Sicurezza

Perché l’Italia è ancora molto indietro sulla cybersicurezza

07 marzo 2022

La guerra in Ucraina rischia di far crescere gli attacchi informatici, già in aumento da tempo, ma le aziende e la Pa non sono preparate

di Rita Plantera

Mentre i criminali informatici sferrano attacchi sempre più sofisticati e difficili da neutralizzare, le aziende italiane restano in una condizione di emergenza continua: non investono abbastanza, o non lo fanno nel modo giusto. La maggior parte delle imprese e degli enti della pubblica amministrazione (Pa) non hanno messo a punto strategie di cybersecurity adeguate, anteponendo logiche emergenziali a investimenti strutturali.

Negli ultimi giorni, questa fragilità, già di per sé preoccupante, è diventata ancora più allarmante con il rischio di attacchi informatici alle infrastrutture principali del nostro Paese che potrebbero innescarsi con la guerra in Ucraina. Il 28 febbraio l’Agenzia per la cybersicurezza nazionale (Acn) ha per esempio diramato la raccomandazione a tutti gli operatori di infrastrutture digitali nazionali di adottare «una postura di massima difesa cibernetica» in relazione all’aggravarsi del conflitto ucraino. Il 14 febbraio la stessa Acn aveva segnalato i rischi a cui sono esposte le imprese italiane in contatto con gli operatori in Ucraina, invitandole a innalzare i livelli di cybersicurezza.

Il pericolo è stato evidenziato il 24 febbraio anche da Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega ai Servizi segreti, in un’audizione al Comitato parlamentare per la sicurezza della Repubblica (Copasir).

I rischi, in numeri

Secondo i dati dell’Osservatorio cybersecurity & data protection della School of Management del Politecnico di Milano, pubblicati il 16 febbraio, nel 2021 in Italia c’è stato un aumento degli attacchi informatici senza precedenti, mentre gli investimenti aziendali sono stati poco più di 1,5 miliardi di euro, in crescita del 13 per cento rispetto al 2020. L’Italia rimane all’ultimo posto tra i Paesi membri del G7 per la spesa nel settore della cybersicurezza, con risorse pari allo 0,08 per cento del Pil. Un primato negativo che evidenzia la mancanza e la difficoltà di approccio verso una «visione olistica e strategica», ha sottolineato l’Osservatorio, nella gestione della cybersicurezza.

Gli attacchi informatici, da sempre l’altra faccia della rivoluzione digitale, hanno registrato un’impennata durante la pandemia causata dalla Covid-19. La diffusione improvvisa del lavoro da remoto, con l’uso di dispositivi personali e reti domestiche, e il boom delle piattaforme di collaborazione, hanno contribuito ad aumentare e diversificare le modalità degli attacchi, attraverso lo sfruttamento di vulnerabilità critiche.

Benché la maggior consapevolezza dei rischi legati ad attacchi cibernetici in periodo di pandemia ha portato le aziende ad innalzare i propri livelli di protezione per garantire la continuità operativa, mancano ancora una piena consapevolezza del rischio e investimenti adeguati per piani strategici di lungo termine.

Secondo i dati dell’Associazione italiana per la sicurezza informatica (Clusit), nei primi sei mesi del 2021 si sono registrati 1.053 incidenti gravi, +15 per cento rispetto al primo semestre 2020. Ben un terzo delle grandi imprese italiane dichiara di aver rilevato un ulteriore aumento degli attacchi informatici nell’ultimo anno, dicono i dati dell’Osservatorio del Politecnico di Milano.

Solo nel 46 per cento delle imprese però la responsabilità della sicurezza informatica è affidata a un chief information security officer (Ciso), ossia a una figura specializzata e competente, che in un terzo dei casi riporta alla direzione IT e ha un team dedicato a supporto nel 78 per cento dei casi.

Rispetto al periodo pre-pandemia, se il numero complessivo di aziende che affrontano la gestione del rischio rimane invariato (38 per cento), diminuiscono di 11 punti percentuali quelle che lo gestiscono in un processo integrato di risk management. E aumentano invece le organizzazioni che lo trattano come un rischio a sé stante all’interno di una singola funzione (49 per cento).

Quanto è esposta l’Italia

Secondo l’associazione di categoria Unindustria, a livello internazionale l’Italia è uno dei Paesi più esposti agli attacchi informatici, per almeno tre ragioni: per l’interesse verso il know-how delle piccole e medie imprese (Pmi); per una consapevolezza inadeguata dei rischi cibernetici; e per la mancanza di attenzione verso il fattore umano che, in questo contesto, rappresenta la causa di più della metà degli incidenti informatici.

Nel già citato avviso del 28 febbraio, l’Acn ha raccomandato di adottare «misure di protezione prioritarie», tra cui l’innalzamento dei livelli di monitoraggio delle infrastrutture It, l’adozione dei piani per la preparazione e gestione di situazioni di crisi cibernetica e, in riferimento al fattore umano, l’esecuzione di «sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging».

Gli effetti della pandemia

Se da un lato la nuova normalità imposta dalla pandemia ha cambiato profondamente il modo di interagire e di lavorare, dall’altro ha anche portato i criminali informatici a un adattamento e a un inasprimento degli attacchi sulla rete, dicono i dati Clusit. Sono aumentati infatti gli attacchi mirati a colpire i siti di grandi aziende e delle Pa, e a conseguenti richieste di riscatto, generalmente in criptovalute.

La pandemia, in particolare, ha offerto un’ulteriore occasione per strutturare attacchi ad ampio spettro, volti a sfruttare per scopi illeciti le vulnerabilità a cui aziende ed enti sono tuttora esposte. Alcune delle più rilevanti infrastrutture sanitarie per la gestione dei dati sanitari sono state oggetto di offensive di cyber-estorsione, attraverso sofisticati ransomware e attacchi più efficaci del tipo “DDoS” (distributed denial of service) per sabotare i siti di grandi aziende e della Pa.

Questi vengono innescati attivando delle botnet, ossia decine di migliaia di dispositivi verso uno specifico target, con l’obiettivo di renderlo indisponibile in poco tempo. Gli effetti di un attacco DDoS possono essere devastanti sia per la potenza che possono esprimere, che per le difficoltà nel poterli neutralizzare in tempi rapidi.

Per avere un’idea della portata basti pensare che il mercato – ovviamente illegale – dei DDoSaaS (DDoS as a service) è cresciuto nel tempo e, secondo le stime Clusit, il costo del servizio si aggira sui 5-10 dollari al mese per botnet in grado di erogare un attacco di 5-10 minuti ad oltre 100 gigabit per secondo.

Tra i settori più esposti ci sono il mondo della finanza e delle assicurazioni, quello dei servizi, e a seguire il mondo della Pa, quindi i service provider e il mondo dei media.

Negli anni si è passati dall’utilizzo di ransomware che si limitavano a cifrare i file di dati o a tentare di cancellare i file di ripristino dei sistemi di backup a quelli più complessi in grado di trasferire i dati sui computer dei criminali informatici, che minacciano così di procedere alla loro diffusione pubblica o metterli all’asta nel dark web.

Cosa dicono i nostri 007

Il 1° marzo è stata pubblicata la relazione annuale del Dipartimento delle informazioni per la sicurezza (Dis), che ha una sezione dedicata proprio al tema degli attacchi informatici. Secondo i servizi di intelligence italiani, il modello di attacco prevalente sarebbe quello del Ransomware-as-a-Service (RaaS), basato sull’interazione tra due soggetti. Detto in parole semplici: da un lato ci sono gli sviluppatori dell’arma digitale e dall’altro lato parti terze, che dopo aver condotto attacchi nei confronti dei target d’interesse, cedono ai primi parte dei guadagni ottenuti illecitamente.

Più in generale, nel corso del 2021 i cyberattacchi hanno riguardato soprattutto le amministrazioni centrali dello Stato (+56 per cento rispetto al 2020), e infrastrutture digitali di enti locali e strutture sanitarie (per un complessivo 30 per cento sul totale).

Tra gli esempi che hanno avuto più rilevanza mediatica nel 2021 e nel 2020 ci sono i cyber attacchi alla Società gestione impianti nucleari (Sogin), alla Società degli autori e degli editori (Siae), con conseguente richiesta di riscatto in bitcoin, quello contro i server della Regione Lazio che ha mandato in tilt la campagna vaccinale, quelli all’Ente nazionale per l’aviazione civile (Enac), all’Ospedale Spallanzani di Roma e all’Università di Tor Vergata, uno dei principali atenei d’Italia. E ancora, tra le aziende, a essere colpite sono state Campari, Geox ed Enel.

Ricapitolando: a essere a rischio di offensive cyber e a presentare vulnerabilità, sono aziende e Pa, dati e infrastrutture di elaborazione e gestione dati.

Le risorse a disposizione

Secondo i dati del Ministero per l’Innovazione tecnologica e la Transizione digitale, ad oggi il 95 per cento dei circa 11 mila data center utilizzati dagli enti pubblici italiani presenta «carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza».

Il 27 per cento delle risorse totali del Piano nazionale di ripresa e resilienza (Pnrr), finanziato con risorse europee per far fronte alla crisi causata dalla pandemia, sono dedicate proprio alla transizione digitale. Più nello specifico, circa 6,7 miliardi di euro sono destinati all’implementazione di reti ultraveloci e altri 6,7 miliardi di euro alla digitalizzazione della Pa. Tra gli obiettivi di “Italia digitale 2026”, il programma delle iniziative per il digitale nel Pnrr, c’è quello di portare circa il 75 per cento delle Pa a utilizzare servizi cloud.

Dato che i processi di digitalizzazione accrescono i rischi cibernetici, per via anche della maggiore interdipendenza tra enti pubblici, aziende controllate dallo Stato e privati, la trasformazione digitale della Pa nei piani del ministero passa anche attraverso misure di rafforzamento delle difese informatiche.

La trasformazione digitale della Pa segue un approccio cloud first, orientato cioè alla migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud. E questo aiuterebbe a razionalizzare e consolidare molti dei data center oggi distribuiti sul territorio, a partire da quelli meno efficienti e sicuri.

Le amministrazioni centrali possono così migrare sul Polo strategico nazionale (Psn), un’infrastruttura cloud completamente privata o ibrida localizzata sul territorio nazionale, oppure migrare sul cloud public di uno tra gli operatori di mercato certificati.

Il 18 gennaio l’Agenzia per la cybersicurezza nazionale e il Dipartimento per la trasformazione digitale hanno pubblicato gli atti che definiscono le modalità per la classificazione dei dati, dei servizi pubblici, e dei requisiti per la qualificazione di fornitori e servizi. Si tratta di un altro passo verso l’attuazione della “Strategia Cloud Italia” per l’implementazione e il controllo di soluzioni cloud nella Pa.

Nel Pnrr la cybersicurezza ricopre un ruolo rilevante, con 623 milioni di euro previsti per investimenti sia negli strumenti tecnologici che nelle strutture operative. Ed è proprio nell’ambito del piano che è stata istituita l’Agenzia per la cybersicurezza nazionale (Acn), a tutela degli interessi nazionali nel campo della cybersicurezza. Gli importi assegnati all’Acn per il 2021 sono pari a 2 milioni di euro, che dal 2022 passeranno a 41 milioni di euro, per poi continuare a crescere fino a raggiungere i 122 milioni di euro nel 2027.

Tutti passi fondamentali a cui l’Italia arriva però con un ritardo significativo e difficile da colmare in tempi brevi, soprattutto a livello di competenze nella popolazione. Nell’Indice di digitalizzazione dell’economia e della società (Desi) 2021, sviluppato dalla Commissione europea, l’Italia si colloca infatti al ventesimo posto fra i 27 Stati membri dell’Unione Europea (Ue), in ritardo rispetto ai principali Paesi dell’Ue in termini di capitale umano e con livelli di competenze digitali di base e avanzate molto bassi rispetto alla media Ue. «Per superare i ritardi e colmare il divario tra l’Italia e gli altri Paesi dell’Ue sono necessari sforzi costanti e un approccio integrato alle politiche in materia di capitale umano, innovazione e competitività delle imprese», ha evidenzia (pag. 4) il rapporto.

AIUTACI A CRESCERE NEL 2024

Siamo indipendenti: non riceviamo denaro da partiti né fondi pubblici dalle autorità italiane. Per questo il contributo di chi ci sostiene è importante. Sostieni il nostro lavoro: riceverai ogni giorno una newsletter con le notizie più importanti sulla politica italiana e avrai accesso a contenuti esclusivi, come le nostre guide sui temi del momento. Il primo mese di prova è gratuito.

Scopri che cosa ottieni

LEGGI LA NOSTRA POLITICA DELLE CORREZIONI

Preview

Newsletter

I Soldi dell’Europa

Il lunedì, ogni due settimane

Il lunedì, le cose da sapere sugli oltre 190 miliardi di euro che l’Unione europea darà all’Italia entro il 2026.

Ultimi articoli

Lavoro

Com’è cambiato il numero dei morti sul lavoro in settant’anni

di Lorenzo Ruffino

Com’è cambiato il numero dei morti sul lavoro in settant’anni
Esteri

Luigi Di Maio davanti alla crisi in Medio Oriente

di Federico Gonzato

Luigi Di Maio davanti alla crisi in Medio Oriente
Elezioni europee 2024

La Rai sta diventando davvero il “megafono” del governo?

di Carlo Canepa

La Rai sta diventando davvero il “megafono” del governo?
Perché il Def di quest’anno sta facendo discutere

di Massimo Taddei

Perché il Def di quest’anno sta facendo discutere