AGI – In un contesto caratterizzato da un “considerevole incremento della minaccia cyber”, nel 2023 lo Csirt (Computer security response team Italia) dell’Agenzia per la cybersicurezza nazionale ha trattato 1.411 eventi, quasi 4 al giorno, uno ogni 6 ore ma soprattutto il 29% in piu’ rispetto ai 1.094 dell’anno precedente; 303 quelli classificati come “incidenti con impatto confermato”, il 140,5% in piu’, e 3.302 i soggetti target, il 187,1% in piu’. E’ uno scenario allarmante quello disegnato nella Relazione annuale al Parlamento dall’Acn. Dal dossier – 121 pagine e sette sezioni ricche di numeri e analisi – emerge un sensibile aumento delle segnalazioni indirizzate all’Agenzia (349 a fronte delle 81 dell’anno precedente, +330,9%) mentre sono cresciute anche le richieste di informazioni (+10,8%). Monitorati 3.624 asset a rischio (+374,3%), 56 attori ransomware e 265 hacktivisti: 584 i tentativi di phishing segnalati alle vittime. Sempre nel 2023 sono stati 3.302 i soggetti italiani target di eventi cyber individuati dal Csirt, a fronte dei 1.150 del 2022: il loro aumento – spiega il rapporto – e’ “da ascrivere all’incremento delle capacita’ di monitoraggio dell’Acn, che permettono ora di individuare, oltre agli asset potenzialmente compromessi, anche quelli potenzialmente vulnerabili”. A tutto cio’ si accompagnano le attivita’ di allertamento svolte dall’Agenzia effettuate per segnalare eventuali compromissioni o fattori di rischio ai soggetti monitorati. Cio’ sia tramite il portale pubblico, sia attraverso il portale di collaboration ad accesso riservato, dove, in particolare, gli alert e i bollettini sono quasi raddoppiati (+89,5%).
Ognuno degli eventi cyber puo’ essere stato associato a una o piu’ tipologie: ad esempio, un evento di phishing spesso e’ finalizzato anche alla diffusione di un malware, che puo’ essere a sua volta un evento di tipo ransomware. Le tipologie di attacco piu’ frequenti sono DDos (319 casi), malware tramite e-mail (275), phishing (240), ransomware (165), brand abuse (159) e altri. Per quanto riguarda i settori di attivita’ dei soggetti target, prevalgono le telecomunicazioni e la pubblica amministrazione, sia a livello locale che centrale. Per interpretare correttamente il dato, e’ bene sottolineare che ciascun evento puo’ essere associato a uno o piu’ settori di attivita’: telecomunicazioni (216), pubblica amministrazione centrale (201), pubblica amministrazione locale (140), trasporti (115), servizi finanziari (81), tecnologico (75), energia (68), universita’ e ricerca (41), sanitario (40) e altri.
E come “per larga parte delle nazioni occidentali, anche per l’Italia il 2023 e’ stato un anno di pesanti e diversificate aggressioni alla sicurezza cyber, che spesso hanno proceduto in parallelo ai conflitti in corso in Ucraina e in Medio Oriente”. Acn ribadisce che “lo spostamento delle nostre vite nel cyberspazio, soprattutto dopo il massiccio ricorso allo spazio virtuale durante la pandemia, ha accresciuto la pericolosita’ degli attori ostili, e in piu’ occasioni ha messo a rischio la possibilita’ per i cittadini di fruire di servizi essenziali, ‘in primis’ quelli sanitari”. In uno scenario di questo tipo, “porre in sicurezza gli interessi nazionali nel campo cyber richiede capacita’ tecniche e strategiche elevate, che fronteggino l’uso sempre piu’ devastante della tecnologia da parte sia di entita’ statali o parastatali che hanno interessi contrapposti ai nostri, sia di bande criminali o di singoli hacker”.
“L’acutizzarsi delle tensioni geopolitiche, relative sia al perdurare della guerra tra Russia e Ucraina sia al mutamento degli equilibri in Medio Oriente a seguito degli attentati di Hamas ai danni di Israele, hanno visto l’ascesa di un fenomeno cyber prima di allora estremamente poco significativo: il cyber attivismo“. L’Agenzia per la cybersicurezza nazionale spiega come con tale denominazione si faccia riferimento a “gruppi che hanno lo scopo di sostenere la causa di una delle parti in conflitto attraverso azioni cyber malevole con impatti chiaramente visibili, rivendicati successivamente dal gruppo stesso”.
Si tratta principalmente di eventi di tipo DDoS a danno di siti web di pubbliche amministrazioni e imprese e, in numero esiguo (24 eventi), di tipo ‘defacement’, ossia intrusioni informatiche che consistono nel modificare pagine di siti web – in genere obsoleti e poco protetti -, sostituendole con un messaggio di rivendicazione, di apologia e simili. Proprio a causa del cyber attivismo legato ai conflitti in corso, si e’ avuto un significativo aumento degli eventi DDoS: nel 2023 ne sono stati rilevati 319, il 625% in piu’ rispetto al 2022. La maggior parte degli eventi (248) e’ stata rivendicata da collettivi filorussi, mentre un gruppo filopalestinese ha condotto una singola campagna con 15 attacchi DDoS. I restanti eventi DDoS, “non essendo stati rivendicati, non possono essere associati a specifiche compagini o ricondotti ai conflitti in atto”. Dal monitoraggio delle piattaforme utilizzate dagli attaccanti per le rivendicazioni degli eventi DDoS, e’ stato rilevato che l’Italia e’ il sesto Paese al mondo piu’ interessato da questi eventi e il terzo tra i Paesi Ue.
Nel 2023, l’Agenzia per la cybersicurezza nazionale ha gestito 422 eventi cyber ai danni di istituzioni pubbliche nazionali, in sensibile aumento (+163%) rispetto ai 160 dell’anno precedente. Di questi eventi, 85 sono stati classificati come incidenti (nel 2022 furono 57), procurando nella maggior parte dei casi il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti nell’erogazione dei servizi. Lo rileva la Relazione annuale dell’Agenzia, presentata stamane: considerando la frequenza e l’impatto – una media di oltre un incidente a settimana – delle diverse tipologie di eventi, emerge come l’anno scorso sia stato il DDoS il fenomeno piu’ frequente nei confronti delle istituzioni pubbliche, seguito dallo sfruttamento di vulnerabilita’ e dal phishing. Si registra, quindi, un parziale cambiamento di rotta rispetto al 2022, quando la minaccia preponderante nella pubblica amministrazione fu di tipo ransomware, seguita dal DDoS. Tra i compiti attribuiti dalla legge all’Agenzia rientra il supporto alle vittime di incidenti di sicurezza cibernetica. Nei casi piu’ complessi esso puo’ avvenire tramite l’intervento di un team di specialisti (Deployable digital forensic incident response). Nel corso del 2023 il personale specialistico dell’Acn e’ intervenuto in loco in 13 diversi casi, mentre in 31 casi ha fornito supporto da remoto affiancando i target nell’eradicazione della minaccia e nel ripristino delle condizioni di sicurezza con interventi della durata anche di diverse settimane.
