Sicurezza

Rapporto CLUSIT 2017: WhatsApp finisce nel mirino del Phishing

Al Security Summit di Roma cade anche il mito dell’hacker idealista: “Ormai solo cyber criminali senza scrupoli”

Parafrasando la celebre affermazione di Massimo d’Azeglio: “L’Italia è fatta, gli italiani sono ancora da farsi”, si potrebbe dire che “la Cybersecurity Awareness è fatta, ora bisogna che gli italiani facciano sistematicamente la Cybersecurity”.

Sembra essere questo il richiamo sintetizzato nell’ultima edizione romana del Security Summit 2017 organizzata dal CLUSIT, associazione italiana per la sicurezza informatica. Da molto tempo gli esperti del CLUSIT (primo rapporto nel 2011) e non solo loro, ammoniscono sulla minaccia e sulle conseguenze di un’impreparazione, ma quest’anno la risonanza degli attacchi Wannacry, e la persistenza di notizie continue su nuovi attacchi e nuovi danni a singoli ed imprese, sta forse praticando quella “breccia” culturale tanto auspicata dalla community di sicurezza: la cybersecurity non è un tema da tecnici, ma un elemento imprescindibile per il comparto business e per il mondo dei privati.

Il rapporto Clusit

Divulgato ogni anno con dimensioni sempre crescenti, il rapporto fotografa la situazione mondiale della minaccia informatica con un focus specifico sull’Italia. In ogni edizione i focus sono cresciuti secondo le caratteristiche della minaccia stessa. Quest’anno sono state previste sezioni specifiche al comparto Finance, alla PA, alla sanità e ad alcuni dei trend che hanno caratterizzato il 2016: ransomware, private e hybrid cloud, il cyber risk management, il tema dei captatori informatici e del voto elettronico.

L’analisi è effettuata sulla base di informazioni raccolte su fonti aperte, in modalità Open Source Intelligence (OSINT) e questo comporta che alcune tipologie di attacchi non siano presenti, ma quindi evidenzia anche un percentuale potenzialmente significativa di attacchi non censiti. Ricordiamo in proposito che la denuncia di data breaches è già un obbligo dato dal regolamento GDPR (ambito Privacy) e sarà ulteriormente obbligata al momento della piena adozione e attuazione della NIS sul territorio nazionale (ambito security) ma naturalmente la divulgazione di queste notizie sulla stampa non sarà una conseguenza immediata, quindi nonostante le denunce alcuni attacchi potrebbero non diventare noti al pubblico.

 

Il Phishing minaccia WhatsApp

Nel rapporto, gli istogrammi rappresentativi delle incidenze e le classificazioni delle diverse minacce si mantengono su livelli da allarme rosso anche se dal 2014 sono cambiati i criteri di classificazione per evitare fenomeni di “fuori scala”. “Fra i trend caratterizzanti”, spiega Andrea Zapparoli Manzoni (esperto CLUSIT), “si nota lo spostamento del Phishing dalla mail alle piattaforme di Instant messagging come WhatsApp dove non è possibile adottare tecnologie antispam e un cambiamento dell’antropologia dell’attaccante, non più legato all’hacker incappucciato dei film americani, ma sempre più vero criminale che nemmeno conosce le tecnologie, ma le compra e usa solo per fare soldi, tanto che il cybercrime è cresciuto drammaticamente in ogni ambito (finance, health, retail, PA…)”.

Parte di questa situazione, sottolinea l’esperto, risiede nella mancanza di quel “trust” che ha caratterizzato gli albori della rete internet e dei suoi protocolli, nati per comunicare liberamente ma non per essere intrinsecamente sicuri. Oggi inoltre le big tech hanno popolato la rete di servizi e piattaforme per fini ludici e consumer, aumentando traffico e interazioni ma ancora una volta senza intervenire sulla sicurezza. “La condvisione furibonda e compulsiva rende i buoni sostanzialmente dei social-rimbambiti e i cattivi ne approfittano”. Allora bisogna capire chi sono veramente gli attaccanti (criminalità organizzata vera e propria) e come passare dalla IT-Security alla Cybersecurity. È necessario individuare quali risorse servano e quali perimetri difendere, cambiando la visione del rischio dalla sicurezza di rete, alla sicurezza dei dati e della loro RID (Riservatezza, Integrità e Confidenzialità).

Cambiare il passo e l’approccio

La necessità di una maggiore pragmaticità operativa e di un passaggio dalle tante parole ai fatti concreti è anche il consiglio di Alessio Pennasilico (esperto CLUSIT), che sottolinea come la sicurezza oggi debba partire dal ripensamento dell’organizzazione e dei suoi processi , in modo che la sicurezza informatica non sia più “un mondo a parte dei tecnici”, ma che sia una delle componenti fondamentali da considerare per la tutela dell’azienda, della sua stessa competitività e sopravvivenza sul mercato (tema recentemente sottolineato anche da Confindustria e da Unindustria).

Il peso dell’opinione di un CISO (Chief Information Security Officer) ad un tavolo di crisi aziendale, dovrebbe essere lo stesso di un CFO (Chief Financial Officer) o di altre figure apicali di struttura. Ancora oggi si pensa troppo alla compliance di facciata, come le certificazioni di sicurezza, o l’adeguamento al GDPR e in futuro alla NIS, ma sono pochi quelli che realizzano veramente la sicurezza informatica in modo sistematico nella propria realtà imprenditoriale. Sta iniziando una maggiore interazione multidisciplinare fra le strutture diverse dell’azienda, che si interpellano per considerare tutte le componenti (sicurezza, finanza, risorse umane, legal, Comunicazione, marketing) di un problema che si riversa sul business. Ma come per tutti gli altri rischi il cyber risk deve smettere di essere un rischio tecnologico e deve diventare un rischio d’impresa e aziendale gestito come tutti gli altri.

Dal suo punto di vista privilegiato di divulgatore Clusit, che lo porta a girare tutta l’Italia nelle diverse regioni dove il rapporto viene presentato, Alessio Pennasillico assiste a contesti socioeconomici diversi che naturalmente possono richiedere una implementazione della cybersecurity con specificità diverse: la costellazione di imprese manifatturiere tipiche del nord est ha esigenze diverse dalle entità di Roma che sovrintendono alle infrastrutture critiche nazionali, o dalle banche e società finanziarie e FinTech che sono proprie dell’hinterland milanese. Diverse realtà che dovrebbero però avere in comune la stessa visione unitaria. Secondo il suo parere, tutto ciò si realizza con una declinazione Top down della strategia e del piano nazionale Cyber e con una componente bottom down derivante dalle singole aziende.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti potrebbe interessare anche

“Bisogna investire nella formazione in Cybersecurity per ridurre i rischi”. L’allarme di Clusit

“Solo lo 0,05% del Pil italiano speso per sicurezza informatica”

2016, impennata dei crimini informatici in Italia, lo dice Clusit nell’ultimo rapporto

Cybercrime: phishing, ransomware, DDoS, l’Italia nella morsa del crimine informatico

Dai banchi di scuola al pitch. I finalisti del progetto “A Scuola di Startup” a DigithON 2017

Il progetto realizzato da AuLab ha coinvolto per il terzo anno consecutivo studenti delle scuole secondarie superiori. Il team vincitore sarà premiato dal Gruppo Giovani Imprenditori di Confindustria Bari e Bat. Abbiamo intervistato Davide Neve, CEO di AuLab

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito