La frequenza degli incidenti nella cybersecurity negli ultimi cinque anni è peggiorata in modo drammatico. È quanto risulta dal rapporto Clusit dell’ottobre 2024, presentato alla decima edizione di Cset Conference, appuntamento annuale sulla cybersecurity organizzato a Genova da Start 4.0 il 12 e 13 novembre (vedi qui ).
Clusit è l’Associazione italiana per la sicurezza informatica.
“Analizzando i dati dell’ultimo quinquennio, dal punto di vista quantitativo – si legge nel rapporto – la situazione è nettamente peggiorata, mostrando una tendenza pressoché costante, tanto che la media mensile di incidenti gravi a livello globale è passata dai 139 del 2019 ai 232 del 2023, fino ai 273 del primo semestre 2024: in pratica, in 5 anni a livello globale siamo passati dal rilevare 4,5 eventi al giorno a classificarne mediamente 9.
Nel 2023 gli incidenti sono aumentati del 11% a livello globale rispetto al 2022 (ma quelli verso l’Italia sono aumentati ben del 65%). La tendenza globale del primo semestre 2024 mostra una ulteriore crescita, molto significativa, pari al 23% rispetto al semestre precedente.
Oltre a osservare una crescita costante della frequenza degli incidenti, anche dal punto di vista qualitativo negli anni la situazione è peggiorata in modo drammatico. La nostra valutazione della Severity media (indice di gravità) degli attacchi rilevati è peggiorata anno dopo anno, il che rappresenta un ulteriore moltiplicatore dei danni. Nel 2023, gli eventi classificati come “critici” o “gravi” rappresentano ormai oltre l’81% del totale (erano il 47% nel 2019), dato che si conferma anche nel primo semestre 2024.
Considerato che questa analisi riguarda solo attacchi andati a buon fine (“incidenti”, cioè attacchi effettivamente avvenuti e confermati) divenuti di dominio pubblico, l’osservazione di queste dinamiche conferma la nostra convinzione che, rispetto al periodo 2011-2018, negli ultimi anni sia avvenuto un cambiamento drastico nello scenario globale della cyber-insicurezza, al quale, visti gli esiti, non è evidentemente corrisposto un incremento sufficiente delle contromisure adottate dai difensori.
Come abbiamo scritto commentando i dati dell’ormai remoto 2021, “siamo di fronte a problematiche che per natura, gravità e dimensione travalicano costantemente i confini dell’ICT e della stessa Cyber Security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica”.
Per quanto numericamente il cybercrime sia responsabile della maggior parte degli incidenti rilevati, dal 2022 a queste dinamiche, si sono aggiunti ii conflitti Russo-Ucraino e quello Israelo-Palestinese, che hanno accelerato il dispiegamento su larga scala di capacità cibernetiche offensive di livello statuale, impiegate dai contendenti, dai loro alleati e in generale da tutti i principali attori globali, a supporto di attività di cyber-intelligence, di cyber-warfare e di operazioni ibride, realizzate sia “tramite” che “contro” il cyberspazio, nonché di attività di supporto ideologico sotto forma di attacchi dimostrativi (principalmente di tipo DDoS) contro obiettivi “ampi” riferibili ai Paesi avversari. Questo fenomeno, oltre a complicare la vita degli analisti, introduce un “cambiamento di fase” importante, con implicazioni molto serie nel medio-lungo termine.
In particolare, Mosca utilizza da tempo cyber operations per realizzare campagne di disinformazione di massa e plasmare la percezione pubblica. Nell’ambito del conflitto in Ucraina i principali obiettivi di queste attività sono minare il governo ucraino e il morale della popolazione, indebolire l’Alleanza Atlantica, influenzare l’esito delle prossime elezioni di vari paesi occidentali, e mantenere il sostegno interno in Russia.
Oltre a queste classiche attività di disinformazione realizzate “tramite” il cyberspazio (in particolare tramite i social media), gli aggressori russi hanno intensificato le loro operazioni cibernetiche “contro” il cyberspazio, prendendo di mira il governo ucraino e i suoi membri, e lanciando attacchi distruttivi a infrastrutture critiche, sia militari che civili.
Infine, le agenzie russe hanno anche “messo a sistema” diversi gruppi cybercriminali, i quali hanno aumentato le proprie attività contro bersagli occidentali, confidando nella benevolenza del proprio governo nel momento in cui colpiscono obiettivi “nemici”. Questa dinamica ricorda le “patenti da corsa” che i corsari ottenevano dai governi europei nel XVII e XVIII secolo e, considerate le capacità di questi gruppi, contribuisce a innalzare i livelli di rischio in modo apprezzabile.
Riassumendo le nostre impressioni sulla situazione attuale, dobbiamo sottolineare che, oltre all’incremento dei danni causato dal cybercrime e dalle “normali” attività di intelligence che osserviamo ormai da molti anni, dal 2022 siamo entrati in una nuova fase di “conflittualità cibernetica diffusa”, che è ulteriormente cresciuta anche nel 2023 e si conferma anche nel primo semestre 2024, anche a causa dell’allargamento del conflitto tra Israele e le milizie islamiche supportate dall’Iran in vari paesi dell’area medio-orientale”.
