Rapporto Clusit 2023: i dati più preoccupati per le PA (e per l’Italia in generale)

Rapporto Clusit 2023: i dati più preoccupati per le Pubbliche Amministrazioni

Il Rapporto Clusit 2023 ha evidenziato come, il 2022, sia stato l’anno peggiore di sempre per l’Italia.

Se non lo sapessi, il CLUSIT è l’Associazione Italiana per la Sicurezza Informatica che rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese.

Tra i vari compiti dell’associazione, c’è proprio quello di pubblicare il rapporto annuale sugli incidenti di sicurezza più significativi avvenuti sia in Italia che nel mondo.

Analizzando il Rapporto Clusit 2023 e confrontando i dati degli ultimi 5 anni (dal 2018 in avanti), è stato possibile constatare quanto la situazione sia man mano peggiorata seguendo un trend pressoché costante.

Non solo per via dell’aumento crescente del numero di attacchi, ma anche per il drastico peggioramento del loro indice di gravità.

La situazione del nostro paese assume dimensioni ancora più preoccupanti se confrontata rispetto al dato globale.

Se nel 2022, infatti, gli attacchi informatici per gli altri paesi sono aumentati mediamente “solo” del 21%…

In Italia hanno fatto registrare una crescita del 169%.

Rapporto Clusit 2023 - Confronto crescita attacchi Italia vs Global 2018-2022

Non solo, gli attacchi sferrati verso l’Italia nel 2022 hanno costituito il 7,6% degli attacchi globali (rispetto al 3,4% del 2021).

Possiamo quindi definitivamente affermare che dallo scorso anno l’Italia è ormai finita “nel mirino” di organizzazioni criminali o in ogni caso degli attacchi informatici più in generale.

A testimoniare questo trend di crescita (negativo), da una ricerca realizzata nel corso del 2022 da parte dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano è emerso che:

  • il 67% delle grandi imprese ha subito un aumento dei tentativi di attacco rispetto all’anno precedente
  • il 14% delle grandi imprese dichiara di aver subito attacchi con conseguenze concrete

E come se non bastasse, sempre l’Italia…

In base all’indice DESI (Digital Economy and Society Index) della Commissione Europea sui 27 Paesi membri dell’Unione Europea, è ventesima per livello di digitalizzazione complessiva.

E’ terzultima per popolazione con competenze digitali almeno di base (42%), contro una media UE del 56%.

E’ quartultima per competenze digitali avanzate (22%), contro una media UE del 31%.

E’ ultima (!) nel continente per quota di laureati in ambito ICT sul totale della popolazione con una laurea (1,3% rispetto a un valore UE del 3,9%).

E in più, sempre secondo lo studio dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano…

Nel 2022 l’Italia ha speso per prodotti e servizi di sicurezza informatica un miliardo e ottocentocinquanta milioni: solo la metà di Germania, Francia, Canada e Giappone e di un terzo di Stati Uniti e Regno Unito.

Report Clusit 2023: Pubbliche Amministrazioni vittime preferite?

Se da una parte può essere interessante sapere che, perlomeno in Italia, gli attacchi di tipo “cybercrime” nel 2022 hanno rappresentato il 93% del totale (oltre ad un 7% di attacchi di tipo “attivismo”, mentre non sono pervenuti attacchi di spionaggio o legati alla “guerra dell’informazione”)…

Dall’altra, è preoccupante constatare che le vittime preferite dagli “attaccanti” sono proprio le Pubbliche Amministrazioni.

Il 20% degli attacchi informatici sferrati in Italia nel 2022 è stato infatti indirizzato verso le organizzazioni di tipo governativo.

Rapporto Clusit 2023 - Vittime in Italia 2022

Sicuramente complice la pandemia, la forte accelerazione verso il digitale ha coinvolto negli ultimi anni anche le Pubbliche Amministrazioni.

Che purtroppo però, in alcuni casi, si sono trovate impreparate a sostenere la crescente pressione degli attacchi informatici.

Mancanza di investimenti (adeguati) da una parte, e scarsità di competenze informatiche (di base) dall’altra…

Hanno favorito la crescita esponenziale degli attacchi informatici, provocando in alcuni casi danni inestimabili.

Blocco dei servizi…

Perdita (e divulgazione) di informazioni riservate e/o dati sensibili…

Perdita della fiducia da parte dei cittadini verso le PA…

Sono solo alcune delle dolorose conseguenze che gli attacchi informatici stanno infliggendo al nostro Paese.

Rapporto Clusit 2023: le principali tecniche di attacco

Il malware, così come nel resto del mondo, la fa da padrone anche in Italia.

Il 53% degli attacchi informatici sono infatti riconducibili a quei “software” dannosi creati appositamente per accedere segretamente ad un dispositivo per disturbarne il regolare funzionamento o sottrarre dati e informazioni custoditi al suo interno.

Rapporto Clusit 2023 - Tecniche di attacco in Italia 2022

Ci può rassicurare sapere (almeno solo in parte) che il dato degli attacchi di tipo phishing e di ingegneria sociale, in Italia, risulta incidere in maniera minore rispetto al resto del mondo (8% sul 12% globale).

Mentre resta preoccupante la percentuale di incidenti basati su vulnerabilità note.

In particolare perchè questa categoria di attacchi potrebbe facilmente scomparire se le organizzazioni si dotassero di efficaci processi di gestione delle vulnerabilità ed effettuassero regolarmente gli aggiornamenti di sicurezza.

Ma il dato forse ancora più preoccupante in assoluto è che, spesso, le Pubbliche Amministrazioni – così come anche la maggior parte delle imprese italiane, indipendentemente dalla loro dimensione – diventano vittime di attacchi NON mirati (almeno non direttamente).

Mi spiego meglio…

In coerenza con quanto avviene anche a livello globale, ogni anno aumenta (del 900%!) il numero di attacchi indirizzati verso “obiettivi multipli”.

Si tratta appunto di attacchi generalizzati, NON mirati, che però continuano a causare (anche in Italia) problemi consistenti.

E, nella maggior parte dei casi, le conseguenze per le vittime non sono correlate alla complessità degli attacchi stessi.

Questo significa che, in Italia soprattutto, continuiamo a subire attacchi informatici più per colpa nostra – e per i forti limiti nella capacità di riconoscere e difenderci da un attacco informatico – che per la “bravura” di chi ci attacca.

Rapporto Clusit 2023: cosa aspettarsi per il futuro?

Ovviamente il futuro non possiamo prevederlo, ed i dati effettivi li scopriremo soltanto tra qualche mese all’interno del prossimo Rapporto Clusit.

Ma se il trend dovesse confermarsi questo (speriamo di no!), è chiaro che continueremo a sentir parlare di attacchi informatici più o meno gravi, servizi digitali temporaneamente fuori uso e perdite di dati.

Per questo motivo, è necessario che le Pubbliche Amministrazioni – anche grazie alle opportunità messe a disposizione dal PNRR – comincino ad investire (seriamente) nella sicurezza informatica e in particolare nella PREVENZIONE di tutti quelle tipologie di attacco ormai note da tempo.

Come ribadito anche all’interno del Rapporto Clusit 2023…

[…] Non è credibile immaginare uno sviluppo consistente della digitalizzazione, che passa attraverso la fiducia in particolare verso le infrastrutture governative, le pubbliche amministrazioni ed i servizi digitali ai cittadini, e allo stesso tempo assistere ad allarmi internazionali per campagne di attacco basate su vulnerabilità per le quali esistono aggiornamenti da oltre un anno! […]

Prevenzione che a mio avviso può passare (anche) attraverso la formazione sulla cybersecurity dei propri dipendenti, che ogni giorno – sia durante la giornata lavorativa che nella vita privata – sono costantemente a rischio di subire un attacco.

Ed è proprio per questo motivo che all’interno del nostro programma di formazione riservato a dipendenti pubblici e RTD abbiamo inserito diversi interventi dedicati alla sicurezza informatica.

Perchè imparare a riconoscere in anticipo e sapere come difendersi da un attacco informatico…

E’ sicuramente meglio che correre ai ripari quando ormai (il più delle volte) è davvero troppo tardi.