Clusit 2018, l'”insicurezza” informatica costa 500 miliardi

Sicurezza
Nessun progresso sulle password: ancora troppo banali

Un miliardo le vittime di attacchi informatici nel 2017, per un danno economico complessivo di circa 500 miliardi di dollari. In Italia gli investimenti per la sicurezza sono un decimo dei danni subiti. I dati del rapporto Clusit 2018

Frutto del lavoro di oltre un centinaio di professionisti che operano nell’ambito dell’Associazione per la Sicurezza Informatica in Italia, da sette anni il Rapporto Clusit fornisce il quadro aggiornato ed esaustivo della situazione globale, evidenziando i settori più colpiti, le tipologie e le tecniche d’attacco più frequenti, sulla base degli attacchi di dominio pubblico.

I dati del Rapporto Clusit 2018 presentato oggi a Milano evidenziano un primo dato allarmante che da solo dovrebbe essere sufficiente a favorire un’inversione di rotta. I danni globali causati dal cybercrime superano il valore di 500 miliardi di dollari e sono quintuplicati in sei anni. Significa che, nonostante il riconoscimento del valore della sicurezza per il tessuto economico, si è fatto troppo poco per tutelarla in modo efficace.

Sono state colpite da un danno “cyber” un miliardo di persone nel 2017. Si tratta di cifre che documentano un salto quantico (qualitativo e quantitativo) compiuto dagli attaccanti, ma non da chi si deve difendere, con l’Italia che si distingue ancora per la scarsa attenzione al problema, ancor più perché il tema non sembra aver fatto nemmeno capolino nel dibattito politico alla vigilia delle elezioni.
Clusit nel 2017 ha contato a livello mondiale 1127 attacchi gravi, qualificando così quelli con impatto significativo per le vittime per il danno economico, la reputation e la perdita di dati sensibili, con il 21 percento di questi addirittura di impatto “critico”.

Clusit 2018 – Tipologia e distribuzione delle vittime degli attacchi

Rispetto al 2011, la crescita degli attacchi dal 2011 è di circa il 240 percento, del 7 percento rispetto al 2016, sarebbe però il cambiamento di fase a preoccupare, perché ora gli attacchi pesano nello scenario geopolitico e finanziario, ma anche sui privati, con atti criminali di tipo estorsivo (come accade con i ransomware). Tre i punti cardine evidenziati da Andrea Zapparoli Manzoni, membro del Comitato Direttivo: “Malware, attacchi industrializzati su scala planetaria e definitiva discesa in campo degli Stati come attori delle minacce” . 

Il 76 percento degli attacchi complessivi è stato portato dal cybercrime, quindi con la finalità di sottrarre informazioni e denaro (+14 percento rispetto al 2016): i dati sono il vero tesoro, lo sa chi attacca con finalità di Information warfare (è la guerra delle informazioni in crescita del 24 percento) e chi fa cyber spionaggio (fenomeno in crescita del 46 percento).

Se il danno complessivo è stato quantificato in circa 500 miliardi, allarma comunque anche il valore dei danni per i singoli cittadini, di circa 180 miliardi. Tantopiù contando che sono esclusi dalla valutazione i danni causati dalle attività di Cyber Espionage e le conseguenze sistemiche generate dalle crescenti attività di Information Warfare, i cui impatti sono difficilmente calcolabili. 

Quasi l’80 percento degli attacchi realizzati per finalità di spionaggio e oltre il 70 percento di quelli imputabili all’Information Warfare sono stati classificati di livello “critico”; le attività riconducibili al cybercrime sono state invece caratterizzate prevalentemente da un impatto di tipo “medio”, dovuto presumibilmente alla necessità degli attaccanti di mantenere un profilo relativamente basso, per guadagnare sui “grandi numeri” senza attirare troppa attenzione. Tuttavia preoccupa anche l’approccio Multiple Target per cui nessuna categoria di utenti della rete può più ritenersi escluso dall’essere un obiettivo. 

Il malware è il vettore più frequentemente utilizzato (+95 percento rispetto al 2016, ransomware inclusi). Gli attacchi APT crescono del 6 percento, phishing e social engineering crescono del 34 percento rispetto al 2016. Gli attacchi nel 2017 sono stati portati nel 68 percento dei casi con tecniche banali è un dato che documenta come non si sia per nulla innalzata l’asticella lato sicurezza. 
Lo spaccato italiano evidenzia danni per 10 miliardi di euro, peccato che gli investimenti in sicurezza informatica si fermino al valore complessivo di appena un miliardo di euro. 

Nel Rapporto Clusit 2018 ampio spazio è stato dedicato al tema del GDPR. Vi si trova la normativa “ai blocchi di partenza” e le implicazioni che il GDPR avrà sulle aziende italiane. Sarà inoltre presentata una ricerca internazionale sulla privacy dei dati trattati a fini di marketing nei paesi dell’UE e un contributo specifico sulle segnalazioni dei Data Breach nel contesto della nuova normativa.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore