un momento di fecondissima conta-
minazione tra professionisti e cultori della materia appartenenti a settori di impiego diversi
e ciascuno con specifiche cifre di propria complessità.
Per quanto concerne il progetto del C-SOC, la cui missione è il monitoraggio e il migliora-
mento continui della sicurezza attraverso la prevenzione, la rilevazione, l’analisi e la risposta
agli incidenti di sicurezza informatica, tramite l’utilizzo sia di tecnologia che di processi, si
tratta di una iniziativa progettuale, beneficiaria del Fondo per la Sicurezza Interna 2014-
2020 nella componente “Police”, strumento finanziario dedicato alla gestione dei rischi
e delle crisi per la sicurezza interna. Il C-SOC realizza, a partire dal 2021, la capacità di
governare gli eventi cyber e lo “stato di salute” fisico e logico delle banche dati interforze.
Infine, l’iniziativa che più di tutte le altre ha fornito ritorno immediato a chi l’ha intrapresa
cioè la formazione del personale. Nello specifico caso dell’Ufficio Protezione Dati della Di-
rezione Centrale della Polizia Criminale il 50% del personale è stato formato e qualificato,
in cinque anni, secondo i seguenti schemi:
• Auditor/Lead Auditor Sistemi di Gestione della Sicurezza delle Informazioni ISO 27001;
• Auditor/Lead Auditor Sistemi di Gestione della Continuità Operativa ISO 22301;
• Auditor/Lead Auditor Sistemi di Gestione del Servizio ISO 20000-1;
• ICT Security Manager UNI 11506;
• ITIL Foundation;
• EC-Council Certified Ethical Hacker;
• EC-Council Certified Threat Intelligence Analyst;
• EC-Council Certified SOC Analyst;
• EC-Council Certified Incident Handler.
Dunque, emerge chiaramente come la funzione dell’Ufficio Protezione Dati sia stata, per
scelta, declinata secondo un punto di vista che è quello dell’information security e della
cyber security potenziando ciò che, per una pubblica e centenaria amministrazione – quale
è la Pubblica Sicurezza – era già sostanzialmente e fortemente presidiato ossia la macroarea
Legale. Non è un caso che tra i corsi seguiti dal personale non compaia alcuno specifico
schema di certificazione sulla data protection o sulla figura del DPO.
Del resto, alla seppur aggirabile difficoltà di trovare una certificazione adatta alla data pro-
tection ex LED invece che ex GDPR, vale la pena ricordare che la norma si limita a prescri-
©
Clusit 2021 75
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
vere, tra i compiti propri del DPO, quelli di informazione, vigilanza e consulenza in materia
di protezione dei dati personali.
Atteso, infine, che il Data Protection Office, il più delle volte, viene istituito per rispondere
alle prescrizioni normative del GDPR, quindi per ragioni di compliance alla legge, ciò non
toglie che lo stesso ufficio possa rilevare al suo interno dei drivers che lo guidino per trovare
riscontri, conferme e, soprattutto, l’autodeterminazione di sé nella propria organizzazione
di appartenenza.
Questi drivers, come troviamo nella letteratura di settore, sono riassumibili nella terna se-
guente:
1. Audit e compliance, se l’ufficio protezione dati è spinto dalla ricerca incessante della
conformità nelle attività di trattamento dei dati personali svolto dalla propria organizza-
zione. Il focus è su leggi, regolamenti, contratti e standard.
2. Security, se l’ufficio protezione dati è improntato alla sicurezza delle informazioni e/o
alla cyber security poiché ritiene, in primis, che le attività di trattamento dei dati perso-
nali debbano essere protette da minacce accidentali, incidentali o ambientali. Il focus
è sul rischio.
3. Operations, se l’ufficio protezione dati è in qualche misura coinvolto dai processi opera-
tivi dell’organizzazione al fine di fornire un contributo alla qualità e alla speditezza nella
produzione dei beni o nell’erogazione dei servizi. Il focus è sul core business.
Non esiste una formula o una composizione in proporzioni fisse per scegliere i propri dri-
vers. Ma esiste il mix perfetto per quella specifica organizzazione e in quello specifico stadio
di maturità. In altri termini, a seconda del livello di maturità, delle dimensioni e del conte-
sto operativo si potrà avere solo il primo driver che, di fatto, rappresenta il minimo sindacale
ovvero tutti e tre i drivers a guidare l’operato del Data Protection Office.
76
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Figura 2 - Strumento di governo e compliance della protezione dati integrata alla cyber
security
©
Clusit 2021 77
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 3 - Inaugurazione del CSOC della Direzione Centrale della Polizia Criminale
78
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Conclusioni
In conclusione, sembra esistere ancora margine per completare e irrobustire la letteratura
intorno ad una corretta declinazione non solo del ruolo stesso DPO ma anche dell’indirizzo
e della vision con la quale interpretare questo ruolo così come dell’organizzazione interna
dei flussi del proprio ufficio. Tale figura di responsabilità è innovativa e, per quanto studiata
e approfondita, le esperienze pratiche si dimostrano spesso, come capita in tanti campi
variegati e diversi, imprescindibili complementi ai consigli teorici.
L’esperienza concreta dell’Ufficio Protezione Dati della Direzione Centrale della Polizia
Criminale, ormai attivo da più di un lustro e punto di riferimento nel comparto sicurezza
per quanto attiene un approccio volto ad una gestione congiunta di data protection e cyber
security, offre interessanti spunti su come istituire una funzione di data protection moderna,
ben bilanciata nello sposare gli ormai imprescindibili aspetti di sicurezza cyber ed in grado
di incidere efficacemente anche nel complesso mondo di rapporti gerarchici proprio della
pubblica amministrazione pur con un limitatissimo numero di risorse, facendo leva su una
suddivisione di compiti chiara, supportata da processi condivisi e ben armonizzata alla vi-
sione filosofica con la quale si è scelto di interpretare la funzione stessa.
©
Clusit 2021 79
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Introduzione
L’Open Source Intelligence (OSINT), intesa come l’intelligence prodotta mediante l’utilizzo
di informazioni pubblicamente disponibili, assume un ruolo di rilievo nella conduzione di
attività investigative di Cyber Threat Intelligence (CTI). Metodologie e tecniche di Open
Source Intelligence sono ad oggi utilizzate da agenzie d’intelligence, dalle Forze dell’Ordi-
ne, dai giornalisti, dalle imprese, così come dal crimine organizzato e dalle organizzazioni
terroristiche, per individuare informazioni di interesse su uno specifico obiettivo e per la
produzione di intelligence a scopo offensivo o difensivo. La crescente mole di informazioni
e di dati pubblicamente disponibili e relativi ad un potenziale obiettivo (come un individuo
o una organizzazione) rappresenta un elemento facilitatore per la conduzione di attacchi
efficaci. Le investigazioni condotte attraverso attività OSINT possono rivelarsi contropro-
ducenti se non sviluppate secondo criteri e metodi necessari a non palesare le azioni di
retrieving data, tipiche delle attività investigative. In questo scenario, sviluppare una visione
chiara della tipologia dei dati e delle informazioni pubblicamente esposte e relative alla
propria organizzazione (es: asset, figure apicali, personale interno, personale esterno, team
preposti alla sicurezza dell’organizzazione, informazioni finanziarie, etc.), rappresenta un
fattore abilitate per lo sviluppo delle capacità, preventiva e proattiva, di contrasto alla mi-
naccia tipicamente svolta nell’ambito delle attività di CTI.
Collegare i punti
Una grande mole di dati e di informazioni viene riversata costantemente nel web e di con-
seguenza è resa potenzialmente disponibile, senza soluzione di continuità, ad un’ampia pla-
tea di diversificati portatori di interesse. A volte l’informazione viaggia incontrollata, spesso
inconsapevolmente o indirettamente, attraverso i profili social personali, di amici o semplici
conoscenti con diverso grado di prossimità. Altre volte una fuga di informazioni può esporre
pubblicamente dati correlabili a soggetti, infrastrutture e organizzazioni.
Alcuni testi di riferimento, come ad esempio il NATO OSINT Handbook v1.2 e il JP 2-0
United States Joint Intelligence del 22 ottobre del 2013, usano termini simili per descrivere
i concetti di data, information e intelligence e le loro relazioni (Figura 1). Il dato grezzo,
Open Source Data (OSD), sia esso generato da una registrazione audio-video, da una foto-
grafia, da immagini satellitari o altro, se arricchito da elementi di contesto e sottoposto ad
un processo di filtraggio e validazione, può assumere un maggior valore e mutare in informa-
zione, Open Source Information (OSIF). Quest’ultima se esaminata, arricchita con analisi
1 Le opinioni sono espresse a titolo personale e non impegnano in alcun modo la Banca d’Italia. L’autore ringrazia Pasquale Digregorio
per le osservazioni fornite durante la stesura del presente elaborato.
©
Clusit 2021 81
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
2 La grey literature rappresenta l’informazione prodotta a livello governativo, accademico e industriale, in formato elettronico o cartaceo,
82
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Il Ciclo OSINT
L’approccio all’OSINT richiede metodo e tecnica. Esistono differenti varianti del ciclo
OSINT, la dottrina di settore fa riferimento ad almeno quattro fasi principali. Per la NATO
(cfr. NATO OSINT Hanbook v1.2), l’OSINT Process è declinabile nelle fasi di discovery,
discrimination, distillation, dissemination che rispettivamente rappresentano l’individuazio-
ne delle fonti, la selezione delle stesse in termini di rilevanza, l’estrapolazione delle infor-
mazioni utili a favorire il processo decisionale ed infine la trasmissione di quanto rilevato
in sede di analisi agli specifici destinatari. In linea generare il ciclo OSINT e quello CTI
rappresentano una specializzazione delle fasi dell’Intelligence Cycle (planning and direction,
collection, processing and exploitation, analysis and production, dissemination). I principali
investigatori OSINT in ambito internazionale riconducono l’OSINT Cycle alle quattro fasi
descritte di seguito (Figura 2):
©
Clusit 2021 83
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Casi d’uso
Metodologie e tecniche OSINT sono ad oggi utilizzate per individuare informazioni di in-
teresse su uno specifico target e per la produzione di intelligence o counterintelligence3 a
scopo offensivo o difensivo. Diversi sono i soggetti che ne fanno ampiamente uso. A titolo
esemplificativo, la tabella sottostante mostra alcune possibili motivazioni ed i relativi use-ca-
se di indagini OSINT suddivise per scopo.
3 Con il termine counterintelligence si intende l’identificazione, la valutazione, la neutralizzazione e lo sfruttamento delle attività di
intelligence svolte da entità avversarie.
84
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
4 Il termine SOCMINT (Social Media Intelligence) si riferisce a un ramo dell’Open Source Intelligence specificatamente dedicato alla
raccolta di informazione attraverso i social network (Facebook, Twitter, Instagram, etc.).
5 Il termine VHUMINT (Virtual Human Intelligence) estende al mondo virtuale il concetto di Human Intelligence cioè una metodologia
investigativa imperniata sulla raccolta di informazioni per mezzo di contatti interpersonali. Attraverso la VHUMINT vi è dunque l’in-
terazione proattiva con gli attori della minaccia al fine di raccogliere informazioni di contesto necessarie a mitigare efficacemente la
minaccia.
©
Clusit 2021 85
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Estorsione
informazioni private, a scopo estorsivo.
Raccolta di informazioni su potenziali obiettivi compiacenti e facilmente
Crimine
corruttibili; individuazione delle aree urbane da utilizzare per azioni di
Organizzato
reclutamento.
Identificazione di aree geografiche attraverso l’uso di immagini satellitari
Terrorismo al fine di orchestrare azioni terroristiche; monitoraggio del traffico urbano
ed extraurbano.
Raccolta di informazioni su una potenziale vittima per individuarne le
Molestia abitudini, i gusti e le debolezze al fine di sfruttarle contro di essa (stalking,
bullismo, etc.).
6 Con il termine OPSEC (Operation Security) si intende il processo mediante il quale, durante un’operazione, si previene l’esposizione
involontaria di informazioni sensibili/riservate/classificate riguardanti le proprie attività, intenzioni o capacità.
7 Il World Wide Web è spesso rappresentato dalla metafora dell’iceberg: la parte esposta in superficie (circa il 9.99%), il surface web,
descrive i contenuti indicizzati e facilmente raggiungibili attraverso i comuni motori di ricerca; la parte oltre il pelo dell’acqua, il deep
web, pari a circa il 90% del web, rappresenta i contenuti non indicizzati dai motori di ricerca tradizionali come ad esempio le pagine
web a valle di un form di autenticazione, siti web privati e aziendali, etc.; un ulteriore 0.01% di contenuti è rappresentato infine dal
dark web, la parte più nascosta del web i cui contenuti sono accessibili solamente attraverso l’utilizzo di appositi software in grado di
connettere l’utente alle cosiddette darknet spesso sfruttate per scopi illeciti (terrorismo, cybercrime, black-market, etc.).
86
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Framework OSINT
Gli OSINT Framework sono costituiti da raccolte di strumenti che possono aiutare l’ana-
lista durante le investigazioni consentendogli di individuare rapidamente gli strumenti da
utilizzare per perseguire i propri obiettivi investigativi. Ne esistono di differenti e per lo
più costituiti da pagine web con elenchi organizzati di link a risorse OSINT. Il ricercatore
Bruno Mortier, attraverso la sua pagina web9, ne presenta una buona raccolta, fra questi ad
esempio Technisette, OSINT Curious Resource List, Bellingcat Investigation Toolkit, Ultima-
te OSINT Collection o il Justin Nordine OSINT Framework10. In particolare quest’ultimo
mediante un’interfaccia grafica che guida l’utente attraverso una classificazione di fonti di
intelligence distinta per argomenti e/o obiettivi rappresenta sicuramente un buon riferimen-
to per individuare gli strumenti da utilizzare durante le investigazioni.
Si propone di seguito una possibile applicazione pratica del Nordine OSINT Framework
per individuare la presenza sul web di nomi di dominio che per assonanza o per errori di
battitura (typosquatting), possano ingannare l’utente dirottandolo su pagine web aziendali
fake. Le motivazioni che spingono alla registrazione di nomi di domini con tali caratteristi-
che sono delle più disparate, dalla semplice pubblicità alla realizzazione di attacchi più o
meno sofisticati (es: furto di credenziali o di dati bancari, fake news, truffe, distribuzione di
8 https://www.tracelabs.org/initiatives/search-party
9 http://osintframework.de
10 https://www.osintframework.com
©
Clusit 2021 87
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Nel primo caso, l’errore di battitura è ottenuto eliminando una lettera dal nome originale.
Nel secondo caso, volutamente scritto in maiuscolo (tranne per la penultima lettera), il
dominio di primo livello - .it - (ccTLD per l’Italia) è stato sostituito con - .LT - (ccTLD per
la Lituania) o meglio, con - .lT - (la prima lettera è una L in minuscolo). Infine nell’ultimo
caso, il Top Level Domain utilizzato non è più il - .it - ma il - .org -.
La Figura 3 mostra come l’OSINT Framework può semplificare le attività di raccolta delle
informazioni indirizzando l’analista su strumenti utili alle indagini del caso. Alla voce Typo-
squatting troviamo alcuni software/script da utilizzare per individuare le possibili permuta-
zioni di un dominio di interesse: dnstwist11 ne è un esempio. Le sue funzionalità di base
prevedono la generazione un ampio elenco di permutazioni del nome di dominio indicato
e la verifica della presenza delle permutazioni attive e in uso sul web. Per identificare even-
tuali certificati TLS associati ai nomi di dominio individuati, la sezione Certificate Search
propone varie opzioni, ad esempio l’uso di Crt.sh Certificate Search12, di CertGraph13 oppure
di Spyse14.
Per la ricerca di possibili sottodomini attivi, la sezione Subdomains presenta varie possibilità
e fra queste l’utilizzo Sublist3r15, uno strumento python progettato per enumerare sottodo-
mini di siti web utilizzando motori di ricerca come Google, Yahoo, Bing, Baidu e Ask ma an-
che Netcraft, Virustotal, ThreatCrowd, DNSdumpster e ReverseDNS. Infine, per identificare
possibili variazioni sugli indirizzi IP associati al dominio di interesse potrebbe essere utile
affidarsi ai sistemi PassiveDNS. Fra gli strumenti proposti come interfacce web per query
PDNS troviamo Mnemonic PassiveDNS16 oppure PTRarchive17.
11 https://github.com/elceef/dnstwist
12 https://crt.sh
13 https://github.com/lanrat/certgraph
14 https://spyse.com
15 https://github.com/aboul3la/Sublist3r
16 https://passivedns.mnemonic.no/
17 http://ptrarchive.com
88
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Come appare da questo semplice caso d’uso, che rappresenta solo la fase di raccolta, le
potenzialità di questo genere di framework sono elevate, anche se permane la necessità di
ricorrere ad integrazioni e revisioni degli script open-source o all’utilizzo di sistemi alternativi
frutto dell’esperienza e delle capacità sviluppate dall’analista. Esperienza che appare impre-
scindibile per il completamento delle ulteriori fasi del ciclo OSINT ed è essenziale nelle
attività di human intelligence, tipicamente svolte dagli organismi di law enforcement, neces-
sarie per interagire con un threat actor e ottenere anticipatamente informazioni su malware,
frodi, vulnerabilità o altri tipi di minaccia potenzialmente indirizzata agli asset da proteggere.
©
Clusit 2021 89
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
ad un possibile divulgazione pubblica. Un percorso che può durare anni e che richiede, agli
occhi degli interlocutori, la giusta reputazione e credibilità sul campo, da creare con storie e
profili costruiti e adattati a seconda delle situazioni in cui ci si ritrova ad interagire, nonché
capacità tecniche per evitare di essere a propria volta vittime di attività di tracciamento.
18 Iltermine fa riferimento a Close Source Intelligence, cioè il processo di raccolta di informazioni attraverso la consultazione di fonti
chiuse cioè non accessibili pubblicamente: intelligence feed, fonti governative, informazioni classificate, etc.
90
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Il modello descritto si riferisce a processi di alto livello. Ognuno dei business process indicati
può essere sviluppato e personalizzato; il processo OSINT Query potrebbe comprendere
ad esempio la predisposizione e il continuo l’aggiornamento di apposite SOP, con indica-
zioni step-by-step, per il recupero di informazioni inerenti email, username, alias, nomi reali,
indirizzi IP, numeri di telefono, nomi di dominio, documenti, location, etc.
©
Clusit 2021 91
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Conclusioni
L’enorme quantità di dati e informazioni che più o meno consapevolmente diffondiamo nel
web, rappresenta un vantaggio competitivo per eventuali attaccanti. Tali circostanze esten-
dono notevolmente la superficie d’attacco a disposizione di coloro che con diverso intento,
capacità e opportunità possono costituire minacce, sia nel cyberspazio sia nella vita reale, per
persone, organizzazioni e cose. In questo scenario, impiegare la dottrina nell’ambito dell’in-
telligence al fine di sviluppare una visione chiara del proprio grado di esposizione è fattore
abilitante e funzionale per il consolidamento delle capacità di Cyber Threat Intelligence.
La raccolta delle informazioni attraverso l’utilizzo di metodi e tecniche OSINT rappresenta
un tassello importante per la produzione di CTI. Al riguardo al pari delle operazioni militari
sul campo, è necessario mantenere il corretto grado di riservatezza e anonimato durante la
conduzione delle attività operative, siano esse effettuate manualmente o mediante l’utilizzo
di strumenti automatici.
Per rendere più efficienti alcune delle tipiche attività di raccolta informativa, permettendo
al contempo di ottenere uniformità nelle performance operative nella qualità degli output
ed evitando altresì la non conformità a standard e normative di settore, è utile definire
preventivamente procedure operative (SOP) che supportino le fasi del ciclo OSINT. Le
modalità di impiego di tali SOP, definibili con diversi gradi di astrazione, ma la cui decli-
nazione in procedure operative di dettaglio può costituire la vera differenza in termini di
efficacia ed efficienza, è determinante per incrementare e aggiornare adeguatamente la
cyber situational awareness attraverso la produzione di intelligence di livello tecnico-tattico,
operativo e strategico.
92
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
Riferimenti
©
Clusit 2021 93
SPECIALE FINANCE
Il cybercrime finanziario ha subito un’ulteriore evoluzione nel corso degli ultimi 12 mesi,
sia nel modus operandi dei gruppi di criminali cyber che nei malware usati. Il cybercrime è
indubbiamente dominato da gruppi internazionali, ben strutturati e organizzati.
Nell’analisi che segue, presento e commento i risultati delle rilevazioni sul cybercrime nel
settore finanziario in Europa nel corso del 2020 e primo semestre 2021, ed evidenzio alcune
tendenze che potremmo osservare nei primi mesi del 2022. Questo lavoro è stato possibile
anche grazie ai contributi del gruppo di ricerca IBM Security, IBM X-Force, i dati estratti
dalla rete mondiale di IBM Security Trusteer e al lavoro quotidiano dei colleghi IBM Secu-
rity che desidero ringraziare.
Tutte le fonti consultate sono elencate nella bibliografia al termine del capitolo.
La tecnica, o la combinazione di tecniche, varia in base alla vittima, con differenze tra il
cliente finale (retail) oppure aziendale (corporate) [2]. Malware e phishing si sono ripartiti
il compito in maniera abbastanza equa [2] sul mercato retail. Per il mercato corporate c’è
stata invece una prevalenza di schemi di attacco attorno ai malware [2].
Nella quasi totalità dei casi sono state combinate più tecniche per costruire schemi di com-
pleta manipolazione dell’utente.
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 95
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Financial malware
ENISA, Agenzia dell’Unione Europea per la Cybersecurity, pone i malware al primo posto
nel panorama delle minacce informatiche [3].
Nel contesto variegato di tutti i malware, qui ci limitiamo a prendere in considerazione
solo il financial malware, o malware per frodi finanziarie. Riportiamo dati e valutazioni sul
malware per frodi al settore finanziario e alle sue declinazioni (banche, finanza diversificata
e assicurazioni) limitatamente a osservazioni fatte da IBM Security Trusteer nell’area geo-
grafica EMEA (Europa, Medio Oriente e Africa) sull’intero anno 2020.
QakBot, TrickBot, DanaBot e Bugat sono stati i principali malware dell’anno, seguiti da
una nutrita lista di altri malware con un impatto minore. Il primo diagramma (Figura 1)
descrive la distribuzione dei malware così come sono stati rilevati sugli endpoint (disposi-
tivi utente) infetti. Continua la tendenza che osserviamo ormai da diversi anni di graduale
frammentazione su un numero crescente di malware, ciascuno in porzione sempre minore.
Relativamente all’Italia, abbiamo osservato numerose campagne basate su Ursnif/Gozi,
sLoad downloader, Dridex, AgentTesla e soprattutto Emotet.
Nei diagrammi di Figura 1 e Figura 2 abbiamo scelto di non riportare l’incidenza di Emo-
tet, indubbiamente diffuso in Italia e in Europa, in quanto il suo ruolo è stato prevalente-
mente di loader per altri malware, in particolare QakBot e TrickBot, con un probabile soda-
lizio tra i gruppi criminali. In questo connubio, Emotet è il veicolo che infetta la macchina
della vittima, avendo spiccate caratteristiche di evasione dai prodotti antimalware, per poi
scaricare il payload, spesso l’eseguibile di QakBot o TrickBot a cui poi lascia il controllo.
Oltre alle infezioni sugli endpoint, abbiamo catturato e analizzato il traffico generato da
endpoint infetti da malware che tentano di accedere al sito web dell’organizzazione target,
ad esempio una banca, per perpetrare una transazione fraudolenta (Figura 2).
96
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Il questo caso i malware che hanno generato maggiore attività sono Ursnif/Gozi, Urlzone,
Zeus, Ramnit, e a seguire una lunga lista di altri malware.
Questa seconda tipologia di rilevazione (Figura 2) è speculare a quanto già osservato relati-
vamente agli endpoint infetti (Figura 1). Le due rilevazioni si integrano l’un l’altra.
Mentre il diagramma di Figura 1 misura la capacità del malware di evadere le protezioni
di rete e di sistema e infettare il computer o smartphone della vittima, la Figura 2 misura
invece la quantità di traffico che i dispositivi infetti riescono a generare verso il sito web
della banca, e che potenzialmente mettono a rischio l’account utente. Nel raffrontare i due
diagrammi occorre tenere in giusta considerazione il diverso comportamento di ciascun
malware e soprattutto come vengono rilevati i dati.
Una soluzione di sicurezza deve essere in grado di individuare e bloccare entrambi i feno-
meni, combinandoli per proteggere l’endpoint e ciascuna fase della transazione bancaria.
TrickBot prosegue l’evoluzione verso una vera e propria piattaforma di attacco, con una
struttura modulare che consente di noleggiare il malware a terzi, secondo un modello MaaS
(Malware-as-a-Service).
Ciascuna campagna TrickBot è caratterizzata da un identificatore di gruppo (tag) assegnato
al cliente di turno. Ciascuno gruppo può così sfruttare le caratteristiche di propagazione di
TrickBot, importando all’interno del malware le tattiche, tecniche e procedure e costruire
attacchi altamente mirati [4].
Una coalizione di aziende Tech (Microsoft, FS-ISAC, ESET, Black Lotus Labs, NTT, e
Broadcom/Symantec) ha smantellato ad ottobre l’infrastruttura di backend della botnet per
la distribuzione di TrickBot [5]. Non è da escludere che il picco negativo novembre 2021
(Figura 3) sia proprio conseguenza di questa operazione.
©
Clusit 2021 97
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Si stima che fino a quella data TrickBot ha infettato circa 1 milione di computer, inclusi
molti dispositivi IoT. Questa operazione, assieme a quella di gennaio 2021 contro la botnet
di Emotet, segnano due importanti battute di arresto di TrickBot del quale speriamo di
vedere ricadute positive nei prossimi mesi.
La cattura delle credenziali di accesso alla posta elettronica, sia webmail che client instal-
lati sul computer o smartphone, è un’attività apparentemente anomala per un financial
malware, ma è un andamento che osserviamo in crescita già da qualche anno. I gruppi
cyber criminali fanno questo per avere una base dalla quale lanciare attacchi di tipo BEC,
diffondendo malware da caselle elettroniche reali e spesso note alla vittima, con un’efficacia
nettamente maggiore rispetto a quanto non si riesca a fare con il tradizionale phishing. I
numerosi esempi di campagne veicolate tramite PEC ne sono un esempio.
Ciascun elemento, apparentemente insignificante, può essere utile per costruire e dare
maggiore credito ad attacchi futuri. Questo non può che farci pensare che mentre noi ana-
lizziamo quanto accaduto, i gruppi cyber criminali stanno già pensando a schemi di attacchi
futuri.
L’obiettivo principale dei malware per frodi finanziarie, era e rimane, l’impossessarsi delle
credenziali di accesso ai sistemi di pagamento, oppure dei dati delle carte di pagamento,
oppure ancora di cambiare ad insaputa della vittima le coordinate di pagamento.
A seconda della tattica, l’attacco può spaziare dal semplice furto di credenziali di accesso,
al furto del fattore di autenticazione forte del cliente (SCA – Strong Customer Authentica-
tion) introdotto della normativa PSD2 [6], al furto dei dati delle carte di pagamento, e in-
fine alla sostituzione delle coordinate di pagamento (IBAN o del wallet elettronico) questo
ultimo caso soprattutto per i malware per dispositivi mobili.
98
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
©
Clusit 2021 99
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Emblematico il caso della sezione Musei della Basilicata sul sito del Ministero per i Beni e
le Attività Culturali che lo scorso luglio, per almeno cinque giorni, ha distribuito il malware
Emotet caricato in una cartella non protetta senza che questo venisse prontamente indivi-
duato e rimosso. Da allora la URL della Direzione Regionale Musei Basilicata è segnalata
come potenziale sorgente di malware, e di conseguenza la navigazione sull’intera sezione del
portale è bloccata da molti browser e provider.
Questa condizione presenta un importante rischio in Italia, in quanto il recente Monito-
raggio dei portali istituzionali della PA [7], condotto da Cert-AgID nel dicembre 2020 su
oltre 21.000 portali istituzionali della Pubblica Amministrazione, evidenzia che solo il 9%
di questi sono sufficientemente sicuri, mentre il restante 91% è caratterizzata da mancanza
del protocollo HTTPS, gravi problemi di sicurezza, oppure ancora è mal configurato.
Nel corso del 2019 avevamo osservato molti documenti malevoli sfruttare la CVE-2017-
0199 e la CVE-2017-11882, due Remote Execution Vulnerability per Windows molto in-
sidiose, in quanto era sufficiente aprire il documento, e in talune circostanze fare la sola
preview, per eseguire la componente malevola che scaricava il codice malware. Il mec-
canismo, su macchine non aggiornate, era particolarmente potente in quanto richiedeva
un’interazione minima da parte della vittima.
Nel corso del 2020 gli attaccanti si sono mossi invece su un terreno decisamente più facile,
sfruttando prevalentemente la debolezza umana, con documenti Office contenenti funzioni
macro malevole.
100
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Durante la pandemia COVID-19 sono state osservate numerose ondate di spamming ba-
sate attorno a finte comunicazioni apparentemente provenienti dell’Agenzia dell’Entrate,
INPS o altri enti che erogavano contributi economici. Tutte contenevano al loro interno
allegati che sfruttavano macro di Office malevole.
Questo veicolo, molto più semplice dal punto di vista implementativo, ha reso possibile la
realizzazione di una quantità molto elevata di campagne di attacco.
L’epopea di Emotet
Emotet è noto sin dal 2014, inizialmente come malware bancario specializzato nel furto
di credenziali. A partire dal 2016 si ritaglia gradualmente una posizione di rilevo come
loader per altri malware, principalmente QakBot, TrickBot e il ransomware Ryuk [8] in un
probabile sodalizio criminale con altre cyber gang, offrendo la sua infrastruttura botnet per
veicolare altri malware. Il modello operativo di Emotet è presumibilmente Access-as-a-Ser-
vice, in quanto veicola fin dentro la macchina della vittima malware scritto da altri gruppi
cyber criminali.
©
Clusit 2021 101
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Germania, Italia, Regno Unito, Spagna e numerose altre nazioni. Si stima che nel periodo
tra il 1° aprile 2020 e il 17 gennaio 2021 Emotet abbia infettato 1,6 milioni di computer in
tutto il mondo [10].
102
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Una pagina di phishing ha generalmente una vita breve. Nel 72% dei casi studiati dura
meno di 48 ore, ma il ricambio è tale da mantenere il numero di pagine attive sempre
sostenuto. Ci sono comunque notevoli eccezioni, con alcune pagine rimaste attive anche
oltre due mesi.
Nel primo semestre del 2021 il 60% dei siti di phishing verso il settore finanziario italiano
è ospitato negli Stati Uniti, in crescita dal 54% nella seconda metà del 2020. (Figura 6)
C’è da notare che quasi un terzo (32%) di tutti i siti analizzati, è ospitato su un unico provi-
der, la statunitense Namecheap, tra le principali aziende di web hosting al mondo con oltre
10 milioni di domini gestiti.
Proprio come per le drop URL del malware, la collocazione geografica del provider che
ospita la pagina di phishing non fornisce alcuna indicazione su dove siano realmente i
threat actors. È ipotizzabile che la collocazione e la scelta del provider siano da attribuirsi
alla combinazione della facilità di creare domini, anche in maniera automatica via API e
pagando in criptovaluta, assieme agli scarsi controlli da parte dei provider.
Il dato che più di ogni altro deve farci rilfettere è che il 91.2% delle URL di phishing usa il
protocollo HTTPs, il cosidetto HTTP “sicuro”.
Tecnologie come HTTPS e l’SSL/TLS sono progettate per proteggere le comunicazioni tra
client e server, tuttavia l’icona del lucchetto nella barra indirizzi del browser può creare la
©
Clusit 2021 103
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
falsa l’illusione che un sito web possa essere considerato attendibile. Questo interferisce
molto con il giudizio che i visitatori danno del internet.
Tutto questo deve indubbiamente guidare le indicazioni che le organizzazioni forniscono ai
propri clienti, relativamente alla presenza di un lucchetto chiuso e dalla dicitura “https://”
nella barra degli indirizzi come elementi per distinguere una pagina sicura da una non sicu-
ra. Se l’uso di una connessione HTTP di tipo semplice (http://) sicuramente non fornisce
nessuna garanzia sulla controparte, l’uso del protocollo HTTPS, senza successive verifiche
sul tipo di certificato, chi lo ha emesso e per quali scopi, ancora una volta non può darci nes-
suna indicazione di sicurezza.
La decisione sulla veridicità di una connessione HTTPS dovrebbe essere legata alla valida-
zione del dominio. Nella totalità dei casi i phisher usano domini con certificati di tipo Do-
main Validation (DV), la forma più semplice di validazione e quella proposta dai siti di web
hosting per qualche euro o addirittura gratuitamente. I certificati di tipo Domain Validation,
malgrado siano in grado di garantire comunicazioni criptate e sicure attraverso connessioni
HTTPS, poco o nulla dicono sulla autenticità di chi possiede il sito web al quale siamo col-
legati. Questa ambiguità viene sfruttata dai phisher quando usano comunicazioni HTTPS.
Non esiste nessuna forma di controllo sull’entità o sulla persona che richiede un certificato
SSL/TLS per abilitare un sito al protocollo HTTPS, ma si controlla in automatico solo che
chi richiede il certificato abbia il controllo del dominio in questione, cosa ovvia.
I siti reali di banking italiani, purtroppo ancora con qualche grave eccezione, usano quasi
sempre certificati di tipo Organization Validated (OV), o meglio ancora, Extended Valida-
tion (EV). Quest’ ultimo tipo di validazione del certificato, il cui rilascio è articolato e su-
bordinato a numerosi controlli anche di natura legale sull’entità che lo richiede, fornisce le
maggiori garanzie sulla controparte. Per evitare il phishing, il controllo non dovrebbe essere
sull’utilizzo del protocollo HTTPS, ma bensì sul tipo di validazione del certificato usato, e
limitarsi a connessione solo verso siti che usino certificati di tipo Organization Validated
(OV) o Extended Validation (EV).
Alcuni, ma non tutti, i browser forniscono un’indicazione visiva sul tipo di validazione del
certificato, ed è su questo che gli utenti dei servizi di banking andrebbero informati e istruiti.
104
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Nel corso del 2020, abbiamo notato un incremento dell’uso di falsi operatori bancari, e chat
live di assistenza. I falsi operatori bancari richiamano il numero di telefono che spesso viene
chiesto nella pagina di phishing, presentandosi come addetti della banca che hanno notato
movimenti sospetti. Questa tecnica viene chiamata vishing (da Voice Phishing). Dipenden-
temente da quanto la vittima ha già eventualmente inserito nella prima fase del phishing,
i finti operatori chiedono tutti gli elementi di autenticazione, oppure solo quelli mancanti.
In particolare, questa tecnica è molto usata per convincere la vittima a dare i codici one-ti-
me di autenticazione forte del cliente (Strong Customer Authentication) che sotto diverse
denominazioni ciascuna banca invia in virtù delle specifiche tecniche contenute nella diret-
tiva PSD2. Si può ipotizzare che, mentre è al telefono con noi, il finto addetto faccia login
sul sito vero della banca e per questo ha bisogno dei codici one-time che proprio in quel
momento la banca invia al nostro cellulare o alla App installata sul nostro smartphone, e che
lui non può avere senza il nostro aiuto.
C’è da notare che molti sistemi VOIP consentono la configurazione del numero chiamante
in uscita, quindi non c’è da sorprendersi se alcune delle chiamate dai finti operatori arrivano
da un numero di telefono che è proprio quello della banca [13].
©
Clusit 2021 105
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Approccio simile si ha nelle finestre di chat live che cominciano ad essere presenti su
alcune pagine di furto di credenziali. In questo caso l’operatore via chat ha lo stesso ruolo
dell’operatore telefonico nel caso descritto precedentemente, e mira a carpire gli elementi
di autenticazione ancora mancanti, e l’elemento di autenticazione forte necessario per alcu-
ne operazioni a più alto rischio, inclusa l’immissione bonifici.
Vista la semplicità realizzativa e del basso livello di rischio di chi la perpetra, si prevede una
crescita di questo approccio combinato al phishing.
Molti phishing kit espongono in chiaro, tramite URL accessibili a chi ne conosce il path
esatto, i dati delle vittime della campagna di phishing. Questa che ad una prima analisi
potrebbe apparire un errore di chi ha scritto il phishing kit (Sensitive Data Exposure) per la
sua frequenza potrebbe invece essere spiegata come una scelta dei threat actor per attingere
ai dati “pescati” senza la necessità di alcuna forma di login al sito di phishing, rendendo più
difficile il tracciamento e un’eventuale l’analisi forense.
Questa situazione è di particolare gravità e pericolo per la vittima, in quanto i suoi dati
rimangono visibili e potrebbero cadere in mano, non solo degli attaccanti (cosa di per sé
già estremamente pericolosa), ma anche di altri threat actors “parassiti” che seguono gli
attacchi, e catturano le credenziali di accesso per poi costruirci nuove campagne di attacco.
106
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Il SIM swap è una delle tecniche più utilizzate dagli attaccanti nei confronti di vittime che
si avvalgono della possibilità di ricevere i codici via telefono. [2]
Il fenomeno è cresciuto in tutta Europa, sfruttando di volta in volta le carenze procedurali
o tecniche della emissione del duplicato di una SIM oppure nella portabilità del numero di
telefono da un operatore all’altro, cosa che genera l’emissione di una nuova SIM.
Le app bancarie, a seconda dell’implementazione, hanno meccanismi alternativi di auto-
rizzazione delle operazioni, che vanno dalle push notifications, codici di conferma mostrati
a schermo attraverso l’app stessa, all’autorizzazione con l’impronta digitale, e che contri-
buiscono in maniera robusta all’autenticazione del reale intestatario del conto, essendo
più difficili da catturare rispetto agli SMS. È quindi buona pratica installare e usare le app
bancarie, allontanandosi velocemente dagli SMS, tuttavia, questo non ci mette al riparo
dagli attacchi SIM swap in quanto gli attaccanti possono usare la nuova SIM per installare
su un loro smartphone l’app della banca usando tutte le nostre credenziali.
È da capire il ruolo che hanno avuto in questo contesto le campagne di phishing verso
l’applicazione dealerfree di Telecom Italia della prima parte dell’anno. Altresì da stimare
l’impatto che avrà nei prossimi mesi il databreach ad ho Mobile di dicembre 2020 [14].
Gli operatori di telefonia mobile e i loro rivenditori sono diventati, in alcuni casi, una vul-
nerabilità per i sistemi di autenticazione che si basano sul numero telefonico. Promettenti
sono gli esperimenti portati avanti da alcuni operatori che segnalano all’intestatario l’emis-
sione di una nuova SIM e gli danno un tempo sufficiente per bloccare l’operazione.
Completamente nuovi sono invece gli attacchi basati sull’emulazione degli smartphone
[15]. Gli emulatori imitano le caratteristiche dei dispositivi mobili e vengono solitamente
usati dagli sviluppatori per testare le applicazioni e le funzionalità su un’ampia gamma di
tipi di dispositivi con caratteristiche diverse, senza la necessità di acquistarli.
Questi attacchi, non teorici ma già realmente osservati sul campo, emulano i dispositivi
dell’utente (device spoofing) a cui ci si vuole sostituire, caricando dati esfiltrati da campa-
gne di malware o phishing, come le caratteristiche del dispositivo, marca, modello, versione
del sistema operativo, caratteristiche dello schermo, lingua, IMEI, posizione GPS e altro
ancora. Cioè tutti elementi usati per il device fingerprinting. Infine, al dispositivo viene
associato al nome utente e alla password della vittima per poi tentare un attacco al suo
©
Clusit 2021 107
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
account, che oltre le credenziali dell’utente simuli anche il suo dispositivo. Trattandosi di
un’emulazione software, è possibile replicare questa operazione a volontà e in un gran nu-
mero di istanze, lanciando attacchi automatizzati in contemporanea.
Conclusioni
L’anno appena trascorso ha dimostrato ancora una volta che gli attacchi informatici sono
dominati da gruppi criminali tecnicamente competenti, ben organizzati, pronti a reagire
rapidamente alle contromisure di volta in volta adottate. La protezione e la risposta agli at-
tacchi deve necessariamente adottare lo stesso approccio di competenza tecnica, strumenti,
organizzazione e rapidità.
Nel caso specifico delle frodi finanziarie, punto di partenza imprescindibile è una corretta
informazione al cliente e formazione dei propri dipendenti. È comunque da mettere in
conto che prima o poi un attacco possa realmente accadere, anche nel caso di contromisure
di buon livello.
L’organizzazione che eroga il servizio, ad esempio la banca, deve essere in grado di stabilire
in modo rapido e trasparente la veridicità dell’identità digitale dell’utente ben oltre l’au-
tenticazione fornita dalla username e password, e continuare a verificarla durante tutta la
transazione, classificando il livello di rischio di ciascun utente, connessione, operazione, e
applicando quando necessario controlli di autenticazione più rigidi.
La tecnologia disponibile consente già adesso di analizzare molti fattori. Analisi compor-
tamentale dell’utente, identificazione del dispositivo, associazione, autenticità, igiene del
dispositivo, configurazione, aggiornamenti del sistema operativo e delle applicazioni, posi-
zione, dettagli tecnici sulla SIM, numero di telefono, attributi di sessione e di rete. Questi
dati possono essere combinati con l’ausilio dell’intelligenza artificiale, la threat intelligence
e lo scambio di informazione con altri servizi di prevenzione dai cyber attacchi.
Promettenti i progressi del paradigma di cyber security Zero Trust. Tra i princìpi fondanti
ci sono:
• fornire solo accessi di tipo “least privilege”, con i privilegi minimi per effettuare l’opera-
zione, rilevando e valutando i rischi su dati, identità, endpoint, app e infrastruttura;
• non fidarsi mai, ma verificare sempre con il controllo dell’accesso sensibile al contesto a
tutte le app, dati, API, endpoint e risorse cloud ibride;
• infine, assumere che una violazione possa prima o poi accadere. Identificare le minacce
e predisporre risposte automatiche (Incident Response) che non solo fermano l’attacco
immediato, ma adattano dinamicamente i controlli di accesso.
108
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Il tema è quantomai attuale. Il Ponemon Institute, nel Cost of a Data Breach Report, pone
proprio l’intelligenza artificiale, assieme all’automazione nella risposta agli incidenti, tra i
fattori che possono maggiormente contribuire alla riduzione del danno, e quindi dei costi
associati, nel caso in cui una azienda sia vittima di un data breach.
La User Behaviour Analytics, o UBA, sfrutta modelli di Machine Learning che tengono
costantemente sotto controllo le attività di autenticazione e accesso di ciascun utente, i
download, gli upload, i data transfer e infine i movimenti laterali. I modelli apprendono da
soli sulla base dell’attività di ciascun utente, cominciano subito dopo l’installazione e con-
tinuano così apprendendo sempre meglio e in totale autonomia. Più passa il tempo, e più
l’algoritmo diventa preciso. Un comportamento anomalo, sulla base di quanto ciascun uten-
te normalmente fa, ad esempio un file transfer via http in uscita di dimensioni particolar-
mente grandi o verso destinazioni inusuali, oppure una navigazione inconsueta all’interno di
un’applicazione, viene immediatamente evidenziato come attività anomala e può scatenare
azioni automatiche, più o meno importanti, in base alla effettiva rischiosità dell’operazione.
Nella soluzione di Network Threat Analytics ci sono invece modelli di Machine Learning
specializzati nell’analizzare il traffico di rete. La fase di addestramento inizia subito dopo la
configurazione, e questa costruisce un modello di traffico considerato tipico.
Ci sono situazioni nelle quali il Machine Learning può esserci davvero d’aiuto. E sono tutte
quelle in cui si vogliono catturare anomalie rispetto al comportamento “caratteristico” di
ciascun utente o del traffico di rete, demandando però alla soluzione l’onere di capire cosa
è caratteristico utente per utente. Collegarsi da una località geografica insolita, oppure
collegarsi a un orario insolito, e sappiamo quando lo smart working abbia rivoluzionato il
concetto di orario di lavoro e luogo di lavoro, e lo abbia diversificato persona per persona.
Oppure fare sequenze di operazioni insolite. Navigare all’interno di un sito web seguendo
pattern anomali. Oppure fare improvvisamente file transfer insoliti o verso reti o servizi
considerate a rischio. O accedere ad una quantità insolita di documenti office, come fanno
molti ransomware. Questo ora siamo in grado di seguirlo utente per utente, proprio perché
ciascun utente nell’organizzazione ha un modo di lavorare unico che il Machine Learning
è in grado di catturare.
Ci sono poi altre applicazioni dell’Intelligenza Artificiale applicabili alla cyber security. Wa-
tson for CyberSecurity è alla base di molte soluzioni di cyber security. Analizza, ormai da
alcuni anni, blog, siti web, discussioni dell’underground, mailing list, report, security advi-
sory ed estrae contenuti rilevanti per la cyber security da un insieme di contenuti non strut-
turati e scritti in linguaggio naturale, e che quindi sarebbero difficilmente fruibili da una
soluzione informatica. lo fa combinando la traduzione automatica con il Natural Language
Understanding e la Content Analytics per estrarre da informazioni non strutturate e scritte
in linguaggio naturale e in molte lingue nazionali diverse, contenuti, pattern, tendenze e in-
dicatori che possono essere riusati da un’applicazione. Dalla enorme molte di informazioni
sulla cyber security generate ogni ora, su una moltitudine di canali diversi, vengono estratte
©
Clusit 2021 109
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
informazioni fruibili da una macchina e che supportano il lavoro di decisione e azione delle
varie figure coinvolte nella cyber security, a tutti i livelli. Inoltre, permettono di individuare
automaticamente condizioni sulle quali scatenare azioni di Incident Response automatiche
o supportate dall’operatore.
Alla crescente complessità degli schemi di attacco si uniscono la velocità, la moltitudine
dei sistemi, dati e applicazioni on-premises e nel cloud, lasciando davvero poco tempo per
valutare e rispondere in maniera appropriata agli eventi di sicurezza. Indipendentemente
dalla dimensione dell’organizzazione.
Relativamente al contesto del financial cybercrime italiano, l’89% delle campagne di distri-
buzione malware bancario analizzata è rimasta attiva meno di 48h (Figura 8). Più in gene-
rale, lo sviluppo delle campagne di attacco recenti è molto rapido e per bloccare minacce e
attacchi occorre agire con simile rapidità.
È necessario reinventare la risposta agli attacchi, sia dal un punto di vista tecnologico che
organizzativo. Una tendenza fortemente emergente sfrutta l’utilizzo della Threat Intelligen-
ce nelle soluzioni di sicurezza, combinata alle soluzioni SOAR (Security Orchestration,
Automation and Response). La Threat Intelligence potenzia le soluzioni con informazioni
puntuali su minacce e attacchi che contestualizzati nello specifico settore e area geografica
in cui opera l’organizzazione, e confrontati con quanto realmente installato permettono di
capire se, come e dove l’organizzazione è a rischio oppure è stata già colpita.
La Threat Intelligence è una base di informazioni costruita da un insieme indicatori di
compromissione, in inglese indicators of compromise (IOC), aggiornati in tempo reale e
disponibili in formato “actionable” che ne consenta cioè la fruizione con regole in grado di
generare allarmi e scatenare azioni di risposta automatizzate. La Threat Intelligence è pas-
sata dall’essere uno strumento utile ad uno strumento indispensabile nelle organizzazioni
che vogliono proteggersi efficacemente dagli attacchi cyber. La gestione dell’incidente deve
110
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
poter coinvolgere tutte le figure necessarie, dando loro gli strumenti e le informazioni per
decidere e interagire velocemente secondo le best practice di mercato e nel rispetto delle
normative di settore, ma demandando il controllo e la gestione di minacce ed attacchi ad
una soluzione tecnologicamente avanzata, lasciando l’organizzazione in grado di operare sul
suo core business, senza alcuna interruzione.
Bibliografia
[1] X-Force Threat Intelligence Index 2021 IBM Security, February 2021
[2] Sicurezza e frodi informatiche in banca – Come prevenire e contrastare attacchi infor-
matici e frodi su Internet e Mobile Banking CERTFin ABI Lab, luglio 2020
[3] ENISA Threat Landscape - List of top 15 threats ENISA European Union Agency for
Cybersecurity, April 2020
[4] Internet Organised Crime Threat Assessment 2020 Europol, October 2020
[5] C. Cimpanu Microsoft and others orchestrate takedown of TrickBot botnet ZDNet, Oc-
tober 2020
[6] Directive (EU) 2015/2366 of the European Parliament and of the Council Official
Journal of the European Union, November 2015
[7] Monitoraggio sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento
delle versioni dei CMS nei portali Istituzionali della PA Cert-AgID, dicembre 2020
[8] Pier Luigi Rotondo Elementi sul cybercrime nel settore finanziario in Europa Rapporto
CLUSIT 2020 sulla sicurezza ICT in Italia, ottobre 2020
[9] Emotet Botnet Activity Monitoring – public collection IBM X-Force Exchange, 2020
[10] Emotet Botnet Disrupted in International Cyber Operation The United States Depart-
ment of Justice, 28 January 2021
[11] World’s most dangerous malware EMOTET disrupted through global action Eurojust –
Europol, 27 January 2021
[12] A. Pilkey Phishing is here to stay F-Secure, December 2020
[13] Contrasto alla criminalità finanziaria - Attività della Polizia Postale contro le frodi “Alias”
Commissariato di P.S. online, novembre 2020
[14] ho. Mobile denuncia attività illecita di ignoti su dati di una parte della propria base
clienti https://www.ho-mobile.it/comunicazione0401/ ho. Mobile, dicembre 2020
[15] S. Gritzman, L. Kessem IBM Trusteer Exposes Massive Fraud Operation Facilitated by
Evil Mobile Emulator Farms SecurityIntelligence, December 2020
[16] V. Drury, U. Meyer Certified Phishing: Taking a Look at Public Key Certificates of Phi-
shing Websites USENIX, Proceedings of the Fifteenth Symposium on Usable Privacy
and Security, august 2019
[17] NCA in international takedown of notorious malware Emotet United Kingdom Natio-
nal Crime Agency, January 2021
[18] ENISA Threat Landscape – Phishing ENISA European Union Agency for Cybersecu-
rity, April 2020
[19] Pier Luigi Rotondo Shopping e saldi invernali più sicuri con i pagamenti elettronici
IBM thinkMagazine, dicembre 2019
[20] Pier Luigi Rotondo IBM X-Force: un passo avanti nella difesa dagli attacchi finanziari
più evoluti IBM thinkMagazine, febbraio 2018
[21] Pier Luigi Rotondo Multifactor Authentication Delivers the Convenience and Security
Online Shoppers Demand SecurityIntelligence, January 2019
©
Clusit 2021 111
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
[22] Pier Luigi Rotondo How Will Strong Customer Authentication Impact the Security of
Electronic Payments? SecurityIntelligence, September 2019
[23] Pier Luigi Rotondo Come proteggersi dagli attacchi Business Email Compromise INTE-
SA, maggio 2019
[24] Trickbot’s Updated Password-Grabbing Module Targets More Apps and Services Trend-
Micro, December 2019
[25] L. Abrams TrickBot Now Steals Windows Active Directory Credentials BleepingCom-
puter, January 2020
[26] O. Harpaz TrickBot’s Cryptocurrency Hunger: Tricking the Bitcoin Out of Wallets Se-
curityIntelligence, February 2018
[27] O. Ozer The Curious Case of a Fileless TrickBot Infection SecurityIntelligence, August
2019
[28] Pier Luigi Rotondo Sai cosa sono gli attacchi BEC? IBM thinkMagazine, giugno 2019
[29] Pier Luigi Rotondo Multifactor Authentication Delivers the Convenience and Security
Online Shoppers Demand SecurityIntelligence, January 2019
[30] Pier Luigi Rotondo How Will Strong Customer Authentication Impact the Security of
Electronic Payments? SecurityIntelligence, September 2019
[31] Pier Luigi Rotondo Come proteggersi dagli attacchi Business Email Compromise INTE-
SA, maggio 2019
[32] Pier Luigi Rotondo Acquisti online? Ecco come farli in modo sempre più sicuro IBM
thinkMagazine, dicembre 2018
[33] Pier Luigi Rotondo Proteggere le risorse informative con la sicurezza cognitiva e con
soluzioni in grado di adattarsi alle minacce future ICT Security Magazine n.140/2016,
October 2016
[34] M. Schieppati I 5 tech-trend del 2020 in banca Bancaforte, gennaio 2020[35] Pier Lu-
igi Rotondo Soluzioni di sicurezza più efficaci con la threat intelligence di IBM X-Force
Exchange IBM thinkMagazine, aprile 2021
112
SPECIALE FINANCE
Il CERTFin, Computer Emergency Response Team del settore finanziario1, nato su ini-
ziativa dell’ABI e della Banca d’Italia, cui successivamente hanno aderito ANIA, IVASS e
Consob, nell’ambito delle proprie attività istituzionali, nei mesi di marzo e maggio del 2021,
ha avviato due survey di settore, con l’obiettivo di analizzare i trend dei fenomeni di frode
e di gestione della cybersecurity all’interno degli ambiti bancario e assicurativo, in Italia.
1 In linea con quanto previsto dalla Convenzione Istitutiva del CERTFin, con il termine “settore finanziario italiano” si intende l’insieme
delle organizzazioni che operano in questo ambito, ovvero: banche, imprese assicurative, provider dei servizi di pagamento, infrastrut-
ture critiche di settore, istituti di moneta elettronica e ogni altro tipo di istituzione finanziaria.
©
Clusit 2021 113
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Più in generale, sembra essere confermata la tendenza già registrata in occasione delle
precedenti rilevazioni, che vede la clientela Retail interessata da una numerosità di attacchi
quattro volte maggiore, rispetto al Corporate.
Nonostante il brusco cambio di scenario dovuto agli impatti della pandemia, tutt’ora in atto
e l’ulteriore sofisticazione di alcuni pattern di frode a cui abbiamo assistito, pur con una
8VERWE^MSRM si mantiene
leggera flessione, la percentuale di transazioni fraudolente bloccate/recuperate
a livelli elevati: in media l’83%. JVEYHSPIRXIIJJIXXMZI
8VERWE^MSRM
JVEYHSPIRXI
FPSGGEXIVIGYTIVEXI
8VERWE^MSRM
JVEYHSPIRXIIJJIXXMZI
8VERWE^MSRM
JVEYHSPIRXI
FPSGGEXIVIGYTIVEXI
114
SPECIALE FINANCE - Evoluzione delle minacce cyber nel settore finanziario italiano
Sul fronte dei vettori d’attacco, invece, nel corso del 2020 si è assistito ad un incremento
consistenze di fenomeni legati alla creazione di siti clone e particolarmente diffuse sono
state le campagne di phishing e di malspam aventi come target l’utente finale: in sostanza,
i cyber criminali hanno sfruttato a loro vantaggio il tema “pandemia” utilizzandolo come
“esca” per distribuire trojan bancari e manipolare utenti al fine di ottenere profitti illeciti.
In generale, appare opportuno evidenziare come ormai le tecniche miste (ad esempio social
engineering combinato con malware) siano prevalenti rispetto alle altre, arrivando a rap-
presentare il 65% degli attacchi, toccando ben l’80% considerando la sola clientela Retail.
Fig. 3 - CERTFin – Rapporto Sicurezza e Frodi informatiche in banca ed. 2021 – Tipologia
e distribuzione tecniche di attacco - Canale Mobile - Casi di frodi identificate – Clientela
Retail
Si riporta inoltre, come evidenza particolarmente positiva emersa dall’analisi dei dati rac-
colti, la diminuzione del fenomeno SIM SWAP (solo il 5% delle tecniche utilizzate per il
segmento Retail).
Il ridimensionamento di questa tipologia di frode è in parte riconducibile anche allo sforzo
prodotto dal tavolo di lavoro congiunto tra settore bancario, rappresentato dal CERTFin, e
gli operatori telefonici, attivo già dalla fine del 2019 che ha permesso l’avvio di una speri-
mentazione, ancora in corso, di alcune contromisure tecniche che, al momento, sembrano
essersi dimostrate efficaci e che, se opportunamente diffuse, potrebbero neutralizzare tale
fenomeno o renderlo, nei fatti , del tutto marginale.
©
Clusit 2021 115
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Spostando, poi, l’attenzione sugli attacchi rivolti alla confidenzialità, integrità e disponibilità
, nell’arco del 2020 è stato registrato un picco di eventi RDDoS (eventi che risultavano es-
sere sporadici in passato), in massima parte concentrati su 3 grandi ondate, con il 57% degli
istituti che ha dichiarato di averne subito almeno uno.
Interessante, anche sottolineare il mutato scenario nella distribuzione geografica dei conti
di riciclaggio del denaro frutto di frodi: da Paesi dell’area economica europea si va sem-
pre più verso destinazioni diverse, anche extra UE. Dall’analisi del dato appena descritto,
emerge l’importanza di rafforzare le collaborazioni internazionali, finalizzate ad una diffusa
condivisione non soltanto di informazioni tecniche ma anche di pattern di attacco, così da
poter definire meccanismi di prevenzione e difesa sempre più efficaci.
Va sottolineato, infine, come il settore, nel suo complesso, abbia mostrato un buon livello di
risposta agli incidenti, anche grazie al rafforzamento dei profili di sicurezza e monitoraggio
degli accessi con nuove soluzioni, quali ad esempio il Cloud Access Security Broker.
116
SPECIALE FINANCE - Evoluzione delle minacce cyber nel settore finanziario italiano
Andando nel dettaglio, all’interno dell’analisi relativa alla conformazione delle strutture di
Cybersecurity, è emerso come anche nel settore assicurativo vi siano stati alcuni cambia-
menti significativi in termini di modalità operative e dotazioni acquisite, in concomitanza
con il ricorso intensivo al lavoro agile dovuto all’emergenza epidemiologica da COVID-19.
A tal proposito, il 100% delle imprese assicurative rispondenti ha dichiarato di aver intro-
dotto, nel corso del 2020, lo strumento del lavoro agile al proprio interno, seppur con quote
differenti di personale:
• il 72% delle imprese rispondenti ha dichiarato di aver indirizzato verso il lavoro agile fino
al 100% del proprio personale;
• il 17% dei rispondenti ha dichiarato di aver indirizzato verso il lavoro agile una quota di
personale variabile tra 50 e il 70%;
• l’11% dei rispondenti ha dichiarato di aver indirizzato verso il lavoro agile meno della metà
del proprio personale.
Ad ogni modo, si prevede che gli sforzi di adeguamento tecnologico e organizzativo, soste-
nuti in gran parte durante l’anno 2020, potranno essere di utilità anche nel breve-medio
periodo, poiché il 94% delle imprese prevede di mantenere il lavoro agile come possibile
modalità di lavoro per il personale dipendente, anche a conclusione dell’attuale crisi pan-
demica.
Rispetto al dimensionamento dei fenomeni cyber rilevati, si segnala come il settore sia
esposto ai principali modelli di attacco o di frode che si riscontrano nel settore finanziario
(es. diffusione di Ransomware, attacchi DDoS, campagne di Phishing, etc.).
Per quanto riguarda, invece, il livello di sofisticazione percepito sui diversi modelli di attac-
co rilevati, si segnala che il 78% delle imprese rispondenti ha registrato, innanzitutto, un
aumento del grado di sofisticazione delle campagne di phishing e il 50% segnala un aumen-
to della sofisticazione degli attacchi ransomware.
©
Clusit 2021 117
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Fig. 5 - CERTFin-ANIA La: La gestione della Cybersecurity nel settore assicurativo italiano,
ed.2021 - Tendenza evolutiva percepita in termini di sofisticazione degli eventi cyber rilevati.
Rispetto al primo fenomeno descritto, si evidenza come la maggior parte delle imprese, il
72%, ha dichiarato di non aver rilevato casi di clonazione dei propri siti web nell’arco del
2020.
Il restante 28% dichiara, al contrario, di aver rilevato questo tipo fenomeno.
Ad ogni modo, dall’analisi dei dati emerge come la maggior parte delle imprese presenti sul
mercato italiano si è dotata di strumenti utili per la «detection» di questo tipo di minaccia.
118
SPECIALE FINANCE - Evoluzione delle minacce cyber nel settore finanziario italiano
Per quanto riguarda, invece, il ghost broking, il 33% delle imprese rispondenti ha segnalato
di aver rilevato casistiche di questo fenomeno ai danni della clientela.
La totalità di queste ultime, ovvero il 100%, ha dichiarato che i casi riscontrati hanno ri-
guardato l’ambito delle polizze RCA, il 33% ha registrato casistiche anche nell’ambito delle
polizze danni non auto, mentre il 17% dei casi nell’ambito delle polizze vita.
Ulteriori elementi di analisi raccolti durante le diverse occasioni di confronto con i prin-
cipali player del settore assicurativo italiano, lasciano ipotizzare, per il futuro, un trend in
aumento del fenomeno del ghost broking.
Per questo motivo, appare auspicabile avviare una discussione interna al settore al fine di
trovare una soluzione efficace per arginare questo fenomeno, che oltre a minare la reputa-
zione delle imprese coinvolte può mettere in seria difficoltà la vittima del raggiro, convinta
di potersi avvalere, all’occorrenza, di una copertura assicurativa che in realtà non possiede.
Tra gli obiettivi della survey in oggetto, vi era anche l’intenzione di monitorare la diffusione
e la conformazione degli strumenti di “Cyber Insurance” presenti sul mercato.
A tal proposito, si segnala che:
• il 76,5% delle imprese assicurative, dichiara di aver provveduto a stipulare una polizza di
cyber insurance per la propria protezione (+18% rispetto alla precedente rilevazione);
• il 58% delle imprese assicurative dichiara di essere già presente sul mercato delle polizze
di cyber insurance (+17,5% rispetto alla precedente rilevazione) e il 5% prevede di entrar-
vi nell’arco del 2021;
• i costi per la violazione dei dati, gli indennizzi per l’assistenza tecnica, l’assistenza legale e
la copertura dei danni da interruzione di esercizio risultano essere le coperture maggior-
mente presenti all’interno delle polizze di cyber insurance offerte alla clientela.
©
Clusit 2021 119
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Per completezza, si ricorda che il CERTFin aggiorna e pubblica semestralmente (nel mese
di giugno e di dicembre di ogni anno) il report denominato “Threat Landscape Scenario for
the Italian Financial Sector”.
120
SURVEY
Il rapporto Clusit 2021 ha evidenziato come, nel corso del 2020, il numero di attacchi gravi
di dominio pubblico siano in crescita del +12% rispetto al 2019 (1.871). In media 156
attacchi gravi al mese a livello globale. Ciò è confermato anche dai dati riportati dall’Osser-
vatorio sulla CyberSecurity di Exprivia che registra nell’ultimo anno (2020 – Fig. 1) e nei
primi mesi del 2021 (Fig. 2) un incremento del numero di attacchi, incidenti e violazioni di
privacy connessi al cybercrime su tutto il territorio nazionale (Fig. 3).
Uno scenario che considerando anche gli ultimi eventi pandemici vissuti, tende a crescere.
Basti pensare alla trasformazione digitale in corso delle aziende che per sopravvivere devo-
no necessariamente essere “smart”. Un termine che negli ultimi mesi è stato utilizzato in
diversi contesti e in diverse sfaccettature, ma che non rende sicuramente un’azienda o un
dipendente sicuro da attacchi informatici. Anzi, il cambiamento imposto alle aziende per
far fronte al periodo di lockdown dovuto al COVID-19 ha reso smart determinate tipologie
di attacchi.
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 121
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 1 - Attacchi Cybercrime nel corso del 2020 – Osservatorio Exprivia CyberSecurity
Figura 2 - Attacchi Cybercrime nel corso del 2021 – Osservatorio Exprivia CyberSecurity
122
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
Al survey hanno risposto 304 aziende/enti. Per la sua promozione e somministrazione sono
stati utilizzati differenti canali social, Linkedin, Twitter e Facebook, con lo scopo di mas-
simizzare il numero di soggetti coinvolti e potere così fornire una panoramica ampia del
fenomeno. Il survey è accessibile al seguente link https://forms.gle/NjrCt7RmwH9SdJTw8
©
Clusit 2021 123
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Il 52,4% si riferisce a piccole imprese (fino a 50 dipendenti), il 28,3% a medie (da 51 a 250
dipendenti) e il 28,3% a grandi (oltre 250 dipendenti) (Fig. 5).
Il 12,7% del campione è un soggetto pubblico, l’85,7% privato e, infine, il 1,6% a soggetti
pubblico-privato (Fig. 6).
124
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
La Figura 7 presenta invece la distribuzione dei soggetti intervistati per settore di riferi-
mento. Il 33,4% operano nel settore “Consulting e Software/Hardware Vendor” e il 19% in
“Research-Education”.
Seguono rispettivamente con il 6,3% “Critical Infrastructure”, “Manufacturing”, “Sanità” e
“Servizi Online e Cloud”, e con il 3,2% “Governo-Militare” e “ICT”. Il 4,8%, invece, opera
in “Studio Ingegneria” e con il 1,6% ciascuno i settori “Automotive”, “Banca e Finanza”,
“Comunicazione”, “Estetica”, “Grande Distribuzione e Vendita al dettaglio”, “Osteopatia”
e “Turismo”.
©
Clusit 2021 125
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Procedendo con l’investigare gli attacchi nel corso del 2020, si ha che il 76,2% del cam-
pione ha dichiarato di non essere stato soggetto ad attacchi informatici. Il 23,8%, invece,
riporta di aver subito attacchi (Fig. 8) ed in particolare il 3,2% afferma che gli attacchi
informatici subiti sono relativi al periodo di lockdown a causa del COVID-19. Il 19%, al
contrario, ha dichiarato che gli attacchi subiti non hanno nessuna connessione con il pe-
riodo di lockdown, ed infine l’1,6% non ha nessuna percezione sulla possibilità che i danni
subiti possano essere in relazione al periodo vissuto (Fig. 9).
126
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
Figura 8 - Distribuzione dei soggetti vittima di attacchi nel corso del 2020
Figura 9 - Distribuzione dei soggetti vittima di attacchi nel periodo di lockdown a causa del
COVID-19
I danni subiti sono stati valutati trascurabili per il 26,7% dei soggetti coinvolti, bassi per il
13,3%, di media entità per il 40%, e molto alti per il 20% (Fig. 10). Nessuno ha valutato
con un valore alto l’impatto subito.
©
Clusit 2021 127
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
La tipologia di danni subiti (Fig. 11) risulta essere per il 37,5% riconducibile ad una
perdita/esfiltrazione di dati, per il 25% di natura economica, per il 16,7% a un danno di
immagine, il 16,6% di tipo fisico/infrastrutturale e di tempo. Mentre il 4,2% non ha rilevato
alcun danno a seguito dell’attacco ricevuto.
128
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
Per quanto riguarda la capacità dei soggetti intervistati di difendersi in caso di attacco infor-
matico, il 41,3% si ritengono pienamente in grado di difendersi, il 17,5% sufficientemente
capaci, il 41,2% poco o incapace di difendersi (Fig. 12).
©
Clusit 2021 129
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Al contempo, per quanto riguarda i dati relativi al grado di consapevolezza dei dipendenti
circa i rischi conseguenti ad un attacco informatico (Fig. 15), il 19% e il 22,2% dei soggetti
intervistati dichiarano rispettivamente una consapevolezza molto alta e abbastanza alta. Il
15,9% sufficientemente consapevole, il 30,2% e il 12,7% invece, poco o per niente consa-
pevoli.
130
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
Figura 15 - Ripartizione del campione intervistato per grado di consapevolezza sui rischi
conseguenti un attacco
Il 54% dei soggetti intervistati dichiara che all’interno della propria azienda si tengono corsi
di formazione specifici sulla sicurezza mentre i restanti 46% dichiara di no (Fig.16).
Figura 16 - Ripartizione del campione intervistato rispetto all’attività formativa svolta sulla
sicurezza informatica
©
Clusit 2021 131
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Per quanto riguarda le misure di prevenzioni adottate (Fig. 18) dai soggetti intervistati, il
34,6% ricorrono a “Firewall e Data Firewall”, il 32,4% ad “Antivirus”, il 12,3% a strumenti
di “Data Loss Prevention”, l’11,7% utilizzano “Intrusion Prevention System e Intrusion De-
tection System”, il 6,1% SIEM, l’1,7% di Penetration Testing Software, ed infine l’1,1% non
adotta alcun metodo o strumento o non ne è a conoscenza.
Il 44,4% dei soggetti, meno della metà del campione, si preoccupa di verificare i requisiti di
sicurezza sia durante la fase di acquisto di software/servizi da terze parti, che all’interno dei
termini e condizioni di sottoscrizione dei servizi cloud. Il 55,6%, invece, non opera alcuna
verifica (Fig. 19).
132
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
©
Clusit 2021 133
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
134
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
©
Clusit 2021 135
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
136
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
Conclusioni
Lo studio condotto sullo stato della sicurezza informatica in Italia ha complessivamen-
te coinvolto un campione di 304 aziende/enti. Va evidenziato che i risultati, per quanto
significativi, vanno interpretati con cautela e certamente in chiave pessimistica. Coloro
che hanno partecipato al survey, per le modalità con cui quest’ultimo è stato promosso ed
erogato, hanno un livello di alfabetizzazione informatica medio-alto e rappresentano una
percentuale modesta di coloro che giornalmente fanno uso inconsapevole di sistemi e tec-
nologie digitali.
Più della metà dei soggetti intervistati riguarda la piccola azienda (52,4%) con settori estre-
mamente diversificati. Ciò potrebbe riguardare la necessità dei soggetti di aderire a pro-
grammi che permettano loro di aumentare il livello consapevolezza sulla sicurezza informa-
tica per poter far fronte al contesto delle minacce informatiche. Basti pensare che più della
metà del campione (55,6%) non opera alcuna verifica sui requisiti di sicurezza sia durante
la fase di acquisto di software/servizi da terze parti, che all’interno dei termini e condizioni
di sottoscrizione dei servizi cloud.
Su 304 aziende, il 23,8% riporta di aver subito attacchi informatici nel corso dell’anno, con
una valutazione dei danni medio-alto. Un dato importante visto la maggior parte di loro
hanno subito danni economici, di immagine e soprattutto di perdita di dati. Inoltre, ciò
è stato confermato dai dati registrati fino ad agosto 2021 dall’Osservatorio Cybersecurity
di Exprivia. Il 41,2%, infatti, non ritiene la sua azienda in grado di difendersi da attacchi
informatici. Una percentuale alta e che molto probabilmente nasconde anche l’assenza di
capacità nel rilevare un attacco informatico. Infatti tra le misure di prevenzione adottate
non emergono nessuna tipologia di esercizi di Red Team e/o Blue Team per poter addestrare
il proprio personale a difendersi.
Non a caso il 95,2% dei soggetti ritengono utile la formazione sulla sicurezza informatica.
Un risultato che esprime come le aziende/enti stiano cambiando la loro percezione sul
livello di consapevolezza sulla sicurezza informatica.
©
Clusit 2021 137
SURVEY
Negli ultimi due anni la pandemia Covid-19 ha scosso il mondo sanitario sotto un duplice
punto di vista: da un lato il forte stress a cui il personale medico è stato sottoposto, dall’altro
la necessità di intensificare il processo di trasformazione digitale ormai indispensabile an-
che in questo settore. Non solo, l’aumentato interesse nei confronti della sanità ha portato
alla luce anche questioni aperte riguardanti la cybersecurity. Da una ricerca Gartner su
scala globale emerge come la telemedicina stia diventando protagonista negli investimenti,
indicata come la priorità nel 61% dei casi. Per il 46% anche la gestione dei dati e relativa
analisi sono da prendere in considerazione con urgenza, mentre la sicurezza IT arriva subito
dopo con il 42%.
In questo contesto, abbiamo deciso di monitorare con attenzione l’evoluzione delle temati-
che di cybersecurity sul mercato italiano dell’healthcare, attraverso l’indagine “Healthcare
Cybersecurity” realizzata nel nostro Paese lo scorso maggio 2021 per valutare lo status
di efficienza della sicurezza informatica nel settore sanitario. Dall’indagine emerge
complessivamente una preparazione nettamente insufficiente sia in termini di tec-
nologie che di competenze professionali. Un dato che mette in allarme considerando
la trasformazione digitale che il mondo dell’healthcare, nel suo complesso, sta vivendo.
Nell’analisi è stato direttamente coinvolto il personale delle strutture sanitarie, per l’85%
pubbliche e le restanti 15% private, omogeneamente distribuite su scala geografica e per
la maggioranza di medie-grandi dimensioni (54%, pari a una disponibilità letti tra i 100 e i
500). Secondo lo studio, inoltre, il 93% delle aziende del settore sanitario ha subito attacchi
informatici in passato mentre il 64% ritiene probabile, o altamente probabile, un attacco
informatico nel prossimo futuro.
La cura del paziente, la sicurezza delle informazioni e dei dispositivi di diagnosi e intervento
rendono il settore sanitario un ecosistema vasto e complesso come ben pochi altri ambiti.
Inoltre il settore è fortemente preso di mira dalla criminalità informatica. Solo ad aprile
2021 sono stati rilevati in Italia circa 7 mila attacchi.
©
Clusit 2021 139
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
essenziali per una cybersicurezza efficiente, sono stati esaminati nell’indagine online che ha
coinvolto responsabili delle decisioni IT nell’ambito della sicurezza informatica per valutare
il livello di efficienza e/o le lacune per il raggiungimento della completa efficienza.
140
SURVEY - L’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica
©
Clusit 2021 141
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
142
SURVEY - L’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica
©
Clusit 2021 143
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Le principali difficoltà sono legate al fatto di non avere un budget dedicato alla cybersecu-
rity determinato in funzione dell’analisi del rischio e basato sul ritorno sugli investimenti in
sicurezza come evidenzia il 60% degli intervistati. A queste, si somma l’incapacità di guidare
i cambiamenti necessari con il budget attuale, come sottolineato dal 53% degli intervistati.
144
SURVEY - L’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica
In questo ambito emergono però anche preoccupanti mancanze, legate all’assenza di for-
mazione di leadership nella cybersecurity per le funzioni chiave dell’organizzazione (70%),
all’insufficiente riconoscimento del rischio di cybersecurity da parte del consiglio di ammi-
nistrazione (70%) e al non sentirsi supportati dal governo per migliorare il livello di cyber-
security (66%).
©
Clusit 2021 145
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
In conclusione
Tutti e sei i fattori devono migliorare per raggiungere livelli di sicurezza informatica accet-
tabili nel settore della sanità. È difficile migliorare istantaneamente su tutti i fronti; ecco
perché la maggior parte delle organizzazioni sanitarie sta cercando di esternalizzare parte
delle operazioni di cybersecurity come sottolinea il 79% degli intervistati. Questa
è la tendenza futura che emerge chiaramente dai risultati dell’indagine. La sicurezza in-
formatica inoltre, è un ambito molto complicato che necessita di personale specializzato per
colmare lo skill gap di cui risente tutto l’ecosistema sanitario.
146
Il mercato del lavoro in Italia: professionisti più richiesti,
competenze e certificazioni, gender diversity
[A cura di Gian Marco Sgro e Silvia Boccardelli, Experis - ManpowerGroup]
Introduzione
Nel panorama italiano e internazionale, sono sempre di più le aziende che hanno la necessi-
tà di mettere in sicurezza i propri dati. Da questo scenario emerge un’esponenziale crescita
di domanda di profili appartenenti al settore della cyber security.
Fino a qualche anno fa, le aziende non erano dotate di dipartimenti di sicurezza informatica
strutturati, che molto spesso era affidata a società esterne specializzate. Negli ultimi anni,
con l’accelerazione della digitalizzazione e il conseguente aumento degli attacchi cyber, la
richiesta di profili specializzati in cyber security è aumentata in modo esponenziale, met-
tendoci di fronte al problema del Talent Shortage, ovvero la difficoltà dei datori di lavoro nel
reperire le persone con le giuste competenze, che in Italia si attesta al 76%, come emerso
dalla ricerca condotta da ManpowerGroup (Talent Shortage Survey).
Nella Tabella 1 si riportano i profili della cyber security più richiesti dalle aziende italiane
nel 2021, secondo i dati di Experis Italia.
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 147
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
In particolare, Experis, global leader nella Ricerca e Selezione del personale nei settori
IT, rispetto al 2020 osserva nel settore della cyber security un aumento delle richieste di
profili tecnici, a discapito dei profili manageriali che hanno subito una leggera flessione.
Tale andamento si deve al fatto che molte aziende stanno ampliando la loro piramide dei
dipartimenti cyber e hanno bisogno di profili più tecnici, sia junior che middle.
Proseguendo nell’analisi del mercato del lavoro dei professionisti cyber, si evidenzia una
forte crescita in termini retributivi nei primi anni di esperienza dei candidati, con un suc-
cessivo appiattirsi della curva retributiva all’aumentare dell’esperienza. Ad esempio, un
Penetration Tester può passare da una RAL (Retribuzione Annua Lorda) di 24/25.000€
(retribuzione percepita durante la prima esperienza lavorativa) ad una RAL di 40/45.000€
dopo soli 5/6 anni di lavoro, per poi stabilizzarsi su questa cifra, salvo importanti evoluzioni
manageriali. Non è raro, infatti, che un professionista cyber lavori con colleghi che hanno
il doppio della sua esperienza in termini di seniority, ma che percepiscono la sua stessa
retribuzione.
Secondo l’analisi dei dati di Linkedin Talent Insights e di Experis Italia, i professionisti della
cyber security in Italia sono circa 6.000. La durata media di impiego è di circa un anno e
mezzo per datore di lavoro, in linea con la media del target di professionisti in ambito ICT.
Le regioni italiane in cui troviamo la maggiore concentrazione sono la Lombardia, il Lazio e
il Piemonte, mentre le università più frequentate dagli esperti di cybersecurity sono nell’or-
dine la Sapienza Università di Roma, l’Università degli Studi di Milano, il Politecnico di
Milano e il Politecnico di Torino.
148
Il mercato del lavoro nel settore della cyber security
Ethical Hacker: si tratta di un profilo richiesto soprattutto nel settore della difesa e in so-
cietà di prodotto. Sono candidati con conoscenze approfondite lato sviluppo e, in generale,
rispetto ai temi della sicurezza informatica dell’azienda per la quale lavorano. Il loro compito
è quello di contrastare preventivamente eventuali attività criminali di “hacker maligni” svi-
luppando soluzioni di sicurezza. Le tecnologie più richieste sono i linguaggi di sviluppo C e
Python, oltre a buone conoscenze di network security, reverse engineering e malware analy-
sis. Secondo i dati di Experis Italia, la RAL media per questa tipologia di professionisti è di
38.000€ con 4/5 anni di seniority. Secondo l’analisi dei dati di Linkedin Talent Insights, la
durata media di un impiego presso lo stesso datore di lavoro è di circa un anno, con una per-
centuale del 30% di professionisti che ha cambiato lavoro nell’ultimo anno. Tra le università
di origine ci sono l’Università degli Studi di Milano e la Sapienza Università di Roma.
Security Consultant o Risk, governance and compliance Specialist: questo profilo è richiesto
soprattutto dalle società di consulenza. Il Security Consultant supporta le aziende nei loro
risk assessment interni, analizzando tutti i possibili scenari, studiando tutte le policy e le
procedure di sicurezza dei vari dipartimenti e dell’infrastruttura IT e portando l’azienda a
rispettare i principali standard di sicurezza informatica internazionali. Le skills richieste per
questa tipologia di profili sono la conoscenza delle principali policy e procedure di sicurezza
informatica italiane e internazionali, esperienza nei risk assessment, conoscenza del GDPR
e certificazione Lead Auditor ISO/IEC 27001. Secondo i dati di Experis Italia la RAL per
questa tipologia di profili è di 35.000 € con 4/5 anni di seniority. Si tratta della categoria di
professionisti cyber più popolosa rispetto le due sopra citate, secondo l’analisi dei dati di
Linkedin Talent Insights. La durata per datore di lavoro è superiore alla media per i profes-
sionisti del settore superando i due anni e mezzo. Tra le università di origine più frequenti,
la Sapienza Università di Roma.
©
Clusit 2021 149
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Come si può osservare dalla tabella, le regioni italiane con il più alto numero di professioni-
sti nel settore della cyber security, che coincidono con le aree geografiche delle Università
di specializzazione di questi profili, sono: Lombardia, Lazio, Piemonte, Emilia-Romagna e
Veneto.
Le regioni con minor numero di questi profili sono: Valle d’Aosta, Molise, Basilicata, Um-
bria e Calabria.
Formazione
Un ulteriore dato emerso dalla analisi dei dati di Experis Italia è l’importanza della forma-
zione nel mondo della cyber security.
Sempre più professionisti investono in corsi di formazione tecnica, con l’obiettivo di certifi-
care le competenze e accrescere sempre più le skills verticali. Secondo il punto di vista delle
aziende, avere professionisti certificati all’interno della loro organizzazione è fondamentale
e utile anche per partecipare a gare e bandi.
Nella Tabella 3 si riportano le certificazioni maggiormente richieste dalle aziende nel 2021
e sulle quali le imprese investono in corsi di formazione interna:
È importante sottolineare che sono sempre di più i professionisti (soprattutto i profili ju-
nior), che investono in formazione on the job. Molto spesso partecipano a CTF (Capture the
Flag) come competizioni o giochi online, disponibili su varie piattaforme dedicate o creano
dei veri e propri laboratori a casa, dove poter esercitarsi e sperimentare nuove tecniche.
Questo avviene soprattutto per i profili tecnici e nel mondo della ricerca.
Dalle conversazioni con ragazzi non laureati e non certificati emerge una profonda cono-
scenza di determinati argomenti e tecnologie, frutto di studi, esperienze e ricerche persona-
li, che denota una certa curiosità nei professionisti di questo settore in continua evoluzione.
150
Il mercato del lavoro nel settore della cyber security
Gender Diversity
Secondo il report “7 Steps to Conscious Inclusion” di ManpowerGroup, a livello globale
oltre il 50% della forza lavoro è composta da donne. Nonostante questo risultato, secondo
gli intervistati dell’indagine la strada verso la parità di genere è ancora lunga. Quel momen-
to sarà riconoscibile dall’inclusione inconscia, cioè “non fare nulla per farlo accadere, ma
vederlo la strada verso ruoli di leadership è ancora lunga. accadere”.
Secondo i dati emersi dal Global Gender Gap Report 2020, presentato al World Economic
Forum 2021, nel settore ICT la gender diversity femminile si attesta al 25%. Nello specifico,
nei settori di innovation più recenti, la percentuale di incidenza scende ulteriormente: nel
settore dell’AI le donne scendono al 22%, in quello della cyber security diminuiscono fino
a 1 lavoratore su 10. I trend sulla disparità di genere in questo settore sono anche visibili
dall’analisi dei dati di Linkedin Talent Insights, anche se proporzionalmente più alti: si
riscontra il 30% di presenza femminile sul comparto di professionisti IT, che scende al
22% per il settore specifico della cyber. Secondo le due basi di dati si evidenzia quindi che,
all’interno del settore cyber security, l’incidenza femminile è ancor minore rispetto all’intero
comparto di professionisti ICT.
©
Clusit 2021 151
Focus On 2021
Le statistiche sugli attacchi informatici degli ultimi anni danno la chiara indicazione che
la criminalità informatica è sempre più preparata, aggressiva ed attiva e continua a far leva
sull’email come elemento da introdurre nelle kill-chain di un attacco.
1 Statistica, “Number of Sent and Received E-mails Per Day Worldwide from 2017 to 2025 (Numero di email inviate e ricevute al giorno
a livello mondiale dal 2017 al 2025)”, febbraio 2021
©
Clusit 2021 153
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
In termini pratici le minacce principali associabili alla mail possono essere riassunte nel
modo seguente.
Minaccia n. 1: ransomware
Il ransomware è un tipo di malware che viene utilizzato per bloccare l’accesso ai dati o a un
sistema informatico, solitamente facendo ricorso alla crittografia, finché la vittima non paga
un riscatto all’estorsore.
Benché l’uso di ransomware non sia una novità, continua a essere un fenomeno in crescita.
Anziché tenere in ostaggio un singolo computer portatile o dispositivo, ora i criminali in-
formatici puntano all’azienda nel suo complesso, fino a bloccarne completamente l’attività.
Si stima che nel 2020, due terzi delle aziende abbiano subito un attacco ransomware2
Minaccia n. 2: phishing
Gli attacchi di phishing comportano l’invio di email dannose, concepite per indurre gli
utenti a comunicare informazioni finanziarie, credenziali di accesso o altri dati sensibili.
Gli attacchi su larga scala continuano a minacciare le aziende anche in tempo di pandemia
utilizzando i temi legati al covid come esca..
Il 57% delle aziende ha subito un attacco di phishing andato a buon fine nel 2020, in au-
mento rispetto al 55% nel 20193.
154
FOCUS ON 2021 - La sicurezza dell’email tra nuove tecnologie e best practice
vittima a trasferire fondi sul conto corrente del criminale informatico. Gli attacchi BEC più
comuni includono le frodi legate alle fatture dei fornitori, l’appropriazione indebita degli
stipendi e le truffe delle carte regalo. Nel 2019 gli attacchi BEC sono aumentati di quasi
il 100%4, mentre nel 2020 gli attacchi BEC/ EAC (Email Account Compromise ovvero
violazione degli account email) sono risultati il principale reato responsabile delle perdite,
per un importo di 1.866.642.107 dollari5, pari al 44% di tutte le perdite subite da aziende e
consumatori per tale anno.
A fronte di questo quadro risulta chiaro come sia assolutamente fondamentale procedere
a rendere sicura la trasmissione e ricezione di posta elettronica. Un back to basic fonda-
mentale altrimenti si rischia di lasciare aperto un canale di attacco di estrema importanza.
Ma cosa vuol dire proteggere la email?
Per poter procedere a rendere sicuro un canale di questo tipo occorre comprenderne il
contesto tecnico.
Lo scambio di email si basa, essenzialmente, sul protocollo SMTP che per sua natura,
anche considerando gli sviluppi RFC più recenti è essenzialmente un protocollo debole dal
lato sicurezza.
Le criticità più grosse sono legate al fatto che:
• la autenticazione di un mittente non è obbligatoria;
4 Gartner, “Protecting Against Business Email Compromise Phishing.” (Protezione contro il phishing con attacchi BEC), Marzo 2020
5 FBI, “2020 Internet Crime Report” (Report sui reati di Internet), 2020
©
Clusit 2021 155
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
• i contenuti di una mail possono essere estremamente sofisticati potendo trasmettere non
solo testo, ma anche allegati di qualsiasi tipo dalle immagini agli eseguibili, URL anche
mascherate, codice malevolo direttamente integrato nel corpo del messaggio e via dicendo;
• in quanto sistema di comunicazione tra esseri umani, la vulnerabilità rispetto ad attacchi
di social engineering è altissima.
Un contenuto malevolo può quindi essere facilmente veicolato via mail da una sorgente
malevola che si spaccia per legittima.
È sempre più comune trovare anche casi in cui la sorgente di una mail malevola sia le-
gittima (ad esempio un fornitore) ma i cui sistemi postali siano stati compromessi da un
attaccante che utilizza il servizio in luogo del legittimo proprietario. Attacchi di questo tipo
(AEC, Account Email Compromise) in Italia sono risultati evidenti in ambito PEC.
Per ovviare a questi problemi occorre quindi agire in maniera coerente. I punti elementari
da considerare sono:
• l’introduzione di un email gateway con capacità di analisi di sicurezza avanzata
• L’uso di sistemi di threat Intelligence in grado di fornire contesto agli attacchi: campagne,
threat Actors, modalità di attacco, utenti esposti al rischio
• Un sistema di remediation automatico
• L’implementazione corretta dei protocolli di autenticazione: SPF, DKIM e DMARC
• La formazione agli utenti sull’uso della email e sui rischi associati
• Backup delle email
L’ e-mail gateway
Uno dei primi fondamenti della sicurezza è quello di evitare di esporre, per quanto possibi-
le, il mail server che contiene sia le caselle di posta che le email degli utenti, direttamente
su internet.
Non è poi passato molto tempo dalle notizie su HAFNIUM con lo sfruttamento di diverse
vulnerabilità su server Exchange on premise. L’episodio dovrebbe essere un chiaro campa-
nello di allarme su come sia sempre opportuno non esporre direttamente un server di posta
su internet per ridurre la superficie di attacco.
Nella classifica6 dei paesi con il maggior numero di server Exchange vulnerabili confermati,
l’Italia si conferma al quinto posto:
USA: 20.000
Germania: 11.000
Regno Unito: 4.900
Francia: 4.000
Italia: 3.700
6 https://www.cybersecurity360.it/nuove-minacce/vulnerabilita-in-microsoft-exchange-server-ecco-le-soluzioni-di-mitigazione/
156
FOCUS ON 2021 - La sicurezza dell’email tra nuove tecnologie e best practice
HAFNIUM non lavora solo indirizzando i server Exchange on-premise ma anche quelli
O365 e quindi, al netto delle vulnerabilità prima citate, un approccio cautelativo ai server
di posta elettronica è una scelta estremamente opportuna.
Per fare questo occorre interporre tra il mail server (che sia cloud based o nel proprio da-
tacenter poco importa) un email gateway, questo ha il duplice scopo di separare il server di
posta da internet, e introdurre misure di sicurezza a protezione dei flussi di email.
Le minimali funzioni di un mail gateway sono quindi:
• Gestire i flussi di posta da e verso internet isolando il mail server
• Gestire filtri di controllo di sicurezza sulla posta sia in ingresso che in uscita con regole
distinte per i due flussi. I controlli in uscita, ad esempio, sono fondamentali per indiriz-
zare problematiche di abuso del mail server da parte di malintenzionati.
• Prevedere la possibilità di porre filtri contenutistici che indirizzino sia esigenze di content
filtering che di limitazione sulla tipologia di allegati (esempio per dimensione, per livello
di nesting, se eseguibili o meno)
• Provvedere al riconoscimento dei vari tipi di posta categorizzando per quanto possibile
le varie tipologie malevoli (elemento fondamentale per porre in atto azioni preventive e
di remediation consistenti al rischio cui si è esposti) ed utilizzare sistemi di segregazione
(quarantene) opportuni.
• Gestione agile del safelisting7, che andrebbe sempre limitato al minimo e ridotto solo agli
utenti direttamente interessati.
Ovviamente vi sono molti altri aspetti che vanno considerati, ma quelli citati sono il minimo
indispensabile che deve essere considerato.
La remediation
Nessun sistema è infallibile, vi è sempre la possibilità di incorrere in incidenti indipenden-
temente dal livello di protezione in atto. Pensare in maniera proattiva alla remediation è
quindi fondamentale. Se questo è vero in generale è vero anche nei confronti della messa
in sicurezza della posta elettronica.
7 https://thepuchiherald.com/the-email-files-allowlisting-email-poi-non-lamentarti/
©
Clusit 2021 157
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
I protocolli di autenticazione
Una corretta implementazione di un sistema di posta non può prescindere dalla corretta
implementazione dei protocolli di autenticazione SPF, DKIM e DMARC.
L’implementazione di questi protocolli deve tenere in considerazione da un lato la necessità
di gestione dei medesimi nell’analisi e filtro della posta in ingresso, dall’altro nella corretta
implementazione dei medesimi per la posta in uscita.
Questi protocolli sono uno strumento fondamentale per sopperire alle mancanze del proto-
collo SMTP e sono quindi fortemente raccomandati, anche se ancora con completamente
diffusi.
In particolare assume una importanza fondamentale, nel contesto corrente, arrivare ad una
corretta e coerente implementazione del protocollo DMARC sia per i flussi in ingresso che
per la posta in uscita. Questo consente di dare una certa confidenza in merito alla identità
del mittente per le email inviate verso le terze parti (utile sia in ambito B2C che B2B).
Un approccio coerente per alzare il livello di sicurezza dovrebbe comportare la richiesta di
implementazione di tale protocollo verso i business partner al fine di garantire un livello
minimo di trust in ambito B2B.
Questa richiesta potrebbe poi essere accompagnata da richieste più stringenti come ad
esempio l’uso di canali TLS o la introduzione dell’encryption nello scambio di contenuti
sensibili.
Va evidenziato ancora una volta come le informazioni inerenti il monitoraggio dei protocolli
di autenticazione sia utile alla comprensione del contesto di rischio, e quindi come la inte-
grazione di queste informazioni sia ancora una volta chiave alla comprensione della postura
di rischio stesso.
158
FOCUS ON 2021 - La sicurezza dell’email tra nuove tecnologie e best practice
Il Backup
Non esiste nulla come un attacco ransomware per farti rimpiangere di non aver investito
meglio nei backup.
Un sistema che non preveda, all’interno delle proprie procedure, una attività di disaster
recovery è un sistema intrinsecamente destinato al fallimento, ed uno dei sistemi base per
garantirsi una corretta recovery è appunto il backup.
La posta elettronica non fa eccezione e quindi i dati dei sever di posta devono essere sogget-
ti a backup periodici e a test di ripristino. Non credo occorra ricordare che i backup hanno
esigenze specifiche, devono essere schedulati in funzione di quale sia la finestra minima
di dati che si è disposti a perdere in caso di eventi distruttivi e che i backup stessi devono
essere soggetti a misure di sicurezza, ivi compreso l’avere i dati salvati off-line. È prassi co-
mune per i moderni ransomware procedere non solo all’encryption dei dati, ma anche alla
loro esfiltrazione ed alla cancellazione dei meccansimi di ripristino.
Conclusione
Proteggere i sistemi di posta è oggi più che mai essenziale. Per poter avere una protezione
efficace occorre considerare l’ambito allargato cui la posta fa riferimento in particolare gli
utenti e l’integrazione delle informazioni di threat intelligence recuperabili anche dall’ana-
lisi dei flussi di posta. Ma se l’introduzione di nuove tecnologie, come quelle ad esempio in
grado di indirizzare il social engineering, aumentano sensibilmente il livello di protezione,
non si può prescindere da una corretta implementazione che comprenda le basi come i
protocolli di autenticazione, i backup o la segregazione dei server di posta tramite e-mail-ga-
teway. Il non farlo significa esporsi ad un rischio sensibile vanificando investimenti in secu-
rity per la dimenticanza di un enorme portone aperto.
©
Clusit 2021 159
FOCUS ON 2021
Reti legacy - Fallimento dei link senza ripristino o con limitata capacità
I benefici delle soluzioni SD-WAN sono chiari ma per evitare che il passaggio evolutivo si
trasformi in un incubo bisogna analizzare attentamente i rischi relativi.
©
Clusit 2021 161
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
La transizione delle architetture classiche verso soluzioni SD-WAN deve essere sfruttata
non solo per garantire migliori prestazioni ma per migliorare ulteriormente la sicurezza as-
sociata e solo attraverso il concetto di “security by design” si può arrivare a tale scopo. Se
si volesse banalizzare il concetto di SD-WAN in una frase potremmo dire: “le soluzioni
SD-WAN consentono di aggregare più link di diversa natura, scegliendo per ogni applica-
zione il miglior collegamento tra quelli disponibili, cioè quelli costituiti dal sottoinsieme dei
link che rispettano in quell’esatto momento i livelli di servizio desiderati”. Lo scopo della
soluzione è proprio quello di garantire le esigenze delle applicazioni in termini di banda,
pacchetti persi, latenza, jitter e superare al contempo i limiti attuali, che spesso portano a
percorsi non ottimizzati tra client e server (esempio: reti con centro-stella nelle architetture
MPLS). Le soluzioni SD-WAN monitorano i vari link disponibili nel tempo, garantendo
così la possibilità di modificare la scelta più volte e superando un altro limite delle reti
legacy, legato alla perdita dei pacchetti di un percorso.
Un altro concetto fondamentale delle soluzioni SD-WAN e della rivoluzione che ne deriva
è costituito dal “local breakout”. Il local breakout è imprescindibile per le moderne applica-
zioni che soffrono latenza/jitter e consente alle filiali sparse nel territorio di cortocircuitare
le applicazioni fruite dai client direttamente con i servizi erogati dal cloud (SaaS, IaaS,
PaaS). L’evoluzione delle infrastrutture legacy a SD-WAN permette infatti di non accumu-
lare ritardi, perdita di pacchetti e soprattutto jitter e latenza inutile con un percorso non
ottimizzato, specialmente in considerazione del fatto che i servizi cloud non devono essere
considerati come esterni all’azienda ma fanno parte del nuovo perimetro.
162
FOCUS ON 2021 - SD-WAN: vantaggi e rischi
Per garantire un local breakout sicuro vi è la necessità non solo che le soluzioni SD-WAN
adottino le stesse funzionalità di sicurezza tipicamente presenti nel quartier generale di una
azienda come stateful firewall, sistemi anti-intrusione (IPS), gateway antimalware, Web Fil-
tering, Application Control, Data Loss Prevention (DLP) e altro ancora, ma anche un con-
trollo certosino degli applicativi che possono beneficiare di questa novità. E’ infatti fonda-
mentale esser certi che non ci sia traffico malevolo che possa sfruttare un buco di sicurezza
garantendo il superamento dei controlli sopra citati. Parte delle soluzioni SD-WAN presenti
sul mercato hanno mostrato in tal senso grossi limiti, introducendo dei rischi di sicurezza
enormi. Una soluzione SD-WAN deve tenere conto di diversi fattori per garantire il traffico
che beneficia di local breakout, sfruttando un mix di funzionalità composto almeno da:
• controllo applicativo (livello 7 della pila iso osi)
• controllo del certificato server
• controllo della destinazione (indirizzo IP tipicamente dinamico fornito dai cloud provider)
©
Clusit 2021 163
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
21000
20500
20000
19500
19000 2021-01
18500 2021-02
2021-03
18000
2021-04
17500
17000
16500
16000
2021-01 2021-02 2021-03 2021-04
FortiGuard Labs - Attacchi totali riscontrati in Italia nel primo quadrimestre 2021
3200
3100
3000
2900
2021-01
2800
2021-02
2700 2021-03
2021-04
2600
2500
2400
2300
2021-01 2021-02 2021-03 2021-04
FortiGuard Labs - Malware totali riscontrati in Italia nel primo quadrimestre 2021
Nella tabella seguente è possibile vedere gli attacchi più riscontrati da Fortinet sul territorio
italiano nel primo semestre 2021. Nel sito web https://www.fortiguard.com, nel campo di
ricerca al centro della pagina, può essere inserito il nome delle signature mostrate così da
avere ogni dettaglio.
164
FOCUS ON 2021 - SD-WAN: vantaggi e rischi
©
Clusit 2021 165
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
166
FOCUS ON 2021 - SD-WAN: vantaggi e rischi
©
Clusit 2021 167
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
168
FOCUS ON 2021 - SD-WAN: vantaggi e rischi
©
Clusit 2021 169
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
170
FOCUS ON 2021 - SD-WAN: vantaggi e rischi
FortiGuard Labs - Minacce più riscontrate in Italia nel primo semestre 2021
Alcuni degli attacchi riscontrati nel primo semestre e mostrati nella tabella trovano ap-
plicabilità in una infrastruttura SD-WAN non sicura, in particolare quelli che eseguono
scansioni mirate a indentificare buchi di sicurezza e vulnerabilità, sfruttate poi in un se-
condo momento con attacchi mirati. Tantissime minacce identificate nel territorio italiano
e mondiale, ma non in tabella in quanto meno riscontrante in termini numerici, hanno lo
scopo specifico di identificare falle nella security, prodotte dai recenti cambi infrastrutturali
dovuti proprio all’introduzione massiva del telelavoro e all’utilizzo di servizi cloud. Lo stesso
interesse da parte degli attaccanti, verrà senza dubbio riservato alle disattenzioni che le
aziende avranno nell’affrontare questo ulteriore passaggio storico.
©
Clusit 2021 171
FOCUS ON 2021
Il tema della sicurezza dei sistemi di controllo industriale (ICS, Industrial Control System)
è salito alla ribalta negli ultimi anni per via della crescente interconnessione tra i processi
di business presenti sul lato IT e i processi fisici associati al lato OT. Se è vero che questa
interconnessione migliora la visibilità, l’efficienza e la velocità, tuttavia espone inavvertita-
mente gli ICS alle minacce che da decenni colpiscono le reti IT.
Per verificare la sicurezza degli ICS e stabilire un profilo di riferimento globale per esami-
nare le minacce rivolte contro questi sistemi, abbiamo analizzato le specifiche famiglie di
malware che si riscontrano negli endpoint ICS.
Il malware che viene ritrovato all’interno del sistema può far luce anche sull’ambiente di
rete colpito e sulle relative pratiche di cybersicurezza. Possiamo comprendere l’inadegua-
tezza dei metodi di sicurezza presenti sulle reti colpite a partire dalle infezioni presenti. Per
esempio, le varianti malware che sfruttano alcune vulnerabilità implicano la mancanza di
applicazione di patch agli endpoint. Inoltre, i virus che infettano i file suggeriscono l’incom-
pleta eliminazione di infezioni precedenti, con il virus rimasto presente all’interno di gruppi
di dispositivi non sottoposti a controlli.
Identificando e categorizzando il malware scoperto negli ICS attraverso i dati che abbiamo
raccolto nel 2020 intendiamo offrire una panoramica sulla postura di sicurezza generale dei
sistemi di controllo industriale presenti negli ambienti IT/OT e su quello che gli attaccanti
fanno una volta che riescono a entrare nei sistemi. Non mancheranno, al termine, alcuni
consigli circa le azioni da intraprendere per proteggere questi ambienti.
©
Clusit 2021 173
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Definizioni
Rete IT/OT
Termine che riguarda la convergenza dell’IT con la rete OT; la connessione dei processi
di business sul lato IT con il processo fisico sul lato OT. Questo collegamento permette lo
scambio di dati, oltre che il monitoraggio e il controllo delle operazioni dalla rete IT. Ai fini
della presente ricerca, i dati provengono da endpoint ICS che fanno parte di reti IT/OT e
non comprendono quelli degli endpoint ICS residenti su sistemi isolati o privi di connes-
sione Internet.
Endpoint ICS
Le reti IT/OT si avvalgono di endpoint ICS nel design, nel monitoraggio e nel controllo dei
processi industriali. Su questi endpoint ICS vengono installati software specifici per l’ese-
cuzione di importanti funzioni ICS. Alcuni esempi di questi software sono:
• Suite di automazione industriale come Siemens Totally Integrated Automation, Kepware
KEPServerEX e Rockwell Automation FactoryTalk
• Engineering Workstation (EWS), software che viene utilizzato nella programmazione di
workflow o processi industriali. Ad esempio:
- Sistemi di controllo come Mitsubishi Electric MELSEC GX Works o Phoenix Contact
Nanonavigator
174
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
Questi endpoint ICS si trovano in diversi livelli dell’architettura della rete IT/OT tranne che
a livello di processo e di controllo. Tutti gli endpoint ICS identificati sono dotati di sistemi
operativi Windows.
Anche se sappiamo che questi endpoint sono dotati di software ICS, non vi è alcuna certez-
za che essi stiano controllando dei processi industriali. Alcuni di questi endpoint potrebbero
essere stati installati a scopo di test o di addestramento; ci siamo comunque assicurati di
escludere macchine palesemente usate per test, endpoint utilizzati da ricercatori specializ-
zati in sicurezza ed endpoint appartenenti a università, così da poter asserire con tranquil-
lità che la maggioranza dei nostri dati proviene da ICS reali e che i dati di rilevamento del
malware non sono distorti da macchine usate a scopo di studio, di ricerca o di analisi.
©
Clusit 2021 175
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Abbiamo identificato gli endpoint ICS utilizzando un mix di indicatori come nomi dei file,
percorsi dei file e processi riportati alla Trend MicroTM Smart Protection NetworkTM. Il trat-
tamento dei data point necessari è stato svolto in conformità con la policy Data Collection
Disclosure di Trend Micro mantenendo l’anonimato dei clienti lungo l’intero processo.
Gli utenti hanno la facoltà di recedere dalla raccolta dei dati disabilitando le funzioni Cer-
tified Safe Software Service, Smart Scan e Behavior Monitoring dalla console di ammini-
strazione del prodotto, anche se questa scelta impedisce di beneficiare della protezione
aggiornata in tempo pressoché reale offerta da Smart Protection Network.
Si noti che i numeri relativi ai rilevamenti provengono dalla copertura dei sensori SPN
distribuiti a livello globale. Le classifiche e i numeri a livello regionale non possono essere
indipendenti da variazioni nella distribuzione influenzate dalla market share.
Ransomware post-intrusione
Nel 2020 abbiamo registrato un aumento significativo nell’attività di ransomware diretta
contro i sistemi di controllo industriale soprattutto a causa di una crescita negli attacchi
Nefilim, Ryuk, LockBit e Sodinokibi tra settembre e dicembre. Questo gruppo di ran-
somware nel suo complesso è responsabile di oltre la metà degli attacchi ransomware che
hanno colpito gli ICS nel 2020.
Figura 2 - Suddivisione del ransomware che ha colpito i sistemi di controllo industriale nel
2020 (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Gli Stati Uniti sono il Paese con la maggior quota di rilevamenti di ransomware riguardanti
ICS; India, Taiwan e Spagna seguono. Anche l’Italia è presente.
176
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
Gli Stati Uniti sono un Paese molto vasto con un enorme numero di aziende che posso-
no cadere vittime di ransomware. Se consideriamo invece la percentuale di organizzazioni
dotate di sistemi di controllo industriale che sono state colpite da ransomware, i primi tre
Paesi sono Vietnam, Spagna e Messico.
Negli ICS il ransomware può provocare la perdita della visibilità o del controllo dei processi
fisici. La costruzione delle interfacce di monitoraggio e controllo come HMI e EWS si basa
su immagini (file .jpg, .bmp, .png) e file di configurazione; tuttavia, gli attacchi ransomware
crittografano anche questi dati rendendoli inutilizzabili da parte del software ICS. In questo
modo il ransomware riesce a paralizzare efficacemente [4] HMI e EWS.
Questo provoca perdite di produttività e fatturato nell’impianto colpito. Infatti, quando ab-
biamo creato un finto stabilimento che fungesse da honeypot, [5] abbiamo registrato diversi
giorni di fermo operativo mentre ripristinavamo il funzionamento in seguito agli incidenti
causati dal ransomware sull’ICS responsabile del monitoraggio e del controllo dei processi
industriali.
©
Clusit 2021 177
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 4 - Una HMI che non riesce a caricare poiché il ransomware ha reso illeggibili i file
di configurazione e le immagini di cui si avvale per costruire l’interfaccia.
(Immagine: Trend MicroTM [4])
Un altro aspetto degli attacchi ransomware che colpiscono gli ICS riguarda la recente ten-
denza alle doppie estorsioni, [6] che si verificano quando i file colpiti non vengono solamen-
te crittografati ma anche esfiltrati e resi pubblici. Questo problema riguarda soprattutto i
componenti ICS dedicati alla progettazione e allo sviluppo dei processi industriali. Design,
programmi e documenti come elenchi di fornitori, liste di componenti e procedimenti in-
dustriali presenti negli EWS, se fatti fuoriuscire dai sistemi e quindi ricevuti dalle persone
sbagliate, possono regalare agli attaccanti informazioni confidenziali o progetti proprietari di
prodotti. Per esempio, gli attaccanti responsabili del ransomware Sodinokibi che ha colpito
Quanta, un importante fornitore di Apple, avevano minacciato di rilasciare una parte dei
documenti che erano riusciti a sottrarre. Tali documenti, a quanto pare, comprendevano gli
schemi di modelli iMac e Macbook Air non ancora usciti sul mercato. [7]
Coinminer
A parte il ransomware, i coinminer sono un altro malware che colpisce gli ICS sulla spinta
di motivazioni finanziarie. Sebbene il codice di un coinminer non sia progettato per distrug-
gere file o dati, l’utilizzo di CPU associato all’attività di mining può influire negativamente
sulle performance dell’endpoint ICS. Nella nostra ricerca basata su un finto stabilimento
honeypot [5] abbiamo verificato come gli endpoint ICS non rispondessero più una volta che
178
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
gli attaccanti avevano installato coinminer al loro interno. Un coinminer può provocare
indirettamente la perdita della visualizzazione e del controllo di un ICS, specialmente se i
relativi computer possiedono una limitata capacità di CPU e/o un sistema operativo obsole-
to, una combinazione che non è raro ritrovare negli ambienti industriali.
La famiglia di coinminer maggiormente diffusa nei sistemi di controllo industriale nel 2020
è MALXMR, un coinminer post-intrusione. Anche se viene solitamente installato attra-
verso tecniche fileless, a partire dal 2019 abbiamo osservato infezioni di MALXMR che
utilizzano i tool di Equation Group per sfruttare la vulnerabilità EternalBlue allo scopo di
facilitare la distribuzione e il movimento laterale.
Figura 5 - Suddivisione dei coinminer che hanno colpito i sistemi di controllo industriale nel
2020 (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Tra i Paesi in cui MALXMR è stato trovato su endpoint ICS, l’India conta oltre un terzo
dei rilevamenti. Ciò non significa tuttavia che l’India sia particolarmente nel mirino delle
gang di cryptominer che ricorrono a MALXMR. Un’occhiata alle infezioni del ransomware
WannaCry mostra che questo Paese ha registrato anche più di un terzo delle infezioni di
WannaCry sugli endpoint ICS.
©
Clusit 2021 179
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Questo suggerisce che l’India presenti il maggior numero di infezioni MALXMR perché
una grande quantità di computer dotati di software ICS è vulnerabile a EternalBlue, dal
momento che i tool di Equation Group usati da MALXMR e WannaCry sfruttano tale vul-
nerabilità in entrambi i casi. Questi dati mostrano come il livello di diffusione delle patch
all’interno di un Paese lo renda o meno suscettibile a determinate minacce.
180
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
Conficker
In maniera simile a quanto riscontrato in occasione di una precedente ricerca dedicata agli
ambienti di produzione industriale, [8] continuiamo a verificare la presenza di Conficker (o
Downad) quale minaccia persistente per gli endpoint ICS. Scoperto per la prima volta nel
lontano 2008, questo worm è stato ancora rilevato in modo persistente su 200 endpoint
individuali.
Abbiamo scoperto che almeno il 94% degli endpoint analizzati era configurato con sistemi
operativi Windows 10 o Windows 7. Il metodo di propagazione più conosciuto di Conficker
avviene sfruttando la vulnerabilità MS08-067 che consente l’esecuzione di codice remoto
quando il sistema colpito riceva una richiesta RPC (Remote Procedure Call) appositamente
predisposta.[9] Il fatto è che MS08-067 non si applica a Windows 10 né a Windows 7, il
che ci porta a concludere che queste infezioni si propaghino attraverso drive rimovibili o
attacchi a dizionario contro le condivisioni ADMIN$.
Figura 8 - Distribuzione dei sistemi operativi sugli endpoint ICS sui quali è presente
Conficker. (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Relativamente all’ipotesi precedente, abbiamo scoperto che almeno l’85% dei casi di Confi-
cker rilevati è da ricondurre a drive rimovibili e che almeno il 12% dei rilevamenti è limitato
esclusivamente all’interno della directory di sistema di Windows. Ciò indica il successo
dell’infezione di Conficker anche quando la macchina colpita non è vulnerabile a MS08-67.
Trend Micro intercetta la maggioranza delle infezioni presenti nella directory di sistema di
Windows come WORM_DOWNAD.EZ e WORM_DOWNAD.AD (maggiori informazio-
ni al riguardo sono disponibili in appendice al presente documento): si tratta di varianti di
Conficker dotate della capacità supplementare di depositare una copia di se stesse all’in-
terno di ADMIN%\system32 usando le credenziali di un utente connesso o lanciando un
©
Clusit 2021 181
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
attacco a dizionario [10] con password comuni. Si tratta di un dato interessante perché signi-
fica che anche un endpoint dotato di una versione di Windows più recente non vulnerabile
a MS08-067 può subire un’infezione di Downad a causa di credenziali di amministrazione
deboli.
Figura 9 - Posizione dei rilevamenti di Conficker sulla base del percorso dei file.
(Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
182
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
Malware legacy
Nelle reti dove sono presenti ICS abbiamo rilevato la presenza di vecchi worm il cui prin-
cipale metodo di propagazione si basa su condivisioni di rete o drive USB rimovibili. Anche
se questo malware legacy si trova in meno del 2% delle aziende, esso viene individuato
frequentemente e su diversi endpoint nell’ambito della medesima rete, a segnalare una
epidemia localizzata.
Worm come Autorun, Gamarue e Palevo si sono scatenati nel 2013 e nel 2014 ma da
allora sono scomparsi grazie alla vasta diffusione di policy di sicurezza che disabilitano la
funzionalità autorun (quella per cui i file eseguibili dichiarati nel file autorun.inf vengono
lanciati automaticamente al collegamento di un dispositivo rimovibile). Anche se non sor-
prende trovare questi vecchi worm legacy all’interno di ambienti IT/OT, ci sono un paio di
pratiche che contribuiscono a questa situazione. La prima è il trasferimento di file e dati
tramite chiavette e dischi esterni USB, solitamente utilizzato come pratica soluzione per il
passaggio di dati tra reti isolate. La seconda quando gli utenti creano backup di sistema o
terminali inattivi in standby salvandoli su drive rimovibili, senza però effettuare scansioni di
sicurezza alla ricerca di eventuale software pericoloso.
©
Clusit 2021 183
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Lo stesso vale per i virus che infettano i file. Condizioni simili a quelle che hanno permesso
ai worm di sopravvivere nelle reti isolate hanno consentito anche a virus come Sality, Ram-
nit e Virut di svilupparsi negli stessi ambienti. Questa tipologia di virus è ancora più vecchia
rispetto a quella dei worm per drive rimovibili, con alcune varianti di Virut che risalgono
addirittura al 2009.
Anche se questi worm e virus legacy non sono associati ad alcun gruppo di cybercriminali
o attaccanti sponsorizzati da Stati nazione, la loro continua presenza all’interno di reti IT/
OT suggerisce una sicurezza inadeguata e una scarsa manutenzione dei backup e dei drive
rimovibili. Ciò non solo ha reso assai più difficoltosa l’eradicazione di questi virus, ma ha
anche creato un rifugio appartato nel quale il malware legacy ha potuto sopravvivere, come
provato da diversi endpoint che hanno rilevato molteplici malware legacy nello stesso drive
rimovibile.
Questo prova anche come i drive rimovibili possano essere un punto debole di questi en-
dpoint ICS, un elemento che un tipo di malware ben più sofisticato come Stuxnet ha
sfruttato negli attacchi rivolti contro sistemi SCADA (Supervisory Control and Data Acqui-
sition) specifici. [11]
Il malware legacy (in particolare i worm nei drive rimovibili e i virus che infettano i file),
sono stati rilevati soprattutto in India, Cina, Stati Uniti e Taiwan. L’India guida la classifica
in quanto a coinminer, malware Equated e ransomware WannaCry.
Il Giappone presenta il numero più alto di infezioni Emotet. Ma se Emotet è noto per
dispiegare Ryuk, Trickbot o Qakbot successivamente all’infezione, i dati di cui sopra non
sembrano indicare ulteriori installazioni di malware. Gli ICS in Germania sono quelli più
colpiti dall’adware, soprattutto da quello che circola in bundle con i tool software.
184
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
Figura 12 - Suddivisione dei rilevamenti a seconda del tipo di malware nei primi 10 Paesi
(Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
©
Clusit 2021 185
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
In conclusione
Utilizzare i rilevamenti del malware come uno dei criteri alla base della cybersicurezza delle
reti IT/OT può migliorare la postura di difesa e, di conseguenza, rafforzare la protezione
degli endpoint ICS. Il risultato? Niente più fermi operativi imprevisti né perdite della visua-
lizzazione e del controllo delle risorse.
Sulla base dei dati di rilevamento possiamo concludere che i sistemi di controllo industriale
possono essere colpiti tanto dal malware moderno come il ransomware e i coinminer, quan-
to dal malware legacy come i worm e i virus che infettano i file. Ciò significa che gli en-
dpoint ICS possono essere infettati con successo sia mediante tecniche moderne (malware
fileless, tool di hacking, attacchi che sfruttano le risorse trovate localmente sui sistemi col-
piti) che attraverso più che collaudati metodi legacy (vecchi exploit di rete, autorun su drive
rimovibili, attacchi a forza bruta contro le condivisioni di rete e infezioni di file).
Tuttavia, in alcuni attacchi la posta in gioco è più alta. Nel caso del ransomware, le aziende
dovrebbero prestare attenzione alla caccia scatenata dai cybercriminali contro vittime di
alto profilo, [12] dove gli attaccanti per prima cosa identificano gli obiettivi che sono stati in
grado di violare per poi risalire ai principali sistemi residenti nella rete così da provocare i
danni più rilevanti e costringere le vittime a pagare. La presenza di ransomware negli ICS in
occasione di svariati attacchi potrebbe indicare il fatto che i cybercriminali stanno iniziando
a rendersi conto delle potenzialità di questi sistemi e rivolgere a essi le loro attenzioni.
Raccomandazioni
Di seguito alcune raccomandazioni per la protezione degli endpoint ICS:
• Tenere aggiornati i sistemi con le patch di sicurezza. Nonostante sia un procedi-
mento noioso, è tuttavia necessario per evitare violazioni; un esempio riguarda il modo in
cui la vulnerabilità Eternal Blue è stata sfruttata inizialmente da malware zero-day avan-
zato e, in seguito, dai tool preconfezionati di Equation Group che installano coinminer.
Una volta che un exploit è noto, esso viene gradualmente assimilato dalle procedure di
routine degli attaccanti, quindi è importante applicare le patch.
186
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
©
Clusit 2021 187
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Il ransomware ha effetti nefasti sui sistemi industriali impattando sulla visibilità e sul con-
trollo dei processi e bloccando le operazioni. Il ransomware post-intrusione è solitamente
il prodotto finale di una violazione in atto, non la sua causa, e se il ransomware si trova
all’interno di un endpoint ICS è perché l’accesso a questo sistema non è adeguatamente
protetto o la rete è completamente compromessa. Per affrontare questo pericolo consiglia-
mo quanto segue:
• Utilizzare una safelist o “allow list”. Per alcuni ICS dedicati a funzioni specifiche
potrebbe essere appropriato disporre di un elenco del software che può girarvi sopra
• Effettuare analisi di rete e risposta agli incidenti alla ricerca di indicatori di
compromissione (IoC). I gruppi specializzati in ransomware post-intrusione si avvalgo-
no di diversi tool e di account compromessi a scopo di accesso e di movimento laterale.
Effettuando un’analisi di rete e di risposta agli incidenti completa, i team incaricati della
sicurezza possono determinare l’estensione dell’intrusione e le vulnerabilità sfruttate, pia-
nificando una robusta strategia di sicurezza basata sull’incidente stesso
Bibliografia
1 Cedric Pernet, Vladimir Kropotov, and Fyodor Yarochkin. (June 13, 2019). Trend Micro.
“Advanced Targeted Attack Tools Found Being Used to Distribute Cryptocurrency
Miners.” Accessed on May 14, 2021, at https://blog.trendmicro.com/trendlabs-security-
intelligence/advanced-targeted-attack-tools-used-to-distribute-cryptocurrency-miners
2 Viet Nam News. (March 18, 2019). Viet Nam News. “Internet users warned
of ransomware attacks.” Accessed on May 14, 2021, at https://vietnamnews.vn/
society/507280/internet-users-warned-of-ransomware-attacks.html.
3 Catalin Cimpanu. (Aug. 3, 2020). ZDNet. “GandCrab ransomware distributor arrested
in Belarus.”. Accessed on May 14, 2021, at https://www.zdnet.com/article/gandcrab-
ransomware-distributor-arrested-in-belarus/
4 Ryan Flores. (Dec. 01, 2020). Trend Micro Research. “The Impact of Modern
Ransomware on Manufacturing Networks.” Accessed on May 14, 2021, at https://
www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-
manufacturing-networks.html
5 Stephen Hilt, Federico Maggi, Charles Perine, Lord Remorin, Martin Rösler, and Rainer
Vosseler. (Jan. 21, 2020). Trend Micro Security News. “Caught in the Act: Running a
Realistic Factory Honeypot to Capture Real Threats.” Accessed on May 14, 2021, at
https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/fake-company-
real-threats-logs-from-a-smart-factory-honeypot
6 Jon Clay. (May 10, 2021). Trend Micro Research. “Tips to avoid the new wave of
ransomware attacks.” Accessed on May 14, 2021, at https://www.trendmicro.com/en_
us/research/21/e/tips-to-avoid-new-wave-ransomware-attacks.html
188
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
7 Chaim Gartenberg. (April 21, 2021). The Verge. “Apple targeted in $50 million
ransomware attack resulting in unprecedented schematic leaks.” Accessed on May
14, 2021, at https://www.theverge.com/2021/4/21/22396283/apple-schematics-
leakransomware-quanta-supplier-leak
8 Matsukawa Bakuei, Ryan Flores, Vladimir Kropotov, and Fyodor Yarochkin. (April 3,
2019). Trend Micro Security News. “Threats to Manufacturing Environments in the
Era of Industry 4.0.” Accessed on May 14, 2021, at https://www.trendmicro.com/vinfo/
us/security/news/internet-of-things/security-in-the-era-of-industry-4-dealing-with-
threats-to-smart-manufacturing-environments
9 Microsoft. (October 23, 2008). Microsoft. “Microsoft Security Bulletin MS08-067
- Critical.” Accessed on May 14, 2021, at https://docs.microsoft.com/en-us/security-
updates/securitybulletins/2008/ms08-067
10 Dan Swinhoe. (Aug 5, 2020). CSO. “What is a dictionary attack? And how you can easily
stop them.” Accessed on May 14, 2021, at https://www.csoonline.com/article/3568794/
what-is-a-dictionary-attack-and-how-you-can-easily-stop-them.html
11 Danielle Veluz. (Oct. 1, 2010). Trend Micro Threat Encyclopedia. “STUXNET Malware
Targets SCADA Systems.” Accessed on May 14, 2021, at https://www.trendmicro.com/
vinfo/us/threat-encyclopedia/web-attack/54/stuxnet-malware-targets-scada-systems
12 Magno Logan, Erika Mendoza, Ryan Maglaque, and Nikko Tamaña. (February 3, 2021).
Trend Micro. The State of Ransomware: 2020’s Catch-22. Accessed on May 14, 2021,
at https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/
the-state-of-ransomware-2020-s-catch-22
13 Trend Micro. (March 18, 2020). Trend Micro Security News. “The IIoT Threat
Landscape: Securing Connected Industries.” Accessed on May 14, 2021, at https://www.
trendmicro.com/vinfo/us/security/news/internet-of-things/the-iiot-threatlandscape-
securing-connected-industries
©
Clusit 2021 189
FOCUS ON 2021
Ci sono viaggi che quando iniziano sono inarrestabili. Succede quando la corsa non dipende
da noi, non è sotto il nostro controllo, ma va avanti sotto la spinta di un motore portentoso:
il progresso.
Tutta la storia dell’uomo è fatta di tentativi di previsione e di rivoluzioni che sono sempre
andate oltre i pronostici. Oggi viviamo uno di quei momenti in cui ciò che sembrava lontano
e futuristico è un presente vertiginoso. Siamo nell’occhio del ciclone di una delle rivoluzioni
più entusiasmanti che si siano mai viste: non possiamo fermare l’onda, ma possiamo imparare
a cavalcarla.
Per cavalcare l’onda, dobbiamo servirci delle forze che genera. Dobbiamo sfruttare gli automa-
tismi e le logiche dell’Intelligenza Artificiale. Con quale obiettivo? Individuare i problemi ben
prima che realizzino il proprio potenziale negativo, impattando sulla nostra esperienza digitale.
Come per tutte le sfide, dobbiamo farlo in sicurezza, garantendo un ambiente protetto.
La crescita dell’edge a causa del cambiamento del modo di lavorare e della crescita espo-
nenziale (e a volte incontrollata) dei dispositivi IoT ha fatto emergere nuove sfide in termini
di onboarding, visibilità e sicurezza. Nel frattempo, la continua migrazione delle applicazio-
ni sul cloud ha modificato l’approccio alla pianificazione delle reti e, conseguentemente, ai
requisiti di sicurezza, visto che le reti tradizionali non erano state progettate per un mondo
basato sul cloud. La maggiore complessità delle reti e l’insorgere di nuove minacce creano
nelle organizzazioni la necessità di un approccio end-to-end olistico, che assicuri sicurezza
e conformità dall’edge, dove risiedono i nuovi dispositivi, gli utenti e gli uffici remoti, fino
ad arrivare al cloud, che ospita le applicazioni e i dati critici, richiedendo dunque altissimi
livelli di protezione, prestazioni e disponibilità.
Le problematiche di protezione della rete sono cambiate notevolmente nel corso degli anni
per la crescente decentralizzazione degli utenti e la trasformazione degli attacchi, divenuti
sempre più sofisticati e persistenti. I tradizionali approcci alla sicurezza che si concentrava-
no principalmente sul perimetro della rete non sono più efficaci come strategie autonome.
La moderna sicurezza di rete deve gestire un insieme di utenti e dispositivi diversificati e in
©
Clusit 2021 191
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
continua evoluzione, nonché un numero decisamente più alto di minacce prevalenti rivolte
a porzioni dell’infrastruttura un tempo “attendibili”.
Il modello Zero Trust Security è emerso come soluzione efficace per rispondere ai mute-
voli requisiti di sicurezza dell’azienda moderna, partendo dall’ipotesi che tutti gli utenti, i
dispositivi, i server e i segmenti delle reti sono intrinsecamente non sicuri e potenzialmente
ostili. La sicurezza basata su modelli di tipo Zero Trust, migliora la protezione complessiva
della rete, applicando un set più rigoroso di best practice e controlli alla risorse di rete pre-
cedentemente attendibili.
192
FOCUS ON 2021 - Sicurezza per la rete di accesso: dall´OnPrem al Cloud
Figura 2
©
Clusit 2021 193
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Questo significa che ClearPass è compatibile con un’ampia gamma di soluzioni, tra cui gli
strumenti di sicurezza degli endpoint, e favorisce decisioni più intelligenti sul controllo
degli accessi in base alla situazione di un dispositivo. Le policy di controllo degli accessi
possono inoltre essere modificate a seconda del tipo di dispositivo usato, del luogo da cui si
collega l’utente e di altri criteri basati sul contesto.
Figura 3
194
FOCUS ON 2021 - Sicurezza per la rete di accesso: dall´OnPrem al Cloud
Man mano che le organizzazioni procedono alla migrazione di buona parte delle loro ap-
plicazioni sul cloud diventa sempre più essenziale che le soluzioni SD-WAN e di sicurezza
si adattino a questa trasformazione. Modernizzando le proprie infrastrutture WAN e di
sicurezza, i clienti possono ottenere vantaggi significativi sia in termini di networking sia di
sicurezza.
Questo riduce in modo significativo lo sforzo di integrazione dei servizi di sicurezza del
cloud nell’infrastruttura di rete e di sicurezza già esistente. Integrando questi servizi di sicu-
rezza basati sul cloud, le organizzazioni possono proteggere nel modo più efficace la propria
infrastruttura ospitata nel cloud.
Figura 4
Le WAN aziendali tradizionali e gli approcci alla sicurezza basati sul perimetro non sono
stati progettati per il cloud. Effettuare il backhaul del traffico di tutte le applicazioni dalle
filiali al data center riduce le prestazioni delle applicazioni e offre un’esperienza utente
irregolare.
Questa architettura ha senso se le applicazioni sono ospitate esclusivamente nel data center
aziendale. Adesso, tuttavia, con la massiccia migrazione di servizi e applicazioni nel cloud,
l’architettura di rete tradizionale risulta inadeguata: essa, infatti, riduce le prestazioni delle
applicazioni e offre un’esperienza utente irregolare, poiché il traffico destinato al web deve
passare per il data center e il firewall aziendale prima di giungere a destinazione.
©
Clusit 2021 195
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Inoltre, con l’aumento del numero di dipendenti che lavorano al di fuori della rete aziendale
connettendosi direttamente alle applicazioni sul cloud, la tradizionale sicurezza basata sul
perimetro risulta insufficiente. Il cloud e il SaaS hanno cambiato per sempre il modo in cui
gli utenti si connettono alle applicazioni e interagiscono con esse. Trasformando le archi-
tetture WAN e di sicurezza, le aziende possono garantire un accesso diretto e sicuro alle
applicazioni e ai servizi in ambienti multi-cloud indipendentemente da dove ci si connette
e dal dispositivo usato.
Figura 5
I pionieri nell’adozione delle soluzioni di sicurezza fornite tramite cloud non sono riusciti ad
implementare anche servizi SD-WAN che permettessero di evitare di applicare l’adaptive
Internet breakout direttamente dalle filiali, ovverosia l’uscita Internet diretta dalle filiali
stesse senza afferire ai Data Center centralizzati aziendali. Pertanto, non erano in grado di
indirizzare il traffico in uscita dalla filiale direttamente verso il cloud. Senza la componente
SD-WAN, il traffico destinato al cloud doveva comunque passare dal data center, pregiudi-
cando le prestazioni delle applicazioni.
L’adozione di una soluzione di sicurezza basata sul cloud e di una SD-WAN elimina i costi
e le complessità associate alla gestione di più firewall di nuova generazione in locale, senza
però escludere la necessità delle funzionalità dei firewall stateful localizzati presso le filiali
per bloccare le minacce in entrata.
196
FOCUS ON 2021 - Sicurezza per la rete di accesso: dall´OnPrem al Cloud
Come mostrato nella Figura 6, utilizzando una soluzione SD-WAN avanzata, le aziende
possono connettersi direttamente al cloud grazie all’adaptive Internet breakout usando
semplici connessioni a Internet a banda larga. L’applicazione di un’intelligenza in grado
di riconoscere le applicazioni permesse abilita l’utilizzo del local breakout tra la filiale e il
PoP (point of presence) più vicino, eliminando la latenza e fornendo un’esperienza della
massima qualità per le applicazioni su cloud e SaaS considerate affidabili (Microsoft Offi-
ce 365, 8x8, RingCentral, ecc.). L’application awareness permette inoltre di inviare i dati
di altri tipi di traffico diretti verso il web a un servizio di sicurezza ospitato sul cloud in
modo da consentirne un’ispezione avanzata prima di inoltrarli al fornitore SaaS di turno. Le
avanzate funzionalità SD-WAN integrate con i moderni servizi di sicurezza basati sul cloud
garantiscono un’applicazione coerente delle politiche e del controllo degli accessi da parte
di utenti, dispositivi, applicazioni e IoT. Ciò permette alle aziende di rispettare le politiche
ed eliminare i tempi morti e mitigare il rischio di compromissione dei dati associati alle
violazioni della sicurezza.
Figura 6
È chiaro ormai che le infrastrutture di rete offrono connettività non piu’ solo a dispositivi
tradizionali, ma anche e sempre di più, a quelli IoT. La proliferazione dei dispositivi IoT nel-
le aziende porta con sé nuovi modi di monitorare, automatizzare, ottimizzare e relazionare
sui processi aziendali, nonché di generare gli avvisi e le notifiche del caso, e ciò vale tanto
per le linee produttive quanto per l’automazione della climatizzazione e dell’illuminazione
finalizzata al risparmio energetico. L’IoT rende le aziende più efficienti tramite l’automazio-
ne; tuttavia, amplia a dismisura la superficie d’attacco aggiungendo una nuova dimensione
di complessità. Per affrontare la crescente sfida della sicurezza dei dispositivi mobili, l’IT
guarda a soluzioni di accesso alla rete Zero Trust (ZTNA) basate sul modello Zero Trust. Le
soluzioni ZTNA prevedono l’installazione di un agente di protezione dell’endpoint sul dispo-
sitivo dell’utente (portatile, tablet, cellulare). L’agente software fa in modo che il traffico in
uscita dal dispositivo venga diretto a un servizio di sicurezza basato sul cloud prima di essere
©
Clusit 2021 197
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
inoltrato verso l’applicazione SaaS o il fornitore IaaS. Tuttavia, a differenza dei tablet e degli
smartphone, i dispositivi IoT non consentono l’installazione degli agenti software ZTNA
(e di agenti software di terze parti in genere). Per questo, per neutralizzare la potenziale
vulnerabilità dei dispositivi IoT, le aziende necessitano di una soluzione di sicurezza diversa
se vogliono proteggere le proprie reti da violazioni in grado di compromettere l’operatività
aziendale quotidiana.
I rischi associati all’impiego dei dispositivi IoT possono essere ridotti con l’adozione di una
piattaforma SD-WAN avanzata e application-aware. Le piattaforme SD-WAN avanzate
sono in grado di identificare e classificare il traffico delle applicazioni al primo pacchetto,
intercettarlo all’edge della rete, spostarlo sul segmento appropriato e proteggerlo dal resto
del traffico in transito sulla rete. Le piattaforme SD-WAN avanzate orchestrano la segmen-
tazione end-to-end coprendo i percorsi LAN-WAN-LAN e LAN-WAN-Data center/Cloud.
Di conseguenza, le politiche di sicurezza sono applicate in maniera automatizzata e coe-
rente, per di più con una visibilità maggiore. Con la segmentazione end-to-end, le aziende
possono creare segmenti isolati per il traffico dei dispositivi IoT. Per ciascun segmento è
possibile definire una politica di sicurezza indipendente. Poiché il traffico di un segmento è
isolato da quello negli altri segmenti, non è possibile che si verifichino accessi non autoriz-
zati. Anche se sorgesse una minaccia, il suo impatto resterebbe limitato al segmento in cui
è emersa. Inoltre, con un firewall con stato basato sulla zona unificato, le aziende possono
proteggere dalle potenziali minacce, bloccandole, anche i siti remoti e i dispositivi IoT.
Facciamo un esempio. In un sito remoto in cui sono installati dispositivi IoT senza agente
come sistemi PoS e di climatizzazione (Figura 7), una piattaforma SD-WAN avanzata iden-
tifica in modo univoco le applicazioni usate dai dispositivi.
Figura 7
198
FOCUS ON 2021 - Sicurezza per la rete di accesso: dall´OnPrem al Cloud
Una politica di sistema intercetta il traffico del PoS e lo trasmette al data center aziendale,
che ospita l’applicazione di elaborazione della transazione con carta di credito. A questo
traffico vengono applicati i servizi di sicurezza basati su firewall di nuova generazione già
esistenti, implementati nel data center. Invece, le politiche del sistema di climatizzazione
segmentano e trasmettono il traffico del sistema di climatizzazione al servizio di sicurezza
basato sul cloud per un’ispezione di sicurezza aggiuntiva, per poi inoltrarlo al centro di co-
mando e controllo dell’IoT ospitato nel cloud pubblico. Poiché in base alle politiche azien-
dali il traffico IoT è isolato dal resto, eventuali violazioni del segmento dedicato al traffico
della climatizzazione non potranno compromettere o mettere a rischio i dati personali e
delle carte di credito che transitano sul segmento dedicato al traffico del sistema PoS. La
segmentazione aiuta inoltre le organizzazioni a soddisfare i requisiti di conformità PCI (pay-
ment card industry) o di altri settori eventualmente rilevanti. Come mostrato nell’esempio,
l’implementazione congiunta di una soluzione di sicurezza completa e di una piattaforma
SD-WAN avanzata offre alle aziende più dinamiche una protezione maggiore nel momento
in cui decidono di affrontare la trasformazione finalizzata a godere dei benefici dell’IoT.
Ricerca di mercato
A conferma di quanto finora esposto e presentato in termini tecnologici, abbiamo voluto
approfondire il tema ascoltando la voce di chi in prima persona, tutti i giorni e’ chiamato a
prendere delle scelte che hanno l’obbiettivo, a medio e lungo termine, di adottare e farne
proprie alcune modelli architetturali e le relative soluzioni.
Per questo, di seguito riportiamo i risultati di un report che Ponemon Institute ha condotto,
sponsorizzato da Aruba, tra 1.826 professionisti della sicurezza e del networking a livello
World Wide.
Questa ricerca mira ad apprendere importanti informazioni sull’utilizzo delle architetture
SD-WAN (Software-Defined Wide Area Network), SASE (Secure Access Service Edge) e
Zero Trust.
Nel contesto della presente ricerca, queste tecnologie sono definite come segue:
• L’SD-WAN semplifica la gestione e l’operatività di una Wide Area Network (WAN) se-
parando l’hardware di rete dal suo meccanismo di controllo e virtualizzando i servizi di
trasmissione.
• SASE e Zero Trust sono architetture di sicurezza utilizzate per implementare controlli di
sicurezza.
©
Clusit 2021 199
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 8
Il Nord America guida l’implementazione di Zero Trust, SD-WAN e SASE. Il 43% degli
intervistati nel Nord America ha implementato una soluzione Zero Trust, contro il 33%
degli intervistati nella regione EMEA, il 31% di quelli nella regione Asia-Pacifico e il 26%
di quelli nella regione LATAM. Risultati simili si hanno per l’implementazione di soluzioni
SD-WAN e SASE, come si può vedere dal report.
C’è una familiarità maggiore con l’architettura di sicurezza Zero Trust che con l’SD-WAN
e il SASE. Il 62% degli intervistati dichiara di avere familiarità o una grande familiarità con
l’architettura Zero Trust. Segue l’architettura di sicurezza SASE, con il 45% degli intervistati
che dichiarano di avere familiarità con essa.
Ci si aspetta una crescita dell’adozione di architetture Zero Trust e SASE. Il 57% degli
intervistati dichiara che la propria organizzazione ha implementato o implementerà una
soluzione Zero Trust, mentre il 49% dichiara lo stesso con riguardo alle architetture SASE.
200
FOCUS ON 2021 - Sicurezza per la rete di accesso: dall´OnPrem al Cloud
influenza sulle implementazioni di soluzioni SD-WAN, con la consulenza del team della
sicurezza. Il 37% dichiara invece che è il team della sicurezza a guidare l’implementazione,
con la consulenza del team di rete.
Un altro degli interrogativi posto agli intervistati, riguarda chi all’interno dell’organizzazione
aziendale ha la responsabilita’ di prendere alcune decisioni in merito all’adozione di Archi-
tetture e Soluzioni di Sicurezza.
Come si può notare in Figura 9, tipicamente il team di rete è quello che ha la maggior pro-
babilità di prendere decisioni su prodotti/architetture di soluzioni di sicurezza.
Il 42% degli intervistati dichiara che nella propria organizzazione è il team di rete a prendere
decisioni su prodotti/architetture di soluzioni di sicurezza, seguito dal 31% che dichiara che
queste decisioni sono prese dal team della sicurezza e dal 27% che dichiara che a essere
coinvolti sono entrambi i team.
Figura 9
Come si vede nella Figura 10, sulla scelta del fornitore con riguardo all’implementazione
di servizi di sicurezza basati sul cloud (per es. Firewall-as-a-Service basati sul cloud, CASB,
ecc.), nel 44% dei casi pesa la volontà di servirsi di fornitori leader indipendenti e specia-
lizzati in quel tipo di soluzioni, nel 31% dei casi si preferiscono fornitori di soluzioni di
sicurezza che offrono tali servizi nell’ambito di un portfolio di soluzioni più ampio, mentre
nel 25% si preferisce utilizzare lo stesso fornitore della soluzione di rete.
©
Clusit 2021 201
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 10
Figura 11
202
FOCUS ON 2021 - Sicurezza per la rete di accesso: dall´OnPrem al Cloud
Per l’implementazione di una SD-WAN e di una soluzione di sicurezza basata sul cloud per
un’architettura SASE si preferisce rivolgersi a un fornitore leader. Per l’implementazione di
una SD-WAN e di una soluzione di sicurezza basata sul cloud per un’architettura SASE, il
71% degli intervistati selezionerebbe uno dei fornitori leader.
Come mostrato nella Figura 12, il 71% degli intervistati dichiara che la propria organizza-
zione si rivolgerebbe a fornitori leader di soluzioni di sicurezza basate sul cloud in grado di
offrire un’integrazione con fornitori SD-WAN (25%), a fornitori leader di soluzioni di rete
in grado di offrire un’integrazione con fornitori leader di soluzioni di sicurezza basate sul
cloud (24%) o a fornitori leader di soluzioni SD-WAN in grado di offrire un’integrazione con
fornitori di soluzioni di sicurezza basate sul cloud (22%).
Figura 12
Conclusione
Nel far migrare le proprie applicazioni dai data center al cloud, le moderne aziende basate
sul cloud devono attuare la trasformazione partendo dalla LAN per passare alla WAN, il
tutto garantito da soluzioni di sicurezza. Solo così potranno far rendere al massimo i loro
investimenti nel cloud. Gartner ha coniato il termine SASE (Secure Access Service Edge)
per indicare un’architettura che si muove in quella direzione.
Come mostrato nella Figura 13, è importante che, nel progettare l’attivazione di servizi
SASE, le aziende valutino di attuare una trasformazione sia della WAN sia della sicurezza
per fornire un’esperienza senza interruzioni.
©
Clusit 2021 203
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Figura 13
Siamo consapevoli che del viaggio abbiamo percorso forse una sola minima parte. Molto po-
trà ancora succedere, e sicuramente succederà, di fronte al quale toccherà a noi mostrarci
sempre ricettivi per aggiustare il tiro e continuare a tenere l’onda. Ma di fronte a percorsi
lunghissimi, sappiamo perfettamente quanto sia grande il valore di una tappa. Del resto,
qualsiasi linea è sempre un’unione tra punti. Questo è quello da cui cominciamo.
204
FOCUS ON 2021
Scenario
Dall’inizio della pandemia si è assistito ad un processo accelerato di digitalizzazione e inno-
vazione ancora in atto. Inoltre, sempre più organizzazioni stanno adottando il cloud ibrido,
caratterizzato dall’utilizzo congiunto di piattaforme di private cloud e public cloud. Secondo
un report pubblicato recentemente da NTT Ltd. - uno dei principali fornitori globali di ser-
vizi tecnologici - le organizzazioni, in termini di trend di soluzioni tecnologiche, tenderanno
ad utilizzare sempre più il cloud ibrido a proprio vantaggio al fine di acquisire la necessaria
agilità, una maggiore sicurezza e resilienza oltre a garantire prestazioni migliori, più rapide
e più informate sulla base dei dati.
©
Clusit 2021 205
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Il cloud ibrido è destinato ad essere sempre più adottato da aziende di tutti i settori e, se-
condo quanto riportato dalla società americana International Data Corporation (IDC) nel
report dal titolo “Creating a framework for success in the cloud with cloud governance” entro
il 2022 oltre l’84% delle aziende europee farà affidamento ad esso per soddisfare le proprie
esigenze infrastrutturali. Ogni azienda potrà sviluppare una strategia e un’architettura cloud
aziendale in grado di scalare al variare delle esigenze, a tal punto che, secondo una recente
ricerca dell’IBM Institute for Business Value, si prevede che entro il 2023 le organizzazioni
utilizzeranno almeno 10 cloud.
Il cloud ibrido permette alle organizzazioni di trasferire i carichi di lavoro ovunque (i.e. che
si tratti di un cloud pubblico, di un data center on-premise o dell’edge) e alla funzione IT di
acquisire tutta la flessibilità necessaria ed accelerare la necessaria trasformazione digitale
dell’organizzazione.
Inoltre, in termini di privacy e sicurezza, le organizzazioni altamente regolamentate - come
ospedali e fornitori di servizi sanitari - possono utilizzare con successo il cloud ibrido per
conservare informazioni sensibili come i record dei pazienti on premise; mentre, i carichi di
lavoro meno sensibili - quali i processi contabili e finanziari - sono trasferiti al cloud, garan-
tendo prestazioni migliori e risparmi sui costi.
Operatori di cloud ibrido quali IBM, Microsoft, Oracle, AWS ecc…, mettono a disposi-
zione una piattaforma che abilita l’intelligenza artificiale e l’automazione contribuendo a:
• aumentare l’efficienza, la redditività e il valore aziendale,
• ottimizzare i costi e favorire la crescita dei ricavi
• facilitare la “modernizzazione” delle applicazioni aziendali principali nel cloud,
• garantire un’architettura sempre aggiornata e un approccio più collaborativo a livello
di ecosistema alla sicurezza del cloud, alla conformità normativa e alla resilienza infor-
matica.
206
FOCUS ON 2021 - Continuità aziendale, ripristino di emergenza, resilienza informatica:
il cloud ibrido come leva strategica
Grazie a queste precauzioni, le organizzazioni, quindi, sono in grado di: affrontare le sfide
chiavi che incontrano nell’adozione del cloud ibrido - in termini di sicurezza, conformità,
fiducia, problemi di prestazioni; messa in atto di una strategia di trasformazione dei criteri
aziendali che scaturisce in una governance migliore e in una maggiore conformità.
I criteri sono automatizzati in modo incrementale e, attraverso funzionalità definite che pre-
suppongono una configurazione ad hoc da parte del provider di servizi cloud, scaturiscono in
un modello di governance del cloud ibrido, i cui i principali vantaggi includono:
©
Clusit 2021 207
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
• Riduzione del rischio di conformità - L’approccio aziendale alla privacy e alla pro-
tezione dei dati nel cloud è determinato dalla necessità di conformità normativa. La go-
vernance del cloud consente di mantenere la conformità monitorando le configurazioni
cloud rispetto ai requisiti normativi, gestendone le violazioni e applicando regole e con-
trolli. Di fatto, la conformità come “codice/funzionalità” offre un modo rapido ed effica-
ce per convalidare la conformità normativa: grazie alle distribuzioni automatizzate degli
script di test si eliminano i colli di bottiglia di controllo manuali e si garantiscono sia il
feedback sia la risoluzione delle deviazioni di conformità in tempo reale.
• Mitigazione dei rischi per la sicurezza - Il fatto di operare in locale, edge e mul-
ti-cloud amplia, ovviamente, la superficie di attacco. La maggiore esposizione alla sicurez-
za richiede alle aziende di estendere i propri criteri di sicurezza e governance locali all’in-
frastruttura e ai servizi cloud. La governance del cloud fornisce, quindi, la piattaforma per
controllare e monitorare l’osservanza dei criteri e dei controlli di sicurezza, identificare le
lacune e mitigarle prima che diventino minacce.
• Maggiore visibilità digitale e dei dati - È garantita sia l’individuazione dei dati sia
la classificazione dei dati sensibili che risultano strategici per determinare quali risorse
di dati sono disponibili e per stabilire quali criteri e procedure di governance applicare.
Inoltre, è possibile comprendere i profili dei carichi di lavoro che verranno eseguiti nel
cloud, ovvero cosa fanno le applicazioni in termini di: modalità di interazione con gli
utenti, gestione dei dati e della rete, profili di prestazioni e sicurezza.
• Forza lavoro abilitata al cloud - La governance del cloud deve affrontare non solo
la modernizzazione dell’infrastruttura cloud, ma anche il problema di garantire le com-
petenze del personale dell’organizzazione necessarie per la gestione delle funzionalità.
Pertanto, si è in grado di stabilire le lacune in termini di concetti e di esecuzione della
governance del cloud e delle procedure necessarie e, al contempo strutturare i programmi
di formazione necessari in termini di competenze cloud, di acquisizione dei talenti attra-
verso una combinazione di assunzione dei talenti, outsourcing e strumenti di condivisio-
ne delle conoscenze.
208
FOCUS ON 2021 - Continuità aziendale, ripristino di emergenza, resilienza informatica:
il cloud ibrido come leva strategica
Conclusioni
Tradizionalmente, il modo per costruire la resilienza è stato quello di concentrarsi principal-
mente sull’infrastruttura IT e sulla sicurezza.
L’infrastruttura modernizzata sul cloud ibrido consente un approccio a 360 gradi che aiuta
a garantire: la resilienza dell’infrastruttura IT (scalabilità/flessibilità); operazioni aziendali
(soluzioni ad alta disponibilità e ripristino di emergenza); governance (orchestrazione e re-
porting basati su piattaforma); privacy e sicurezza dei dati.
Ricordiamoci che la modernizzazione del cloud non è una destinazione, bensì un viaggio in
divenire. Man mano che si sviluppa l’infrastruttura cloud, anche la governance del cloud e
i piani di risk management, business continuity e cyber security dovranno essere aggiornati
e modificati per garantire la resilienza organizzativa ed operativa secondo un approccio pro-
attivo. Vale anche qui la famosa riflessione di Antoine Lavoisier, secondo la quale: “Nulla si
crea, nulla si distrugge, tutto si trasforma”.
©
Clusit 2021 209
FOCUS ON 2021
Ora che le aziende iniziano a passare dalla digitalizzazione a progetti che abbracciano la
completa trasformazione digitale dei processi di business, ecco che si apre una rara oppor-
tunità per fare in modo che anche la sicurezza e la privacy abbiano un ruolo fondamentale.
È sufficiente leggere i titoli della cronaca riguardanti furti di dati, ransomware e altri inci-
denti provocati dai criminali informatici per farsi quasi venir voglia di tornare ai vecchi pro-
cessi analogici, anche se buona parte delle vulnerabilità sfruttate da questi attacchi è frutto
di una digitalizzazione affrettata di tutti i dati aziendali senza aver prestato la giusta attenzio-
ne alla sicurezza. Successivamente è stato necessario tornare indietro, provando ad inserire
un livello aggiuntivo di sicurezza. Ovviamente con risultati al quanto insoddisfacenti.
Ovviamente siamo estremamente entusiasti che il mondo vada verso la digital transforma-
tion, ma il successo della digital transformation può essere garantito solamente se gli aspetti
legati alla sicurezza vengono integrati fin dalle prime fasi progettuali e successivamente du-
rante tutto il ciclo di sviluppo. Ciò è noto come “secure by design”, in cui una soluzione vie-
ne progettata in modo da prendere in considerazione eventuali criticità legate alla sicurezza.
Se un’azienda sta considerando o attuando una strategia di digital transformation, è fonda-
mentale sottolineare alcuni elementi che contribuiranno a minimizzare i rischi per i suoi
clienti, i suoi dati e la sua reputazione. I tre pilastri di una moderna strategia di sicurezza
sono prevenzione, rilevamento e risposta.
©
Clusit 2021 211
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
che vi possono accedere. I criminali non possono rubare a un’azienda ciò che non possiede.
Questa è una buona pratica, non solo per la conformità GDPR, ma anche perché la sicu-
rezza risulterà più facile assicurandosi che i dati raccolti abbiano una data di scadenza e che
siano solamente quelli effettivamente necessari a fornire beni e servizi.
Oggi il rilevamento non è più un puro processo di riconoscimento degli alert emessi dai tool
di sicurezza e generazione di report che indicano la quantità di minacce bloccate. Si parla
invece di “threat hunting”: professionisti esperti che analizzano le informazioni fornite dai
tool per la sicurezza degli endpoint, dai firewall e da altri sistemi di logging alla ricerca di
anomalie che necessitano ulteriori approfondimenti.
Un alert ricevuto dal tool per la sicurezza degli endpoint non equivale più a un problema
risolto: è invece il punto di avvio di un’analisi per determinare se tale segnale indichi un’at-
tività finalizzata a scavalcare le difese. I threat hunters possono valutare se l’alert sia stato
fatto scattare da un cybercriminale o se possa essere invece tranquillamente ignorato.
Nel 2021 dover rispondere agli attacchi è una procedura standard. Nessuna difesa è im-
penetrabile, e disporre di un piano di risposta agli incidenti (IRP, Incident Response Plan)
e di un team ben addestrato a metterlo in atto è ormai essenziale. Un moderno attacco
ransomware può compromettere un’azienda richiedendo l’attivazione di procedure di emer-
genza.
Per riuscire a contenere, valutare e neutralizzare un attacco, gli incident responders hanno
bisogno di tool capaci di determinare come, quando e dove sia iniziato l’attacco. Gli stru-
menti di XDR (Extended Detection and Response) forniscono una traccia certa dell’acca-
duto che il team può sfruttare per velocizzare il lavoro.
La maggior parte degli attacchi è frutto di attività umana, ed essere in grado di rilevarli e
contrastarli velocemente impedisce spesso il verificarsi di dannosi e costosi risvolti.
Integrando questi elementi fondamentali nella propria strategia di digital transformation,
sarà possibile trovarsi in una stabile posizione per potersi difendere con successo da qualsi-
asi evenienza futura. Combinando l’intelligenza delle macchine con quella umana si ottiene
il meglio di entrambe: l’eliminazione di noiose attività ripetitive da una parte, e la capacità
intellettuale che solo gli esseri umani possono mettere in campo in situazioni critiche.
212
FOCUS ON 2021 - Digital transformation: un’opportunità per affrontare correttamente
la sicurezza fin dalle basi
I perimetri della sicurezza IT sono stati allargati al di fuori dell’ambiente di lavoro fino a
comprendere dagli ambienti home office ai tavoli della cucina di casa dei dipendenti.
I cybercriminali si sono mossi rapidamente per poter sfruttare qualsiasi vulnerabilità o ca-
renza di sicurezza provocate da questo nuovo scenario.
Quasi due terzi (63%) dei team IT italiani intervistati hanno riportato un incremento del
carico di lavoro complessivo nel corso del 2020, mentre il 65% ha registrato un aumento del
workload legato alla cybersicurezza.
Tuttavia non ci sono solo cattive notizie, dato che l’80% dei team IT che hanno dovuto
affrontare un aumento dei carichi di lavoro legati alla sicurezza e l’81% di quelli interessati
da un incremento dei cyberattacchi hanno affermato che questi episodi hanno incentivato
lo sviluppo di competenze nel campo della cybersicurezza.
©
Clusit 2021 213
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Per esempio, molti cybercriminali hanno abbandonato gli attacchi generici automatizzati su
larga scala per passare ad attacchi maggiormente complessi e mirati che prevedono un uso
intensivo di risorse, compreso l’intervento umano alla tastiera. L’esperienza dimostra che
le potenzialità dannose di questi attacchi mirati sono superiori, così come i costi necessari
per ripristinare l’operatività in seguito ad essi. Oltretutto i cybercriminali investono tempo e
energie per implementare tali attacchi, e quindi puntano a ottenere riscatti sostanziosi per
ripagarseli.
Informazioni fornite da un piccolo numero di vittime suggeriscono che solo il 14% delle
aziende italiane sia stato disposto a pagare il riscatto richiesto dagli attaccanti, meno della
metà rispetto alla media globale del 32%. E sebbene più della metà delle vittime sia stata in
grado di recuperare i propri dati dai backup, un’azienda su quattro ha perso informazioni in
modo definitivo. L’Italia presenta infatti la più alta percentuale di intervistati che non hanno
pagato riscatti e che non hanno riottenuto i loro dati (24% contro una media globale del
3%). Ciò potrebbe significare che le aziende italiane siano particolarmente poco disposte
a piegarsi alle imposizioni degli attaccanti anche se questo significa perdere i propri dati.
Il sondaggio annuale svolto da Sophos sul tema del ransomware a livello globale analizza gli
effetti di questa minaccia sempre più devastante su aziende da 100-5.000 dipendenti in 30
Paesi del mondo nei 12 mesi precedenti.
214
FOCUS ON 2021 - Digital transformation: un’opportunità per affrontare correttamente
la sicurezza fin dalle basi
Nel mondo, poco meno di 300 aziende tra quelle che hanno pagato un riscatto ci hanno
dichiarato l’entità del pagamento. I due riscatti più elevati – 2,63 milioni di euro – sono stati
versati da aziende italiane. Le forti somme richieste alle imprese italiane potrebbero spiega-
re il motivo per cui le vittime di ransomware sono considerevolmente più restie a pagare un
riscatto in Italia rispetto agli altri Paesi.
Il costo medio di ripristino successivo a un attacco ransomware in Italia, comprensivo di
voci come fermo operativo, perdita di business ecc., è stato pari a 570.000 euro. Anche
se questa cifra è notevolmente inferiore rispetto al costo medio globale di 1,56 milioni di
euro, si tratta comunque di un deciso aumento rispetto ai 360.000 euro calcolati per l’anno
precedente.
Abbiamo indagato la ragione per la quale le aziende italiane che non sono state ancora col-
pite dal ransomware si aspettano di esserlo in futuro. Il motivo principale (espresso dal 58%
degli intervistati) è semplicemente il fatto che il ransomware è oggi talmente diffuso che è
ormai inevitabile esserne colpiti.
Queste aziende potrebbero tuttavia non essere pronte a gestire le conseguenze una volta
che si verificasse l’eventuale attacco: la ricerca ha scoperto che due aziende italiane su dieci
non possiedono infatti un recovery plan in caso di incidente provocato da malware.
Addirittura, al 14% di esse manca del tutto un piano di business continuity/disaster reco-
very. Si tratta della percentuale più elevata in tutti i 30 Paesi esaminati, e può riflettere un
alto livello di fiducia da parte delle aziende italiane nell’affrontare i cyberattacchi in gene-
rale, ransomware compreso. Solo il 27% ritiene che i cyberattacchi siano divenuti troppo
sofisticati perché il proprio team IT interno possa affrontarli da solo, rispetto a una media
globale del 54%.
©
Clusit 2021 215
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Poco meno di due terzi (63%) degli intervistati si aspetta di allargare le dimensioni del pro-
prio team IT interno nel prossimo biennio, mentre il 43% prevede di aumentare il ricorso
a competenze specializzate in outsourcing. Queste percentuali cresceranno entro il 2026
toccando rispettivamente il 74% e il 56%.
L’ampliamento e il potenziamento delle competenze o delle specializzazioni di questi team
di professionisti della sicurezza costituirà una solida base per poter affrontare cyberminacce
sempre più complesse dirette contro una crescente quantità di aziende, con maggior fre-
quenza e in una moltitudine di modalità differenti.
Fortunatamente ci sono molti strumenti di cui le aziende si possono avvalere per restare al
sicuro e proteggere i propri dipendenti, clienti, partner, operazioni e informazioni dall’im-
patto di un cyberattacco.
Conclusione
Best practice
Alla luce degli elementi emersi sul tema delle cyberminacce e del ransomware in Italia nel
2021, gli esperti raccomandano di seguire queste best practice:
216
FOCUS ON 2021 - Digital transformation: un’opportunità per affrontare correttamente
la sicurezza fin dalle basi
Per approfondire
La Sophos Incident Response Guide aiuta le aziende a definire il framework di un piano
per la risposta agli incidenti di cybersicurezza e si sofferma sui 10 elementi principali che
un programma del genere dovrebbe includere.
(https://secure2.sophos.com/it-it/security-news-trends/whitepapers/gated-wp/incident-
response-guide.aspx)
Per chi deve approntare le proprie difese può essere utile consultare anche Four Key Tips
from Incident Response Experts, che evidenzia le principali lezioni che chiunque dovreb-
be tener presente quando si tratta di rispondere agli incidenti di cybersicurezza.
(https://secure2.sophos.com/it-it/security-news-trends/whitepapers/four-key-tips-from-
incident-response-experts.aspx)
©
Clusit 2021 217
GLOSSARIO
©
Clusit 2021 219
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
220
GLOSSARIO
BYOD Politica che consente l’uso di dispositivi personali anche per fi-
(Bring You Own nalità aziendali.
Device)
©
Clusit 2021 221
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
222
GLOSSARIO
©
Clusit 2021 223
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
224
GLOSSARIO
CSIRT
(Computer Struttura sostanzialmente simile ad un CERT.
Security Incident
Response Team)
©
Clusit 2021 225
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
226
GLOSSARIO
CVV2
(Card Verification Codice di sicurezza utilizzato sulle carte di pagamento.
Value 2)
Dark web Parte oscura del World Wide Web, sottoinsieme del deep web,
accessibile mediante l’uso di apposite applicazioni software.
Deep Fake Algoritmi di deep learning in grado di creare foto o video falsi.
DES
(Data Encryption Algoritmo per la cifratura dei dati a chiave simmetrica.
Standard)
©
Clusit 2021 227
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
DNS Open Sistemi vulnerabili utilizzati come strumento per perpetrare at-
Resolver tacchi informatici di tipo DDOS amplificati.
DNSSEC
(Domain Name Insieme di specifiche per garantire alcuni aspetti di sicurezza
System Security delle informazioni fornite dai DNS.
Extensions)
DDoS Attacchi DOS distribuiti, cioè basati sull’uso di una rete di ap-
(Distributed parati, costituenti in una botnet dai quali parte l’attacco verso
Denial of Service) l’obiettivo.
228
GLOSSARIO
©
Clusit 2021 229
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
230
GLOSSARIO
©
Clusit 2021 231
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Hit & Run Attacchi di breve durata, ma frequenti nell’arco di poche ore.
(o Pulse wave)
232
GLOSSARIO
Kill Switch Termine generico per indicare un dispositivo che serve a blocca-
re in modo forzato un’attività.
IMEI
(International Codice univoco che identifica un terminale mobile
Mobile Equipment
Identity)
©
Clusit 2021 233
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
IMSI
(International Codice univoco internazionale che combina SIM, nazione ed
Mobile Subscriber operatore telefonico.
Identity)
234
GLOSSARIO
©
Clusit 2021 235
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
236
GLOSSARIO
©
Clusit 2021 237
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
238
GLOSSARIO
PIR
(Priority Requisiti informativi che orientano le priorità nella pianificazio-
Intelligence ne delle attività di intelligence.
Requirements)
PHI
(Protected Health Tipo di informazioni sanitarie protette.
Information)
©
Clusit 2021 239
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
QTSP Un prestatore di servizi fiduciari che presta uno o più servizi fidu-
(Qualified Trust ciari qualificati e cui l’organismo di vigilanza assegna la qualifica
Service Provider) di prestatore di servizi fiduciari qualificato.
240
GLOSSARIO
SIEM
(Security Sistema per la raccolta e normalizzazione dei log e per la corre-
information lazione degli eventi finalizzato al monitoraggio della sicurezza.
& event
management)
©
Clusit 2021 241
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
SSDP
(Simple Service Protocollo che consente di scoprire e rendere disponibili automa-
Discovery ticamente i dispositivi di una rete.
Protocol)
242
GLOSSARIO
TAXII
(Trusted
Automated Protocollo che consente lo scambio (in HTTPS) di CTI (cyber
eXchange threat intelligence) descritti mediante STIX.
of Indicator
Information)
Tecniche di
riflessione degli
attacchi La tecnica più diffusa sfrutta host esposti sulla Big Internet
(DRDoS – come riflettori del traffico a loro indirizzato sfruttando le vulne-
Distributed rabilità intrinseche ad alcuni protocolli quali NTP o DNS.
Reflection Denial
of Service)
©
Clusit 2021 243
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
TSP Una persona fisica o giuridica che presta uno o più servizi fi-
(Trust Service duciari, o come prestatore di servizi fiduciari qualificato o come
provider) prestatore di servizi fiduciari non qualificato.
244
GLOSSARIO
VNC
(Virtual Network Strumento di condivisione del desktop da remoto.
Computing)
©
Clusit 2021 245
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
246
Gli autori del Rapporto Clusit 2021
Edizione di ottobre
©
Clusit 2021 247
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
248
GLI AUTORI
©
Clusit 2021 249
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
250
GLI AUTORI
©
Clusit 2021 251
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
252
GLI AUTORI
©
Clusit 2021 253
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
254
GLI AUTORI
©
Clusit 2021 255
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
256
GLI AUTORI
Security Manager certificato secondo lo standard UNI 11506. Tra i fautori del Cyber Secu-
rity Operations Center delle banche dati interforze, per il quale ha concorso all’ideazione e
ne ha guidato la realizzazione, rappresenta la Direzione Centrale Polizia Criminale in vari
consessi, nazionali e internazionali, dedicati alla cybersecurity e alla protezione dei dati.
Svolge attività di docenza presso le scuole della Polizia di Stato e le scuole interforze sui
temi della protezione dei dati personali. Sul lavoro, ama spendere le sue energie migliori nel
costruire il gioco di squadra e nel farne crescere le competenze.
©
Clusit 2021 257
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
258
Il Clusit, nato nel 2000 presso il Dipartimento di Infor-
matica dell’Università degli Studi di Milano, è la più nu-
merosa e autorevole associazione italiana nel campo della
sicurezza informatica. Oggi rappresenta oltre 600 organiz-
zazioni, appartenenti a tutti i settori del Sistema-Paese.
Gli obiettivi
• Diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Ammini-
strazione e i cittadini.
• Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza
informatica, sia a livello nazionale che europeo.
• Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazio-
ne delle diverse figure professionali operanti nel settore della sicurezza.
• Promuovere l’uso di metodologie e tecnologie che consentano di migliorare il livello di
sicurezza delle varie realtà.
Il ruolo istituzionale
In ambito nazionale, Clusit opera in collaborazione con: Presidenza del Consiglio, nume-
rosi ministeri, Banca d’Italia, Polizia Postale e delle Comunicazioni, Arma dei Carabinieri
e Guardia di Finanza, Agenzia per l’Italia Digitale, Autorità Garante per la tutela dei dati
personali, Autorità per le Garanzie nelle Comunicazioni, CERT Nazionale e CERT P.A.,
Università e Centri di Ricerca, Associazioni Professionali e Associazioni dei Consumatori,
Confindustria, Confcommercio e CNA.
I rapporti internazionali
In ambito internazionale, Clusit partecipa a svariate iniziative in collaborazione con: i
CERT, i CLUSI, Università e Centri di Ricerca in oltre 20 paesi, Commissione Europea,
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 259
ENISA (European Union Agency for Network and Information Security), ITU (Interna-
tional Telecommunication Union), OCSE, UNICRI (Agenzia delle Nazioni Unite che si
occupa di criminalità e giustizia penale), le principali Associazioni Professionali del settore
(ASIS, CSA, ISACA, ISC², ISSA, SANS) e le associazioni dei consumatori.
L’edizione 2022
La 14esima edizione del Security Summit parte con una edizione ibrida, parzialmente in
presenza (se possibile) ma in streaming nella sua interezza, che si terrà dal 15 al 17 marzo.
Continuano gli Atelier della Security Summit Academy, che si terranno tutto l’anno.
Continueranno anche gli Eventi Verticali programmati in gennaio (Finance), maggio (Energy
& Utilities), giugno /Health Care) e ottobre (Manufacturing). Tra i temi più in evidenza per
il 2022: Cyber Crime, Sicurezza del e nel Cloud, Intelligenza Artificiale, Supply Chain, IoT,
Industria 4.0., Compliance, GDPR, Certificazioni (professionali, di sistema, di prodotto).
Informazioni
• Agenda e contenuti: info@clusit.it, +39 349 7768 882
• Altre informazioni: info@astrea.pro
• Informazioni per la stampa: press@securitysummit.it
• Sito web: www.securitysummit.it/
• Foto reportage: www.facebook.com/groups/64807913680/photos/?filter=albums
• Video riprese e interviste: www.youtube.com/user/SecuritySummit
In collaborazione con
www.securitysummit.it