01 Ott Cybersicurezza oggi: aggiornamenti e strategie di difesa da Clusit
Anna Vaccarelli
Comitato Direttivo
Clusit, Associazione Italiana per la Sicurezza Informatica
In occasione del Mese europeo della Sicurezza Informatica, MyBank ha realizzato un’intervista esclusiva ad Anna Vaccarelli del Comitato Direttivo Clusit, l’Associazione Italiana per la Sicurezza Informatica.
Scopri i preziosi aggiornamenti e i consigli per difenderti dalle insidie digitali oggi, come cittadino e come azienda.
A proposito del nostro guest:
Anna Vaccarelli
Dirigente Tecnologo del Consiglio Nazionale delle Ricerche e responsabile delle Relazioni esterne, media, comunicazione e marketing del Registro.it, gestito dall’Istituto di Informatica e Telematica del Cnr, fino al 30 settembre 2024. Dal 2010 al 2024 ha coordinato e promosso un’azione di diffusione della cultura di internet nelle scuole, con laboratori dalle primarie alle secondarie di secondo grado attraverso la Ludoteca del Registro .it. È tra gli ideatori di Internet Festival e coordinatore del Comitato Esecutivo del Festival. Fa parte del Comitato Direttivo di Women for Security dal 2020 e del Comitato direttivo del Clusit dal 2022. È stata docente in corsi di Cybersecurity, responsabile scientifico di progetti nazionali e internazionali, coautore di oltre 100 pubblicazioni scientifiche e tecniche.
Quali sono attualmente i principali rischi di cybersicurezza che cittadini e aziende in Italia e in Europa si trovano ad affrontare, e quali tendenze ha osservato nell’ultimo anno?
Il Rapporto Clusit 2024 restituisce una fotografia relativa alla situazione della cybersicurezza nel 2023 nettamente peggiorativa rispetto ai dodici mesi precedenti, descrivendo una curva degli attacchi in crescita che registra un +12% sul 2022. Nell’81% dei casi la gravità degli attacchi è stata elevata o critica, secondo la scala di “severity” utilizzata dai ricercatori di Clusit che si basa sulla tipologia di attacco e sugli impatti.
Il nostro Paese, in particolare, appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è infatti andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per una crescita del 65% rispetto al 2022. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
Anche dai report di Enisa e Polizia delle Comunicazioni non emergono dati confortanti: risultano infatti in aumento costante gli attacchi ransomware verso le organizzazioni. Questi vengono “avviati” generalmente attraverso mail di phishing indirizzate ai dipendenti: il phishing è un altro tipo di attacco che si mantiene a livelli considerevoli. Infine, si nota un aumento degli attacchi Distributed Denial of Service (Ddos), attacchi tipicamente dimostrativi e legati all’attivismo, a causa della guerra in Ucraina e Medio Oriente.
Gli attacchi ransomware risultano, per i cybercriminali, particolarmente attraenti perché consentono una doppia estorsione: per sbloccare i sistemi e per rilasciare i dati rubati. Le tecniche si stanno molto affinando e gli attacchi ransomware vengono venduti come servizio nel Dark web (Ransomware As a Service – RaaS). Questa possibilità dà accesso a questo tipo di attacchi anche a persone tecnicamente meno esperte, abbassando la soglia di ingresso delle competenze nello scenario del cybercrime. Questa modalità è economicamente molto vantaggiosa per chi vende questi servizi perché guadagna sulla vendita del servizio e prende una percentuale sul riscatto ottenuto dal loro “cliente”.
Un altro aspetto da considerare in questo fiorire di attacchi è l’avvento dell’Intelligenza Artificiale (IA), in grado di potenziare gli strumenti a disposizione di cybercriminali nella ricerca delle vulnerabilità, nella creazione di malware e nella formulazione delle email di phishing, più difficili da riconoscere perché, scritte con l’IA, non contengono più gli errori grammaticali che potevano mettere in allarme gli utenti. D’altra parte, l’IA può essere un valido supporto anche per la difesa e sarebbe auspicabile che al più presto organizzazioni e istituzioni la sfruttassero al massimo.
In che modo le aziende possono implementare strategie preventive efficaci per proteggersi dagli attacchi informatici, e quali sono gli errori più comuni che commettono?
Il primo punto è: essere organizzati e tenersi pronti! Questo vuol dire agire su due piani:
- quello delle strategie e pianificazione della difesa
- quello tecnologico, degli strumenti e delle contromisure tecniche.
Le aziende devono pianificare le azioni da compiere in caso di attacco in modo da ridurre al massimo i tempi di risposta: ognuno deve sapere cosa fare e quando, anche il singolo utente e questo piano va preparato con calma in “tempi di pace”. Cosa fare sarà più chiaro se saranno state fatte delle simulazioni di attacco (così come si fanno le prove di evacuazione antincendio).
Sul piano tecnico bisogna attivare tutte le contromisure necessarie: i firewall, i sistemi antintrusione, il monitoraggio delle reti e degli endpoint, il backup regolare, il controllo della sicurezza della supply chain. Questo ultimo punto è particolarmente importante e sensibile: spessissimo gli attacchi arrivano dalla catena dei fornitori, non sufficientemente protetti al loro interno, ma con accesso alla rete e ai sistemi aziendali.
Nel 60% dei casi i fornitori neanche si accorgono di aver fatto da “ponte” per un attacco. Questa considerazione ci dà l’occasione per riflettere sul “perimetro”: oggi non si parla più di perimetro di attacco ma di superficie di attacco. La rete non è più solo quella fisica, da proteggere con il “muro di cinta” del firewall, ma è fatta dal cloud, dai dispositivi mobili, anche personali, dai dispositivi smart connessi alla rete.
E qui arriviamo al punto più importante per la prevenzione e la difesa: la formazione degli utenti, qualunque sia la loro funzione all’interno dell’azienda: i vertici non possono e non devono essere esenti dalla formazione. Il 95% degli attacchi viene realizzato grazie a un errore umano, qualcuno che ha cliccato un link in una email di phishing o qualche a cui viene inviato un messaggio falso con la voce di un suo superiore ricostruita con l’IA. Bisogna quindi lavorare molto sulla consapevolezza degli utenti: la segretezza e la robustezza delle password e il loro aggiornamento, la (non) condivisione degli account, l’attenzione agli allegati e alle email sospette e così via.
Un particolare risalto va dato all’importanza dei backup: è fondamentale che siano sempre aggiornati, che siano possibilmente tre, di cui due in due posti diversi e un terzo staccato dalla rete. Avere disponibile un backup consente il ripristino in tempi rapidi ed evita il pagamento di un riscatto. Oggi la prima azione che fanno gli attaccanti, una volta entrati nella rete, è cercare i backup per renderli inutilizzabili e avere maggiori garanzie di riscuotere il riscatto.
Che consigli dare ai cittadini per prevenire il furto di dati personali, anche ma non solo nell’ambito delle comunicazioni online e dei social media?
Le raccomandazioni di base sono di usare password robuste, cambiarle frequentemente, usare la doppia autenticazione ovunque sia possibile, cioè la combinazione di due elementi (dual factor authentication): per esempio la password e un codice temporaneo da usare una sola volta (OTP, one time password) inviato su un cellulare o su una email già “certificata”.
È buona norma evitare di inviare dati personali e credenziali su reti non protette, tipicamente quelle free degli aeroporti, degli alberghi ecc., perché potrebbero essere facilmente intercettati. Naturalmente anche dettare la password al telefono in un ambiente con persone intorno è altamente sconsigliabile, ma bisogna anche fare attenzione a che qualcuno non la legga (per esempio dalle nostre spalle) mentre la digitiamo sul dispositivo.
Per quanto riguarda i social network, la raccomandazione è di non fidarsi di post che ci invitano a cliccare da qualche parte o scaricare qualche immagine o video perché spesso sono truffe e i file che scarichiamo contengono malware. In genere cercano di convincerci con la prospettiva di vincite o di notizie strabilianti o di cure portentose e miracolose. Serve un po’ di senso critico e imparare a non fidarsi ciecamente di ogni informazione e notizia pubblicata, così come (generalmente) siamo abituati a fare nella vita “reale”.
Quali misure aggiuntive possono essere adottate per garantire pagamenti sicuri online e quale ruolo possono svolgere le soluzioni di pagamento account-to-account come MyBank in questo contesto?
Oggi le banche e i sistemi di pagamento proteggono le transazioni inviandole su canali sicuri, generalmente cifrati e con accesso con autenticazione a due fattori, in modo da accertarsi dell’identità del cliente ed evitare i cosiddetti attacchi “man in the middle”, in cui il cybercriminale intercetta lo scambio di informazioni e dirotta l’operazione finanziaria a proprio favore.
In particolare, i metodi di pagamento account-to-account (A2A) consentono di effettuare i pagamenti senza dover inserire i dati della carta di credito o l’iban, evitando il rischio che possano essere intercettati da un malintenzionato. Si tratta di bonifici irrevocabili che assicurano la certezza immediata dell’accredito al ricevente, eliminando i tempi di attesa associati ad altre modalità di pagamento.
Quali tendenze future nella cybersicurezza ritiene possano influenzare il settore dei pagamenti online, e quali strategie dovrebbero adottare cittadini e aziende per affrontare efficacemente queste nuove sfide?
I pagamenti digitali sono in continua crescita in molti Paesi: non solo i Mobile Payment (tramite smartphone) ma anche tramite oggetti indossabili (p.es. smartwatch) e altri oggetti connessi alla rete, nello scenario di Internet delle Cose. Se da un lato questo consente alcuni vantaggi, tra cui la facilità di pagamento, la velocità e una maggiore tracciabilità, dall’altra ci espone a maggiori rischi.
È necessario che gli utenti usino autenticazione forte, operino sotto reti sicure, evitino di conferire i loro dati a soggetti che si fingono fidati e non lo sono (per esempio tramite email di phishing).
D’altra parte, anche le banche e i sistemi di pagamento devono monitorare più attentamente possibile le transazioni, cogliendo le “anomalie” attraverso sistemi di monitoraggio. Alcune di queste contromisure possono essere rafforzate dall’uso dell’Intelligenza artificiale, soprattutto nello svolgimento del monitoraggio.
1 Oct 2024