In un contesto caratterizzato da un “considerevole incremento della minaccia cyber”, nel 2023 lo Csirt (Computer security response team Italia) dell’Agenzia per la cybersicurezza nazionale ha trattato 1.411 eventi, quasi 4 al giorno, uno ogni 6 ore ma soprattutto il 29% in più rispetto ai 1.094 dell’anno precedente; 303 quelli classificati come "incidenti con impatto confermato", il 140,5% in più, e 3.302 i soggetti target, il 187,1% in più.
La Relazione annuale al Parlamento dall’Acn fa emergere uno scenario allarmante. Dal dossier - 121 pagine e sette sezioni ricche di numeri e analisi - emerge un sensibile aumento delle segnalazioni indirizzate all’Agenzia (349 a fronte delle 81 dell’anno precedente, +330,9%) mentre sono cresciute anche le richieste di informazioni (+10,8%). Monitorati 3.624 asset a rischio (+374,3%), 56 attori ransomware e 265 hacktivisti: 584 i tentativi di phishing segnalati alle vittime. Sempre nel 2023 sono stati 3.302 i soggetti italiani target di eventi cyber individuati dal Csirt, a frontedei 1.150 del 2022.
Il loro aumento – spiega il rapporto - è “da ascrivere all’incremento delle capacità di monitoraggio dell’Acn, che permettono ora di individuare, oltre agli asset potenzialmente compromessi, anche quelli potenzialmente vulnerabili”. A tutto ciò si accompagnano le attività di allertamento svolte dall’Agenzia effettuate per segnalare eventuali compromissioni o fattori di rischio ai soggetti monitorati. Ciò sia tramite il portale pubblico, sia attraverso il portale di collaboration ad accesso riservato, dove, in particolare, gli alert e i bollettini sono quasi raddoppiati (+89,5%). Ognuno degli eventi cyber può essere stato associato a una o più tipologie: ad esempio, un evento di phishing spesso è finalizzato anche alla diffusione di un malware, che può essere a sua volta un evento di tipo ransomware. Le tipologie di attacco più frequenti sono DDos (319 casi), malware tramite e-mail (275), phishing (240), ransomware (165), brand abuse (159) e altri.
Per quanto riguarda i settori di attività dei soggetti target, prevalgono le telecomunicazioni e la pubblica amministrazione, sia a livello locale che centrale. Per interpretare correttamente il dato, è bene sottolineare che ciascun evento può essere associato a uno o più settori di attività: telecomunicazioni (216), pubblica amministrazione centrale (201), pubblica amministrazione locale (140), trasporti (115), servizi finanziari (81), tecnologico (75), energia (68), università e ricerca (41), sanitario (40) e altri.
Anche nel 2023, il ransomware si è confermato la cyber minaccia “maggiormente significativa, soprattutto alla luce dell’impatto che ha avuto a livello nazionale”: 165 gli eventi diretti verso operatori privati e pubblica amministrazione, con un incremento del 27% rispetto al 2022. Ed è “da ritenere che il dato rappresenti solo una parte del numero complessivo di attacchi ransomware effettivamente avvenuti, tenuto conto che le vittime, spesso sprovviste di know-how e strutture interne dedicate – in particolare le piccole e medie imprese– talvolta non segnalano l’evento”.
Potrebbe interessarti
Leggi di più su Tecnologia e scienza
L’Agenzia per la cybersicurezza osserve come anche nel caso dei ransomware, nella grande maggioranza dei casi (84%) le vittime appartengano al settore privato: circa il 23% degli eventi di questo tipo ha interessato grandi imprese, mentre in oltre il 75% dei casi sono state coinvolte piccole (46,3%) e medie imprese (30,6%).
Classificando le vittime in base ai settori di attività economica, emerge come quello manifatturiero sia stato il più colpito, in continuità con il 2022, seguito, quest’anno, dalla vendita al dettaglio e dai settori sanitario e tecnologico. Da un punto di vista geografico, le zone più interessate dal fenomeno corrispondono alle aree metropolitane di Roma e Milano e ai distretti industriali del Nord-Ovest e Nord-Est: il che si spiega presumibilmente con la maggiore presenza, in tali zone, di imprese operanti nel settore manifatturiero.
Con riferimento ai 'threat actor', nel 2023 gli attacchi sono stati principalmente condotti da 20 diversi gruppi, tra i quali i più attivi sono risultati LockBit 3.0, LockBit (come già nel 2022) e NoEscape. Nel 2023 l’Italia è risultata il terzo Paese dell’Unione europea più colpito da ransomware, mentre a livello globale è stato il sesto Paese più colpito.
L'anno scorso, l’Agenzia ha gestito 422 eventi cyber ai danni di istituzioni pubbliche nazionali, in sensibile aumento (+163%) rispetto ai 160 dell’anno precedente. Di questi eventi, 85 sono stati classificati come incidenti (nel 2022 furono 57), procurando nella maggior parte dei casi il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti nell’erogazione dei servizi.
Considerando la frequenza e l’impatto - una media di oltre un incidente a settimana - delle diverse tipologie di eventi, emerge come l’anno scorso sia stato il DDoS il fenomeno più frequente nei confronti delle istituzioni pubbliche, seguito dallo sfruttamento di vulnerabilità e dal phishing. Si registra, quindi, un parziale cambiamento di rotta rispetto al 2022, quando la minaccia preponderante nella pubblica amministrazione fu di tipo ransomware, seguita dal DDoS.
Tra i compiti attribuiti dalla legge all’Agenzia rientra il supporto alle vittime di incidenti di sicurezza cibernetica. Nei casi più complessi esso può avvenire tramite l’intervento di un team di specialisti (Deployable digital forensic incident response). Nel corso del 2023 il personale specialistico dell’Acn è intervenuto in loco in 13 diversi casi, mentre in 31 casi ha fornito supporto da remoto affiancando i target nell’eradicazione della minaccia e nel ripristino delle condizioni di sicurezza con interventi della durata anche di diverse settimane.
(uday con Agi)