Rapporto Clusit 2023, impennata di cyber-attacchi in Italia

Sopra le stime la crescita degli attacchi nei primi 6 mesi del 2023, con 1382 incursioni nel mondo a vittime italiane nel 9,6% del totale e un incremento di attacchi dimostrativi: oltre il 37% degli episodi globali di “Hacktivism” ha colpito organizzazioni del nostro Paese.

Sono i risultati più clamorosi che emergono dall’annuale raccolta di dati registrati e analizzati dai ricercatori del Clusit, associazione italiana per la sicurezza informatica, il cui campione si basa sull’analisi di oltre 17.000 cyber-attacchi noti, andati a buon fine e di particolare gravità (a partire dal 2011), che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali o che comunque prefigurano scenari particolarmente preoccupanti.

Nel corso della presentazione del più recente Rapporto Clusit, lo scorso 9 novembre 2023 alla Security Summit Streaming Edition, il dato è stato accompagnato dalla macroanalisi che ha evidenziato come si tratti del numero di incidenti più elevato di sempre (dalla prima edizione nel 2011), oltre la linea di tendenza previsionale stimata sulla base dell’andamento dell’ultimo quinquennio.

Il primo semestre 2023 segna tuttavia un rallentamento della crescita degli attacchi a livello globale, che si attesta all’11% (era il 21% nel 2022), poco sopra alla tendenza anno su anno registrata negli ultimi 5 anni. In controtendenza, in Italia, nel primo semestre 2023 i ricercatori di Clusit hanno registrato una crescita degli incidenti del 40%, quasi 4 volte superiore al dato globale.

Considerando il periodo che va dal 2018 al primo semestre 2023, a livello globale gli incidenti sono aumentati del 61,5%, mentre in Italia la crescita complessiva raggiunge il 300%. Nel complesso dei 5 anni, 505 attacchi noti di particolare gravità hanno coinvolto realtà italiane, di cui ben 132 (il 26%) si sono verificati nel primo semestre 2023. In questo periodo, nel nostro Paese è andato a segno il 9,6% degli attacchi mondiali. Il picco massimo, del semestre e di sempre, si è registrato ad aprile, con 262 attacchi.

«Se nel contesto delle tensioni internazionali – ha commentato Gabriele Faggioli, presidente di Clusit – e di un conflitto ad alta intensità combattuto ai confini dell’Europa, a fine 2022 anche l’Italia appariva per la prima volta in maniera evidente nel mirino, nel 2023 la tendenza si è decisamente consolidata. Considerato che l’Italia rappresenta il 2% del PIL mondiale e lo 0,7% della popolazione, questo dato fa certamente riflettere».

Gli obiettivi degli attacchi nel mondo e in Italia

L’analisi dei cyber-incidenti noti nel primo semestre 2023 evidenzia la crescita costante di attacchi con finalità di Cybercrime, oltre 1160 a livello globale (erano 2043 nell’intero 2022), pari all’84% del totale. Si assiste inoltre a un picco degli attacchi riconducibili ad azioni di Hactivism (+8%) e a un calo di quelli riconducibili a Espionage/Sabotage e Information Warfare e rappresentano rispettivamente il 6% e il 2%.

Dopo una minima flessione nel 2022, in concomitanza con il raggiungimento dei valori massimi registrati dalle altre tre categorie di attacchi, il Cybercrime riprende dunque il trend di crescita degli anni precedenti, probabilmente a causa dei significativi risvolti economici legati alla sempre maggior diffusione degli attacchi ransomware.

Anche nel nostro Paese la maggioranza degli attacchi noti si riferisce alla categoria Cybercrime (il 69% del totale), con una quota in significativo calo rispetto all’anno precedente (nel 2022 era il 93,1%), anche se in termini assoluti gli attacchi mantengono un tasso di crescita incessante: 91 in Italia nei primi 6 mesi del 2023.

Si attestano nel nostro Paese al 30% gli attacchi classificati come Hacktivism nel primo semestre 2023 (era i 6,9% nel 2022), quota molto superiore rispetto a quella globale: oltre il 37% degli attacchi compiuto a livello mondiale con finalità “Hacktivism” è avvenuto nei confronti di organizzazioni italiane.

Secondo gli autori del Rapporto Clusit, gli attacchi dimostrativi avvenuti ai danni di enti o aziende italiane sono riconducibili alla situazione geopolitica, con particolare riferimento al conflitto in Ucraina e all’azione di gruppi di attivisti che hanno rivolto campagne al nostro Paese, così come verso altri del blocco filo-ucraino.

Chi viene attaccato nel mondo e in Italia

Nel primo semestre dell’anno il 20% degli attacchi globali è stato rivolto ai Multiple Targets: ovvero a bersagli appartenenti a diversi settori, colpiti in contemporanea con l’obiettivo di mietere il maggior numero di vittime possibile.

Seguono Healthcare (con il 14,5% degli attacchi), l’ambito Governativo / Militare / Law Enforcement (con l’11,7%), l’ICT (11,4%), Financial / Insurance (10,5%) ed Education (7,1%).

Guardando alla distribuzione delle vittime nel nostro Paese, nel semestre il maggior numero di attacchi è stato rivolto a organizzazioni “Government” (23%) e “Manufacturing” (17%). Da segnalare che gli incidenti rivolti quest’ultimo comparto rilevati in Italia rappresentano il 34% del totale degli attacchi censiti verso il Manufacturing a livello globale.

«L’accelerazione verso il digitale – ha commentato ancora Faggioli – forte dell’impulso dato dalla pandemia, ha coinvolto mai come in questi ultimi tre anni le PMI italiane, che da questi dati risultano evidentemente impreparate a sostenere la crescente pressione dei cyber-attacchi». Non è qui superfluo ricordare che le PMI non possono godere delle risorse economiche e professionali adeguate delle grandi imprese.

Il settore Financial / Insurance ha registrato il maggior incremento di incidenti gravi nel nostro Paese, con il 9% di attacchi (era 3,7% nel 2022): in quest’ambito il numero di attacchi nei primi 6 mesi dell’anno ha superato il totale degli attacchi avvenuti in tutto il 2022.

Al contrario, il posizionamento del settore Healthcare nel novero delle vittime in Italia si mantiene costante e, in controtendenza con il dato globale (dove il mondo della sanità mantiene saldamente il triste primato del settore specifico più colpito), nel nostro Paese da qualche tempo se n’è fermata la crescita. Tuttavia, in valore assoluto, all’aumentare del numero complessivo degli attacchi nel primo semestre 2023, anche questo settore in Italia risulta più colpito che in passato, con un +33% anno su anno.

Dove colpiscono i cyber-criminali

L’America nel suo complesso ritorna a essere la zona geografica più colpita, con il 46,5% degli attacchi.

L’Europa resta teatro di oltre un quinto delle violazioni globali nei primi sei mesi del 2023, così come nel 2022.

Diminuiscono invece nettamente gli attacchi verso vittime in località multiple (–5 punti percentuali), segnale della preferenza dei cyber-criminali verso azioni più mirate, secondo gli esperti di Clusit.

Le tecniche d’attacco

Nel primo semestre 2023 oltre il 35% degli attacchi è andato a buon fine per l’utilizzo di Malware, in leggera flessione rispetto al 2022.

Le tecniche sconosciute (categoria Unknown) sono al secondo posto con il 21%. Gli esperti lo spiegano evidenziando che oltre un quinto degli attacchi diventano di dominio pubblico per un data breach, nel qual caso le normative impongono d’inviare una notifica che non comprende necessariamente una descrizione precisa delle modalità dell’attacco.

Quasi il 17% degli attacchi nel mondo nel primo semestre 2023 è stato compiuto sfruttando le Vulnerabilità, in crescita di 4,8 punti percentuali rispetto al 2022e Phishing / Social Engineering, in diminuzione di 3,4 punti.

In concomitanza con l’aumento di attività riferibili ad Hacktivism e Information Warfare, gli attacchi DDoS (pur pochi in valori assoluti) sono cresciuti di 3,8 punti percentuali; quelli realizzati tramite “Identity Theft / Account Hacking” dello 0,3%.

Il Malware, insieme al Ransomware, continua a rappresentare la principale tecnica di attacco utilizzata dai criminali anche in Italia (31%), ma in modo molto meno consistente rispetto al 2022 (53%) e di 4 punti percentuali inferiore al dato globale.

«Per la prima volta da quando è esploso il fenomeno del ransomware – ha notato Paolo Giudice, segretario generale di Clusit – assistiamo a un cambiamento rilevante nelle modalità e nelle finalità perseguite dagli attaccanti, che evidentemente riescono a ottenere con maggiore efficacia i loro scopi utilizzando tecniche diverse».

Sono invece i DDoS a registrare una notevole crescita nel nostro Paese, passando dal 4% del 2022 al 30% del primo semestre 2023, quota 5 volte superiore. L’incidenza di questi attacchi in Italia è estremamente più elevata rispetto a quella nel campione complessivo, che si ferma al 7,9%: le vittime italiane hanno subito un numero maggiore di attacchi DDoS, tanto da registrare circa il 37% del totale di questi eventi nel campione globale.

Gli attacchi DDoS, che mirano a rendere inaccessibile e/o inutilizzabile un servizio online sovraccaricandone le risorse, sono una delle tecniche più utilizzate dagli hacktivist per raggiungere i loro obiettivi. Nel panorama italiano è quindi evidente la correlazione tra l’aumento di attacchi con questa tecnica e la crescita della quota di incidenti riconducibile alla tipologia Hacktivism, con cui è possibile interrompere le attività di un’azienda o un’istituzione, attirando l’attenzione mediatica su una causa socio-politica, esercitando così pressione sulla vittima e mettendone in luce la scarsa capacità di difesa.

In aumento anche il dato degli attacchi di tipo Phishing e Ingegneria Sociale, che in Italia risulta incidere di più rispetto al resto del mondo (14% contro l’8,6% globale): «Questa crescita – ha confermato Giudice – è indice di una forte necessità di sensibilizzazione e aumento della consapevolezza rispetto alle minacce cyber da parte degli utenti che hanno quotidianamente a che fare con i sistemi informatici».

La “Severity” degli attacchi

Anche nel primo semestre 2023 gli attacchi con impatti gravi o gravissimi – ovvero con ripercussioni tecnologiche, economiche, legali e reputazionali – sono stati la stragrande maggioranza, arrivando al 78,5% (erano l’80% nel 2022).

Gli incidenti con impatti medi sono solo un quinto, mentre sono quasi del tutto scomparsi quelli con impatti bassi.

«Dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano nel suo rapporto “Cybersecurity: Verso un fronte comune” di febbraio 2023 come Italia investiamo sempre di più in cybersecurity, sebbene non ancora abbastanza, ma subiamo anche più danni», ha ribadito Gabriele Faggioli. «È il sintomo che dovremmo rivalutare gli investimenti, della conoscenza, delle risorse e dei costi cyber in un’ottica di economia di scala».

La gravità degli attacchi è stata inoltre analizzata dai ricercatori di Clusit in relazione alla tipologia di attaccanti. Il Cybercrime, nel primo semestre 2023 ha avuto impatti gravi nel 40% dei casi; gli attacchi perpetrati con finalità di spionaggio o cyber-warfare mostrano impatti critici che arrivano quasi all’80% dei casi, in decisa crescita rispetto al 2022.

La categoria Governativa / Militare è quella che subisce attacchi di gravità maggiore; in crescita anche l’impatto degli attacchi nel settore Healthcare, che resta un bersaglio conveniente sia per attacchi a sfondo economico che per arrecare danni ai servizi fondamentali della società.

In termini di Severity, il quadro italiano nei primi 6 mesi del 2023 appare più roseo rispetto al dato globale, con un numero minore di attacchi con severità massima: gli incidenti di tipo “Critical” si fermano al 20% (contro il 40% globale), mentre la quota maggiore di attacchi fa riferimento a una severity “High” (48% in Italia, 38% globale) e “Medium” (30% in Italia, 21% globale). Completa il quadro un 2% di incidenti con criticità bassa.

Questo a conferma dell’incremento degli attacchi “di disturbo” in Italia, con Severity limitata, che riescono però sempre più spesso ad andare a buon fine. «Questo dato è coerente con la crescita dell’Hacktivism e degli attacchi di tipo DDoS, che hanno tipicamente queste caratteristiche. Si tratta comunque di attacchi che possono causare danni economici per le vittime che li subiscono, oltre che avere un effetto rilevante in termini di reputazione, essendo spesso messi in atto con scopo dimostrativo», ha concluso Paolo Giudice.

L’intero Rapporto Clusit si è disponibile a questo link.