lunedì 5 dicembre 2016

I crimini informatici in Italia crescono del 9 per cento rispetto al 2015

La Stampa
luca indemini

Il rapporto CLUSIT segnala un incremento degli attacchi ad aziende italiane. E dal convegno del CSI su cybersecurity e PA emerge la necessità di un costante scambio di informazioni tra pubblico e privato per arginare il fenomeno

«Basta una ricerca veloce: digitando su Google “Viagra e anagrafe”, di solito emergono almeno una decina di siti dei comuni che sono stati bucati», racconta Claudio Telmon del CLUSIT , mentre presenta il rapporto 2016 sulla sicurezza ICT, dell’Associazione Italiana per la Sicurezza Informatica, durante il lunch seminar del CSI “Cybersecurity: evoluzione e nuove sfide per la PA”.

RAPPORTO CLUSIT SUL CYBERCRIME
Nel primo semestre del 2016 il cybercrime cresce del 9% sull’ultimo semestre del 2015; si impennano del 144% gli attacchi nel settore della Sanità; segnano + 129% i Malware e i Ransomware e + 1500% Phishing e Social Engineering. I primi mesi del secondo semestre hanno invece evidenziato un incremento esponenziale degli attacchi DDoS, che hanno segnato una serie di record di intensità: a giugno è stato lanciato un attacco da 360 Gbps contro un’azienda italiana, pochi mesi dopo l’asticella si è alzata a 600 Gbps.

E con il diffondersi dell’Internet of Things, il numero di oggetti insicuri e non aggiornabili è destinato a crescere, facendo così aumentare il numero si oggetti connessi da utilizzare per guidare attacchi a basso costo. Questa è infatti una delle altre tendenze emerse: si riducono gli attacchi complessi e sofisticati. «Perché sviluppare attacchi complicati quando si può entrare in un sistema facilmente, con un semplice messaggio di posta elettronica?», si chiede Claudio Telmon.



Dai numeri del CLUSIT emergono due problemi, che spesso viaggiano a braccetto: da una parte scarsi investimenti in “security”, nella convinzione che gli attacchi capitino agli altri, mentre, come ha sottolineato Riccardo Rossotto, Presidente del CSI: «Il problema non è se succederà, ma quando mi succederà che strumenti avrò adottato per difendermi?». O spostando ancora l’asticella, come evidenziato da Mario Terranova di AgID:

«Il vero problema non è tanto quando succederà, ma quando è successo, considerando che in media passano 8 mesi dall’attacco a quando i diretti interessati se ne rendono conto». Accanto alla componente tecnologica, è altrettanto importante la formazione delle persone e la capacità di avere una visione complessiva del problema, perché, come ha concluso Claudio Telmon, «la sicurezza non è un tema solo IT».

SFIDE PRINCIPALI
Sull’importanza trasversale della sicurezza torna, in apertura della tavola rotonda, Antonio Lioy, professore del Politecnico di Torino, Dipartimento di Automatica e Informatica: «Fino a pochi anni fa l’Unione Europea finanziava progetti verticali sulla cyber security, poi con Horizon 2020 i progetti di cybersecurity sembravano spariti. Semplicemente, perché il tema sicurezza è diventato trasversale: qualunque progetto deve avere una parte di cybersecurity, per essere approvato».

Altro tema sempre più ricorrente quando si affrontano i temi legati alla cybersecurity è quello dell’inquadramento normativo e della cyber insurance: «Attualmente non esistono assicurazioni efficienti contro il cybercrime – sottolinea l’avvocato Giuseppe Vaciago –. Tema complesso, ma che bisogna iniziare ad affrontare».

Sul versante normativo, potrebbe avere impatti interessanti anche sul tema sicurezza, il GDPR – General Data Protection Regulation , regolamento con cui la Commissione europea vuole rafforzare e unificare la protezione dei dati personali all’interno dei confini dell’UE. «Potrebbe rivelarsi una buona scusa per incrementare la sicurezza – ribadisce Vaciago –. Le aziende che adottano misure adeguate, verrebbero sollevate dall’obbligo di notificare e rendere pubblici gli attacchi e i danni subiti, diversamente previsto.

E in settori delicati, come quello bancario, ad esempio, questo potrebbe essere un buon incentivo ad adottare tutte le misure di sicurezza necessarie». Per scoprirne l’efficacia però, dovremo aspettare ancora alcuni mesi: adottato nell’aprile 2016, il regolamento verrà applicato a partire dal 25 maggio 2018. Sul GDPR punta molto anche il professor Lioy: «Il regolamento introdurrà il concetto di privacy by design e di conseguenza la sicurezza dovrà essere integrata nel processo. Non sarà più una scelta successiva, ma come la cintura di sicurezza sulle macchine dovrà essere di serie, poi al massimo uno può scegliere di non usarla».


Un nuovo elemento di sfida la inserisce Stefano Gallo della Città della Salute: «Sarà fondamentale passare alla gestione di servizi esternalizzati standardizzati, attraverso privacy level agreement, che garantiscano rispetto della privacy e sicurezza, non solo nella trasmissione di documenti sensibili come le cartelle cliniche, ma in molti casi già a livello delle apparecchiature, come nel caso di interventi a distanza attraverso la fibra ottica». E in questo caso l’unica risposta possibile è innalzare il livello degli investimenti, perché come rimarca Franco Carcillo della Città di Torino.

«Spesso la gratuità si paga in termini di sicurezza e la prevenzione vuol dire risorse». Risorse da investire non solo in tecnologia, ma anche e soprattutto in persone e formazione. «Alla fine, l’elemento umano ha un peso importantissimo – sottolinea Paola Capozzi, della Polizia Postale –. Le falle nei sistemi, nella maggior parte vanno imputati a errori umani». E le fa eco Terranova di AgID: «In Italia mancano persone competenti, anche perché quelli che formiamo li perdiamo, se ne vanno all’estero dove vengono pagati meglio».

POSSIBILI SOLUZIONI
Una possibile risposta al problema sicurezza, la propone il professor Lioy: «Recentemente a Bruxelles abbiamo proposto un progetto che però non è stato colto dalle aziende italiane, mentre ha convinto Hewlett-Packard e Telefonica, che metteranno sul mercato un prodotto derivante dai nostri studi. Si tratta di un oggetto da frapporre tra il dispositivo utente, qualunque esso sia, e il resto del mondo». Il progetto cerca di definire la sicurezza per conto del singolo individuo e standardizzarla in tutte le situazioni, inserendolo però in un sistema gerarchico di controllo multilivello, perché con le politiche BYOD – Bring Your Own Device, anche l’azienda deve poter stabilire vincoli e limiti di sicurezza, sui dispositivi dei dipendenti. Così come un genitore che paga la connessione del figlio minorenne, deve poter intervenire sul tema security.

Accanto agli strumenti, servono le norme, evidenzia Vaciago: «Non ci sono incentivi per sviluppare sistemi di cybersecurity. È fondamentale definire degli standard e prevedere poi delle forme di incentivo anche economico per le aziende che investono in cybersecurity».

Ma al momento, uno degli elementi centrali nella lotta al cybercrime è la coordinazione. «Serve una rete continua di scambio di informazioni tra pubblico e privato – spiega Paola Capozzi –. È nata in quest’ottica la Polizia Postale: attraverso un’attività di monitoraggio continuo sulle strutture critiche e ricevendo le segnalazioni dei privati, che subiscono attacchi, è possibile intervenire con tempestività, limitare i danni e trovare rimedi e soluzioni efficaci». E sulla stessa lunghezza d’onda la chiusura di Carcillo: «Un Consorzio come il CSI ha proprio questa funzione: mette a fattore comune diverse esperienze, propone regole e standard di controllo omogenei, offrendo una grande opportunità per i consorziati».

E proprio questa esperienza il CSI è pronto a condividerla a livello nazionale, con il Team per la Trasformazione Digitale : «A inizio 2017 abbiamo un incontro con Diego Piacentini per metterci a disposizione, portando la nostra esperienza su temi delicati come quello della sicurezza».
Non è un caso che il Manifesto dei principi tecnologici e operativi del team , reciti al primo punto: Sicurezza e privacy sono i principi più importanti; mai, per nessuna ragione, scenderemo a compromessi.