luigi_gavazzi
Sicurezza

Cyber crimine, le nuove minacce e come difendersi

Dati sensibili rubati, ricatti digitali, le sfide dell'industria 4.0. In cifre, le inedite praterie battute dai pirati informatici e cosa fare per bloccarli

Un attacco perenne, asfissiante, oltremodo aggressivo. Un assedio costante a scuole, atenei, ospedali, governo, istituzioni locali, imprese. Nessuno è immune, qualsiasi ente pubblico o privato connesso a internet è un bersaglio per i cyber criminali, che cercano di entrare nei computer altrui per catturare informazioni preziose rivendibili sui mercati neri virtuali. O trasformabili in armi di ricatto contro i loro legittimi proprietari, minacciandoli di cancellarle per sempre se non pagano la cifra richiesta.

Una storia vecchia

Non è una novità, a crescere è l’intensità, a moltiplicarsi la frequenza: secondo il rapporto Clusit 2017 compilato dall’Associazione italiana per la sicurezza informatica, in dodici mesi alcune tipologie d’intrusioni hanno fatto registrare incrementi vicini al 1.200 per cento. A pagina 5 del rapporto, senza nessun giro di parole, si legge: «Stiamo vivendo dentro uno scenario da incubo».

I nuovi numeri del fenomeno

Un incubo quantificabile: considerando un campione rappresentativo di 25 società tricolore, si scopre che da gennaio a giugno di quest’anno sono arrivate a subire quasi 3,4 milioni di tentativi di login fallito. Uno tsunami di combinazioni sbagliate di username e password digitate da chi provava a introdursi in account non suoi. Oltre 400 mila i casi di phishing, di mail ingannatrici che rimandavano a siti contraffatti utili solo a fare razzia di dati; 162 mila le scansioni dall’esterno delle infrastrutture aziendali a caccia di falle, di vulnerabilità da sfruttare a proprio vantaggio. Non esiste margine di tregua: l’ingenuità minima è punita.

L’osservatorio Yarix

Ecco, in sintesi, le conclusioni di una ricerca esclusiva che Panorama è in grado di anticipare. A condurla è stata Yarix, cyber division di Var Group, tra le principali realtà italiane nel settore Ict. Eccellenza di Montebelluna, nel trevigiano, con sede anche a Tel Aviv, Yarix ha più di 15 anni d’esperienza e gestisce un Soc, un Security operation center, un centro operativo 24 ore su 24 ben allenato a sorvegliare su tali minacce. «A bloccare campagne dalle conseguenze altrimenti disastrose, a evitare che le imprese finiscano paralizzate senza riuscire a ripartire. Difendersi è ormai una priorità, un valore imprescindibile» sottolinea il ceo di Yarix Mirko Gatto durante un incontro organizzato a Roma assieme ad Allea, agenzia di consulenza strategica di comunicazione e relazioni pubbliche e istituzionali.

Mirko-Gatto

Mirko Gatto, ceo di Yarix – Credits: Yarix

Ragionare per difendersi

L’idea, ambiziosa quanto centrata, è creare un «think tank» per la cyber security, un pensatoio, un tavolo comune per ragionare di questi temi con i protagonisti del mondo dell’università, dell’industria, delle realtà internazionali attive su scala locale. «Divulgando il più possibile all’esterno quanto sia elevato il livello del rischio per aumentare il grado di consapevolezza generale, evidenziando la necessità indifferibile della prevenzione» ragiona Alessandro Beulcke, presidente di Allea.

L’Italia sotto scacco

Ne va della tenuta del made in Italy, della sua unicità. Yarix stessa ha calcolato che il 38 per cento delle informazioni sensibili rubate proviene dal settore della moda, roccaforte della creatività, dello stile, della redditività tricolore. Ben più colpita delle banche (22 per cento), vittime di solito privilegiate perché custodi di valore immediatamente misurabile e monetizzabile, della galassia dei motori (18 per cento), del cibo (12 per cento), della farmaceutica (10 per cento). Il complesso della proprietà intellettuale che ci distingue nel mercato globale poggia dunque su un terreno friabile. Esporla a chi vuole appropriarsene è un lusso impensabile, anche perché gli scudi classici zoppicano, le sanzioni non disincentivano: «Il crimine informatico lavora con i tempi istantanei della rete. La giustizia tradizionale è lenta, cartacea» fa notare Francesco Teodonno, security unit leader di IBM. «Non si arriva lontano» aggiunge «senza una cultura della protezione».

Manager illuminati, dipendenti molto meno

Cultura che invoca uniformità, rinforzi a tutti livelli, non solo a quelli apicali: «Le grandi aziende internazionali» rileva Fabio Lorenzo, director cyber security di PwC Advisory «premiano con un bonus i top manager che sanno tutelare dagli attacchi le loro società. Inizia a succedere anche in Italia. Ma l’anello debole della catena continua a rimanere l’elemento umano». Quello che, per esempio, scivola su un caso clamoroso, un test d’ingenuità condotto da un colosso americano non svelabile (per ovvi motivi di credibilità) tra i suoi dipendenti. A tutti loro è stato inviato un messaggio di posta dall’oggetto imperativo: «Non aprire la mail. Contiene un virus». Più del 60 per cento l’ha visualizzata comunque, oltre il 50 per cento ha cliccato sull’allegato malevolo o supposto tale. Un disastro. A descriverlo è Alessandro Monforte, regional sales manager cyber security cloud di Cisco Italia. «L’elemento psicologico, il ruolo delle persone» dice «ha un peso specifico. È il rischio numero uno». Da qui si ripropone l’obbligo di un’infrastruttura impermeabile. O, scenario più verosimile, in grado di tamponare con rattoppi tempestivi qualsiasi falla.

Questione di percezione

All’incontro era presente anche Cristiano Tito, health and public service security portfolio lead per i mercati Italia, Europa Centrale e Grecia di Accenture. La società di consulenza ha condotto uno studio su 2 mila dirigenti in 15 Paesi: il 70 per cento di loro si è detto certo che la lotta al crimine informatico sia un pilastro radicato nella cultura aziendale. Magari, dopo una rapida verifica dell’atteggiamento dei propri dipendenti, quella robusta maggioranza potrebbe correggere al ribasso tanto ottimismo.

I rischi futuri

E fin qui ci si è limitati alle minacce consuete. Conosciute. Le prossime si agganciano al boom dell’industria 4.0, che secondo il Politecnico di Milano già nel 2016 valeva 1,7 miliardi di euro lungo lo Stivale: nuovi oggetti dentro la rete, dalle grandi macchine nelle fabbriche ai piccoli sensori negli uffici. Circa 20 miliardi di cose connesse entro il 2020: sterminate opportunità d’intrusione, un’inedita golosa frontiera per i banditi di bit. «La società digitale in cui siamo immersi» nota Marco Mayer, docente di conflict & peacebuilding all’università Luiss di Roma «si presenta come una realtà ricca di nuove opportunità, ma certamente molto fragile e vulnerabile, in cui si moltiplicano i rischi per la sicurezza individuale e collettiva». Lo Stato avrebbe il compito di mantenere l’integrità di questa sicurezza, ma fa i conti con i suoi limiti: in Gazzetta Ufficiale, è vero, a fine maggio è stato pubblicato il «Piano nazionale per la protezione cibernetica» che ordina e sistematizza gli interventi, ma la legge di stabilità 2016 ha stanziato 150 milioni di euro per realizzarli. «In Inghilterra» ricorda Mirko Gatto «hanno investito un miliardo di euro. Noi vogliamo andare in guerra con la baionetta».

Poliziotti digitali cercasi

Da qui ritorna l’esigenza dell’educazione, a livello aziendale, certo, ma ancora prima: «Mancano le risorse e le menti per rafforzare a dovere il nostro Paese. In Sapienza opera il più grande centro nazionale su questa tematica e abbiamo pochi studenti l’anno» osserva Roberto Baldoni, direttore del Centro di ricerca in cyber intelligence and information security all’università di Roma La Sapienza e direttore del Cini, il laboratorio nazionale di cyber security. Eppure, l’incentivo logico che potrebbe spingere ad ampliare in maniera spontanea questa base è piuttosto evidente: la domanda di talenti è maggiore della loro offerta. I settori pubblico e privato hanno sempre più bisogno di cervelli preparati alla difesa perché il crimine informatico si sta consolidando. L’unico effetto collaterale tollerabile della sua avanzata dovrebbe coincidere con una sforbiciata alla disoccupazione giovanile.    

Per saperne di più

© Riproduzione Riservata

Leggi anche

Commenti