Italia sotto assedio, è allarme cybersicurezza. Il 2022 ha registrato una escalation di attacchi ed il 2023 è iniziato con un massiccio attacco hacker globale. Ne parliamo con Salvatore Marcis, Head of Channel and Territory Sales di Trend Micro Italia, subito dopo l’evento “Security Barcamp” che ha avuto come focus gli scenari della cybersecurity.
Faccio riferimento ad un recente studio di Trend Micro che si chiama “Defending the exprending attack surface”. L’Italia tra gennaio e novembre 2022 è stato il Paese europeo che è stato maggiormente colpito dai malware. Questo accade perché siamo “semplicemente” più sotto attacco o perché siamo più indifesi rispetto agli altri?
Siamo più attaccati perché siamo anche molto capaci di farci vedere all’estero come Paese.
I brand, le sue peculiarità politiche e di mercato portano l’Italia ad essere vista dall’estero come un bersaglio interessante. C’è poi da dire che la presa di coscienza del problema sicurezza c’è stata: tantissimi Chief Information Security Officer e Ceo oggi lavorano con un occhio molto più attento alla sicurezza. In molte aziende per esempio la figura del Chief Information Security Officer è arrivata finalmente a parlare direttamente con il consiglio di amministrazione: si è capito insomma che il problema della sicurezza non è legato solo al blocco della produzione ma è soprattutto un rischio reputazionale.
Nel 2022 si sono registrati in Italia quasi quasi 13mila attacchi, sia nelle infrastrutture critiche del Paese che nelle aziende. Parliamo di una crescita del 138%. Da questo punto di vista che 2023 ci attende?
Va considerato anche che nel 2022 è scoppiata la guerra in Ucraina: questo ha sicuramente aumentato gli attacchi verso target come pubblica amministrazione ed aziende italiane. Come andrà nel 2023? Sicuramente secondo i nostri dati cambierà il modo di fare attacchi. Per quanto riguarda i ransomware, per esempio, l’attaccante preferirà portare via dati, mantenere un accesso persistente e portare via informazioni che possono essere rivendute a terzi o usate in modo estorsivo. Altra cosa è bloccare la produzione o cifrare le macchine: questo ha attirato molto l’attenzione sia delle agenzie del Governi, coma la nostra Agenzia di Cyber Sicurezza Nazionale, come del resto a livello europeo l’Interpol ed Europol. Si è lavorato per cercare di capire chi ci fosse dietro a questi attacchi. E l’attaccante non vuole avere i riflettori puntati addosso, e magari utilizzare le informazioni che riesce a portar via per monetizzare, ma non più per bloccare una azienda come è stato fatto fino ad oggi.
Vi aspettate quindi anche un cambio della strategia di sicurezza?
Sì, anche perché i clienti oggi sono più resilienti. Oggi il cliente lo ha capito: se ha una buona strategia di sicurezza e riesce a circoscrivere il problema dell’ encryption dei pc o dei dati, o se riesce a recuperare il backup tornando facilmente operativo -magari con un blocco di 24 ore – l’attaccante non monetizza più. Le aziende che non hanno subito un evento del genere cercano di essere più resilienti lavorando sulle tecnologie: chi è stato già vittima di una cifratura lo fa per forza, a maggior ragione.
Quanto sono ancora indietro in Italia privati e Pubblica Amministrazione nella sensibilizzazione su questo problema?
Dipende. Vedo più in difficoltà l’Amministrazione Pubblica locale rispetto all’Amministrazione Centrale -penso per esempio a SOGEI, Agenzia delle Entrate o ai Ministeri-: qui si trova molta più sensibilità sul tema ed anche molti più investimenti. La Pubblica Amministrazione locale invece tarda un pochino: certo ce ne sono di virtuose e meno, ma devono fare i conti con il budget. Su questo tema il PNNR a mio avviso aiuterà molto a fare degli investimenti laddove fino ad oggi non sono stati fatti. Anche per quanto riguarda i privati abbiamo delle differenze: un’azienda con più di mille dipendenti oggi ha sicuramente sempre un focus sulla sicurezza, ha sicuramente creato un team interno che si occupa della parte di security e si appoggia magari a degli integratori capaci di fare dei progetti di sicurezza. Le aziende più piccole invece fanno più fatica: anche in questo caso ci scontriamo con delle problematiche di budget, ma anche di percezione del rischio che una mancata postura di sicurezza che può comportare magari anche il rimandare dell’investimento.
Il governo Draghi ha varato la “strategia nazionale per la cybersicurezza 2022-2026”. Seconde lei esistono delle priorità per vincere questa sfida?
Le priorità a mio avviso devono passare per un censimento dei nostri asset tecnologici e, soprattutto nel pubblico, capire come gestire la proprietà del dato del cittadino. Va sicuramente pensato un piano di priorità: l’imperativo è garantire l’accesso al dato – un fascicolo sanitario, i dati delle tasse – in maniera sicura. Poi ci sarà da capire come destinare i budget perché non vadano dispersi. L’Agenzia di cybersicurezza nazionale in questo ha già iniziato a promuovere progetti e sensibilizzare le Pubbliche Amministrazione a proporre progetti che vadano in questa ottica: bisogna capire come attuare queste indicazioni e come non disperdere le risorse del PNRR o messe a disposizione dal nuovo Governo. Quello che ha fatto partire il Governo Draghi è un’iniziativa interessante che in Italia mancava: c’erano diversi enti che ora sono stati riuniti nell’Agenzia per la Cybersicurezza Nazionale e sono sicuro che svolgeranno un ottimo lavoro.
Nel 2022 l’85% delle aziende italiane ha subito un attacco hacker ma solo 1 su 4 ha avuto una soluzione aziendale: è opportuno quindi fare un risk assessment?
Direi fondamentale. Molte volte non si conosce la propria superficie d’attacco. Noi parliamo tanto di tecnologie avanzate ma uno dei primi punti dove le aziende vengono attaccate è quello delle vulnerabilità non corrette, vulnerabilità del software che non vengono tempestivamente coperte. Questo è un problema che assilla l’Italia.
Parliamo invece di chi gli hacker li combatte
C’è un problema di skill mancanti in Italia. C’è un problema di mancata disponibilità di esperti di cyber security: assumere una persona nel nostro campo è difficilissimo, perché la domanda è tanta e l’offerta poca, le scuole fanno fatica a preparare con percorsi verticali in cyber security. E questo, forse, è l’anello che ci porta ad essere più lenti.
Qualche giorno dopo questa intervista, si è registrato un massiccio attacco hacker globale, che ha colpito anche l’Italia. Da Trend Micro Italia e Salvatore Marcis abbiamo ricevuto questa nota
Casi come questo confermano l’importanza di mantenere la soglia di attenzione sempre molto alta. È prioritario dotarsi di sistemi di protezione adeguati e provvedere costantemente alla manutenzione e all’aggiornamento delle infrastrutture di difesa, per evitare di dover pagare poi pesanti dazi in termini di reputazione, disservizi alla propria clientela e multe per non aver rispettato le normative. Una strategia in questi casi può essere quella di adottare sistemi di virtual patching in grado di proteggere i propri sistemi anche prima del rilascio delle patch ufficiali da parte dei produttori dei sistemi colpiti. Nello specifico, il Team di Trend Micro Research a fronte delle ultime attività riscontrate sulla rete globale, consiglia a tutte le organizzazioni di verificare costantemente eventuali flussi di rete insoliti e di mantenere i sistemi aggiornati alle ultime release e patch. Spesso le attività fraudolenti trovano spazio attraverso lo sfruttamento di vulnerabilità non più recenti ma fatali per applicazioni e infrastrutture critiche.
