Manufatturiero, tecnologie, retail e sanità. Sono i settori più a rischio di attacco informatico. Lo afferma la Relazione Annuale al Parlamento dell’Agenzia Nazionale per la Cybersicurezza che nel 2022 ha registrato a livello globale un deciso aumento di attività malevole ai danni di settori governativi e infrastrutture critiche. L’Italia è tra i Paesi più a rischio per il numero di attacchi malware e altri di varo tipo con il CSIRT Italia, Computer Emergency Response Team, che l’anno scorso “ha trattato 1.094 eventi cyber. Di questi 126 hanno avuto un impatto confermato dalla vittima“.

L’aumento delle attività malevole ai danni di settori governativi e infrastrutture critiche è stato acuito dai riflessi della crisi ucraina.

Malware per gli ospedali

Malware tramite email (517), brand abuse (204), phishing (203), ransomware (130), sfruttamento di vulnerabilità (126), information disclosure (103), sfruttamento vulnerabilità verso web server (87), scansioni (74), esposizione di dati (67), tentativi di intrusione tramite credenziali (64), DDoS (44), smishing (41), gli attacchi più diffusi. Le Amministrazioni Centrali dello Stato sono state colpite in prevalenza da DDoS, mentre Settore Sanitario, Comuni e Regioni sono oggetto principalmente di ransomware.

Le principali criticità evidenziate nei sistemi di difesa comprendono le errate politiche di sicurezza e gestione delle credenziali di accesso. Più in particolare “la presenza di credenziali pubblicamente esposte, talvolta oggetto di precedenti data breach o dovuta alla presenza di infrastrutture già compromesse in precedenza da altri attaccanti e per le quali non sono state effettuate attività di mitigazione; ad essa si aggiunge l’assenza di utilizzo di meccanismi di autenticazione forte (ad esempio, multifattore) per l’accesso ai servizi”.

A questo si aggiunge la mancata cifratura delle password e l’obsolescenza di sistemi e dispositivi utilizzati che non riguarda soltanto prodotti IT, ma anche OT (Operational Technology, per il monitoraggio e il controllo dei processi industriali) e specifiche apparecchiature di settore, per le quali i produttori non forniscono più il servizio di assistenza e manutenzione. In alcuni casi è mancata la conformità a best practice di settore, che rendono di fatto vulnerabili anche infrastrutture moderne.

Entrando nel dettaglio si parla di:

  • assenza di policy di gestione e profilazione degli account utente (per esempio, la gestione dei privilegi amministrativi, che permettono il pieno controllo dell’infrastruttura, risulta spesso carente);
  • mancato aggiornamento dei sistemi;
  • design architetturale non sicuro (si riscontra frequentemente l’assenza di soluzioni di segregazione a livello di rete);
  • procedure interne carenti rispetto a gestione, manutenzione e implementazione dei servizi (nella maggior parte dei casi gli attacchi avvengono sfruttando vulnerabilità nei sistemi già note e non corrette denotando forti carenze per gli aspetti di patch management);
  • mancata conservazione dei log; assenza di procedure e piani per la mitigazione e la risposta agli incidenti.

Alle due precedenti criticità si aggiungono la carenza di know-how e la scarsa formazione, rilevate anche in presenza di adeguate architetture di sicurezza, da imputarsi principalmente alla mancanza di investimenti relativi alla formazione del personale tecnico e all’impossibilità di reperire, all’interno dell’organizzazione, figure con capacità adeguate alla gestione dei sistemi”.

82 misure per la difesa

Una situazione difficile alla quale si cerca di fare fronte con l’implementazione della Strategia Nazionale di Cybersicurezza 2022-2026, un documento di indirizzo fatto di 82 misure per sostenere il potenziamento della sicurezza informatica del sistema Paese. L’Agenzia ha poi sviluppato una serie di azioni come l’esercitazione che si è svolta in giugno e che ha visto il coinvolgimento, a livello europeo dei CSIRT, altre organizzazioni e in Italia dei Ministeri dell’Interno, Difesa e Salute nonché di altri attori istituzionali e operatori del settore sanitario di tre Regioni. Tutti gli attori si sono potuti confrontare in uno scenario in cui venivano simulati attacchi cyber su vasta scala ai danni di operatori del settore sanitario, analizzando gli incidenti e i malware simulati, e testando l’attivazione di EU CyCLONE e la rete degli CSIRT europei.

È stato poi varato il decreto legge 27 gennaio 2022, n. 4, misure urgenti in materia di sostegno alle imprese e agli operatori economici, di lavoro, salute e servizi territoriali, connesse all’emergenza da Covid-19, nonché per il contenimento degli effetti degli aumenti dei prezzi nel settore elettrico, dove all’articolo 21, in materia di fascicolo sanitario elettronico e governo della sanità digitale, si prevede che, al fine di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale, il ministero della Salute, d’intesa con la struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la transizione digitale, assicurando l’adeguatezza delle infrastrutture tecnologiche e la sicurezza cibernetica in raccordo con l’ACN, curi la realizzazione dell’Ecosistema Dati Sanitari (EDS).

Altre attività hanno visto la gestione di quattro avvisi pubblici che hanno determinato l’avvio delle iniziative mirate al potenziamento di 129 progettualità rivolte a 51 pubbliche amministrazioni, di cui 16 centrali e 35 locali. Sono state inoltre realizzate 67 misure per determinare i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali e garantire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud. L’Agenzia ha lanciato anche il Cyber Innovation Network, una rete di collaborazioni per lo sviluppo di programmi congiunti nel settore della cybersicurezza. Ma, soprattutto, ha definito un programma di azioni sinergiche tra ricerca, start-up e alta imprenditoria al fine di sostenere l’innovazione, il rafforzamento tecnologico e industriale del sistema Paese con la stesura di un’Agenda di ricerca e innovazione (R&I) e altre iniziative di collaborazione nazionali ed europee in ambito ricerca sulla cybersecurity.