Nel primo semestre del 2023 gli attacchi cyber andati a segno in Italia sono cresciuti del 40% rispetto allo stesso periodo dell’anno precedente. Uno scenario particolarmente negativo, già emerso nel 2022, ma che trova conferma anche in questa prima metà dell’anno. Osservando la situazione dal punto di vista quantitativo, negli ultimi 5 anni la situazione è nettamente peggiorata, seguendo un trend pressoché costante. Confrontando il numero di attacchi rilevati nel primo semestre 2018 con quelli del 2023 la crescita è stata dell’86% (da 745 a 1.382). Nello stesso periodo la media mensile di attacchi gravi è passata da 124 a 230 (quasi 8 al giorno). Oltre a essere aumentata la frequenza, sono aumentati anche gli impatti e la stima della loro “Severity” (indice di gravità) è cresciuta costantemente, il che rappresenta un ulteriore moltiplicatore dei danni. Questo è quanto emerge dall’ultimo Rapporto Clusit 2023.
Lo scenario della cybersecurity nel 2024
Ora, però, si sta per concludere il 2023, come sarà andata questa seconda parte dell’anno? Ma soprattutto, come si evolverà lo scenario in ambito cybersecurity nel 2024?
Sicuramente è necessario partire da un tassello fondamentale che non dovrà mancare: la prevenzione. Moltissime organizzazioni sono a rischio ogni giorno e investire nella cybersecurity, sia a livello individuale che aziendale, è vitale perché consente di contrastare degli attacchi che, in mancanza dei giusti strumenti, sarebbero portati a termine. Gli attacchi informatici riusciti, infatti, possono causare danni importanti alle aziende: non parliamo solo di perdite finanziarie significative ma anche di discontinuità del business, danni reputazionali, danni per i clienti i cui dati sono stati diffusi nel darkweb, e persino danni alla salute delle persone in certi settori.
I cyberattacchi nel settore industriale, sicuramente, continueranno ad aumentare alimentati, tra l’altro, dai conflitti internazionali; per cui organizzazioni e governi si troveranno a gestire una situazione molto complessa. Tutto questo, dato anche dal fatto che i team di sicurezza si trovano ad affrontare una pressione crescente dovuta dalla carenza di professionisti nel settore della cybersecurity, a livello globale.
Guardando al futuro, ecco quali sono le nostre previsioni in ambito cybersecurity, ovvero le principali sfide di sicurezza che accompagneranno il nuovo anno.
Sistemi OT: un ruolo sempre più centrale
Negli ultimi anni, i sistemi OT hanno subito una significativa evoluzione. Le applicazioni, i protocolli e i firmware dei dispositivi OT non sono stati progettati sin dall’inizio per essere connessi e quindi per garantire sicurezza e integrità dei dati, trascurando così sistemi di autenticazione e cifratura del traffico, funzionalità che sono arrivate solo negli ultimi anni. Purtroppo, però il ciclo di vita di questi dispositivi è spesso di decine di anni, per cui troviamo nelle nostre reti apparati obsoleti senza protezione e molto difficili da gestire dal punto di vista della sicurezza – il tutto senza citare le difficoltà organizzative, di governance e di processo.
La sfera OT è, infatti, ancora percepita come marginale all’interno delle organizzazioni, ma il prossimo anno vedrà i sistemi OT avere un ruolo sempre più centrale e sarà quindi necessario proteggerli adeguatamente. Si registrerà, infatti, un incremento del numero di attacchi verso tali dispositivi, che potrà avere notevoli ripercussioni anche a livello di impatto sociale. I cyberattacchi, infatti, non solo mettono a rischio il patrimonio informativo di un’azienda, ma anche la salute fisica e mentale delle persone che lavorano in un impianto, o della popolazione di intere aree geografiche se pensiamo ad esempio agli impianti di distribuzione energia o acqua.
Questo cambio di paradigma richiede una protezione più robusta, con un aumento previsto degli investimenti in cybersecurity industriale e una rivoluzione nella supply chain.
Inoltre, gli attaccanti sfrutteranno sempre di più i dispositivi IoT come veicolo per gli attacchi, in due modalità: all’interno di botnet, ovvero reti di dispositivi compromessi detti “zombie” che gli attaccanti poi utilizzando per fare attacchi verso terze parti amplificandone la portata, sia per rimanere “persistenti” all’interno della rete del cliente. I dispositivi IoT, come telecamere, sistemi di controllo accessi, sistemi di videoconferenza e unified communication e molti altri, non sono gestiti dall’IT, ma fanno parte del cosiddetto “shadow IT”, ovvero quell’insieme di sistemi connessi alla rete aziendale, ma gestiti da dipartimenti terzi come quello di sicurezza fisica o di gestione degli stabili se pensiamo ad esempio ai sistemi di building automation. Gli attaccanti sono consapevoli che tali dispositivi sono al contempo meno presidiati di normali PC o server dal punto di vista della cybersecurity, e al contempo evoluti e in grado di essere compromessi e utilizzati per rimanere all’interno della rete aziendale, studiarne le caratteristiche e fornire tutte le informazioni necessarie a esfiltrare dati o organizzare un attacco ransomware.
Alcuni temi, consolidati nel mondo corporate IT, diventeranno un focus dei prossimi anni per i sistemi IoT: la gestione del ciclo di vita dei dispositivi, il tema delle vulnerabilità e della gestione delle patch, e quello della gestione delle identità e degli accessi privilegiati. li.
I settori critici che si basano su un mix di tecnologie IT e OT sono particolarmente soggetti a un maggiore rischio di cyberattacco, in quanto le entità di questi settori sono spesso obiettivi primari per i malintenzionati. Proprio alla luce di questi rischi, entra in gioco il recepimento della nuova Direttiva NIS 2: attraverso questa direttiva, l’Unione Europea mira a migliorare la sicurezza informatica all’interno del suo perimetro, promuovendo standard elevati, estesi a nuovi soggetti interessati, per proteggere le infrastrutture digitali dalle minacce cibernetiche e garantire la sicurezza dei dati personali dei cittadini europei, coinvolgendo non solo le aziende e istituzioni più critiche ma anche la relativa catena di approvvigionamento
Smart mobility & smart city: le città del futuro sempre più intelligenti
Intelligenti, connesse, sicure, sostenibili: le città stanno vivendo un periodo di grande trasformazione, integrando tecnologie digitali. Innovazione e sicurezza sono due elementi chiave che devono collaborare per tutelare i cittadini e, allo stesso tempo, agevolare la crescita e lo sviluppo tecnologico dell’intero ecosistema.
Le città del futuro porteranno con sé tanti vantaggi, ma anche nuovi rischi. Assisteremo, infatti, ad un incremento degli attacchi cyber in questo ambito. L’evoluzione delle città, sempre più connesse, infatti, porta inevitabilmente in primo piano il tema della cybersecurity e la necessità di proteggere i servizi essenziali dai potenziali attacchi dei cybercriminali.
Oltre alle reti elettriche e idriche l’infrastruttura del trasporto pubblico e della smart mobility, oggi più che mai, sono tra i principali bersagli di attacchi cyber. È fondamentale quindi un cambio di paradigma, e pensare alla sicurezza di questi ecosistemi sin dalla prima fase di implementazione, e non da quando i sistemi sono già attivi sulle nostre strade. Ad oggi, infatti, ci sono aspetti legati alla sicurezza che sono stati ignorati o non correttamente implementati.
Cloud Native: container e microservizi
L’essenza dell’essere cloud-native risiede proprio nel progettare applicazioni indipendenti dalla piattaforma e in grado di essere eseguite su qualsiasi infrastruttura cloud, in maniera portabile e granulare. Per realizzare un’architettura cloud-native, è necessario implementare diverse tecnologie e strumenti di gestione: nel 2024, sempre più aziende convertiranno vecchie applicazioni in nuove, basate su container e microservizi, facendole evolvere. Attualmente, vi è ancora uno skill gap per quanto riguarda la sicurezza informatica per tutto ciò che è legato al mondo dei container, dallo sviluppo sicuro alla gestione dinamica dei certificati.
Si prevedono attacchi più mirati e targettizzati. Le aziende investiranno in grandi progetti innovativi, ma destinati a non vedere la luce a causa della mancata resilienza del sistema. A quel punto, i costi saranno troppo elevati per implementare la sicurezza di tali sistemi e per rendere compliance le piattaforme. È necessario, dunque, che ogni nuova implementazione cloud adotti un approccio secure-by-design, per evitare che eventuali attacchi compromettano i progetti e gli investimenti.
L’impatto dell’IA nei security operations center (SOC)
La progettazione e gestione di un SOC è uno dei fattori più critici all’interno delle organizzazioni: competenze e capacità altamente specializzate, formazione e aggiornamento continuo dei membri del team, sono tutti elementi fondamentali affinché un SOC sia in grado di stare al passo con lo sviluppo di nuove minacce e con attacchi cyber sempre più complessi.
Nel 2024, assisteremo a un incremento di nuove società che offriranno servizi SOC. Poche organizzazioni riusciranno ad integrare l’IA per avere SOC più efficienti e più scalabili, con algoritmi generativi destinati a trasformare il processo decisionale, di comunicazione con il business e la gestione delle minacce. Questo permetterà di evolvere i processi esistenti, migliorare la detection, automatizzare le attività di threath hunting andando, nel medio termine, a sostituire analisti di livello inferiore, che potranno focalizzarsi su attività a maggiore valore aggiunto.
Infatti, l’intelligenza artificiale gioca un ruolo sempre più importante nella cybersecurity per rilevare e combattere gli attacchi informatici. L’utilizzo dell’IA nel settore della cybersecurity può consentire di affrontare un numero maggiore di minacce in modo pratico ed efficace. Allo stesso modo però, non solo le aziende utilizzeranno l’intelligenza artificiale, ma anche i criminali informatici, al fine di sviluppare e mettere in atto attacchi sempre più sofisticati.
Il cybercrime è sempre più diffuso e le violazioni hanno conseguenze significative per tutti, ma la comunità di esperti di cybersecurity può contrastare efficacemente le minacce. La collaborazione tra il settore pubblico e quello privato, l’adozione di misure standardizzate per la segnalazione degli incidenti e la promozione di una cultura aziendale della resilienza informatica è fondamentale. Anche le organizzazioni giocano un ruolo chiave nel contrastare il cybercrime, attraverso iniziative di formazione sulla cybersecurity per colmare il gap di competenze e la condivisione delle informazioni sulle minacce per una risposta più tempestiva ed efficace.