La Commissione Europea ha avviato una consultazione pubblica nell’ambito dell’iniziativa GreenData4All, con l’obiettivo di raccogliere…
Come cambia la minaccia cyber secondo la Relazione del Dis

Per quanto riguarda il cyber-espionage, è stato pressoché costante l’andamento dei ‘data breach’ in danno di Istituzioni pubbliche ed imprese private, incluse le piccole e medie imprese, con finalità di acquisizione di know-how ed informazioni di business e/o strategiche, anche attraverso manovre di carattere persistente (Advanced Persistent Threat – Apt”.
È quanto emerge dalla nuova Relazione annuale sulla politica dell’informazione per la sicurezza, realizzata a cura del Dipartimento delle informazioni per la sicurezza (Dis), secondo quanto riporta l’Agenzia di stampa specializzata Cyber Affairs.
Il documento è stato presentato a Palazzo Chigi dal presidente del Consiglio, Paolo Gentiloni, e dal direttore generale del Dis, il prefetto Alessandro Pansa.
“È stato rilevato”, prosegue il report, “il ricorso sempre più strutturato a server rinvenibili nel mercato nero digitale come ordinari prodotti di e-commerce, previamente compromessi dall’offerente mediante trojan così da garantire all’attaccante l’accesso ad un prodotto utilizzabile per la conduzione di attacchi, preservando l’anonimato”.
“L’attività degli attori ostili”, si legge ancora, “è stata finalizzata, sul piano strategico, alla raccolta di informazioni tese a comprendere il posizionamento del Paese target su eventi geo-politici di interesse per l’attore statuale ostile (laddove obiettivo dell’attacco cyber sia un soggetto pubblico), ovvero ad acquisire informazioni industriali, commerciali o relative al know-how (qualora si tratti, invece, di un obiettivo privato)”.
“Sul piano tattico”, aggiunge la relazione, “l’attaccante è parso interessato a minare la reputazione ed il vantaggio commerciale sul mercato dei target privati. In relazione al modus operandi impiegato dall’attaccante per il conseguimento di obiettivi, si sono registrati, quali elementi di novità, il ricorso a parole-chiave in lingua italiana per ricercare documenti di interesse da esfiltrare, ad ulteriore conferma dell’elevato grado di profilazione delle attività ostili sui target nazionali, e la ricerca di singoli individui ritenuti di particolare interesse in ragione dell’attività professionale svolta, ovvero sulla base dell’incarico e della sede di servizio ricoperti, nonché delle informazioni cui hanno accesso”.
Si è continuato inoltre ‘a rilevare una diversificazione dei target, delle modalità attuative e delle finalità degli attacchi in base alla matrice della minaccia: da quelle più rilevanti per gli asset critici e strategici connesse al cybercrime, al cyber-espionage ed alla cyberwarfare, a quella terroristica ed hacktivista, più stabili nella condotta e negli obiettivi’.
In particolare, ‘sono emersi elementi di novità in relazione ai target privati. Se nel 2015 target principali degli attacchi cyber risultavano quelli operanti nei settori della difesa, delle telecomunicazioni, dell’aerospazio e dell’energia, nel 2016 figurano ai primi posti il settore bancario con il 17% delle minacce a soggetti privati (+14% rispetto al 2015), le Agenzie di stampa e le testate giornalistiche che, insieme alle associazioni industriali, si attestano sull’11%. Queste ultime’, prosegue il report, ‘costituiscono una ‘new entry’, insieme al settore farmaceutico che, con il suo 5% degli attacchi verso target privati, si posiziona al fianco di settori “tradizionali” come quelli della difesa, dell’aerospazio e dell’energia. Tra questi ultimi, solo quello energetico ha fatto registrare un aumento, pari al 2%, rispetto all’anno precedente, mentre quelli di difesa e dell’aerospazio hanno fatto segnare un decremento, rispettivamente, del 13% e del 7%’.
In parallelo ‘allo spionaggio di stampo tradizionale ha continuato a registrarsi la forte crescita della minaccia facente uso del cyber in alcuni casi favorita dall’utilizzo di tecniche di ingegneria sociale. Trattasi’, dice ancora il testo, ‘di modalità di manipolazione consistenti in espedienti sempre nuovi volti a catturare informazioni sensibili, quali, ad esempio credenziali di accesso a sistemi informatici. Il che evidenzia come il fattore umano, anche in relazione all’uso dell’informatica, continui ad essere elemento decisivo e discriminante ai fini della sicurezza’.
Quanto ‘ai dati sugli attacchi cyber in base ai soggetti target persiste il notevole divario tra le minacce contro i soggetti pubblici, che costituiscono la maggioranza con il 71% degli attacchi, e quelli in direzione di soggetti privati, che si attestano attorno al 27%, divaricazione, questa, riconducibile verosimilmente alle difficoltà di notifica degli attacchi subiti in ragione del richiamato rischio reputazionale. In entrambi i casi si registra un aumento pari, rispettivamente, al 2% ed al 4%”.
‘Per quel che concerne la tipologia di attori ostili i gruppi hacktivisti (52% delle minacce cyber) continuano a costituire la minaccia più rilevante, in termini percentuali, benché la valenza del suo impatto sia inversamente proporzionale, rispetto al livello quantitativo riferito ai gruppi di cyber-espionage, più pericolosi anche se percentualmente meno rappresentativi (19%). Ai gruppi islamisti è imputato il 6% degli attacchi cyber perpetrati in Italia nel corso del 2016. Da evidenziare come per le tre categorie si sia registrato, rispetto al 2015, un incremento degli attacchi pari al 5% per i gruppi hacktivisti e quelli islamisti e del 2% per quelli di cyber-espionage’.
La minaccia terroristica nell’ambiente digitale dunque ‘permane’, caratterizzata ‘dalle finalità di proselitismo, reclutamento e finanziamento, mentre le attività ostili in danno di infrastrutture IT sono consistite principalmente in attività di Web-defacement’.
Con riguardo “alle tipologie di attacco si è registrata un’inversione di tendenza. Se, infatti, nel 2015, poco più della metà delle minacce cyber era costituita dalla diffusione di malware, nel 2016 è stata registrata una maggiore presenza di altre tipologie di attività ostili, che ha comportato una contrazione (-42%) del dato relativo ai malware, attestatosi intorno all’11%”. Tale dato, prosegue il report, “non va letto come una riduzione della pericolosità della minaccia Advanced Persistent Threat (APT), bensì come il fatto che gli APT registrati si sono caratterizzati, più che per la consistenza numerica, per la loro estrema persistenza. Tra le minacce che hanno registrato un maggior numero di ricorrenze vanno annoverate: l’SQL Injection (28% del totale; +8% rispetto al 2015), i Distributed Denial of Service (19%; +14%), i Web-defacement (13%; -1%) ed il DNS poisoning (2%), impiegati sia dai gruppi hacktivisti che islamisti”.
‘La minaccia nei confronti delle infrastrutture del dominio cibernetico nazionale è stata caratterizzata da un elevato grado di eterogeneità e dinamismo tecnologico’, rimarca il documento. ‘Anche nel 2016’, prosegue, ‘il monitoraggio dei fenomeni di minaccia collegati con il cyberspace ha evidenziato un costante trend di crescita in termini di sofisticazione, pervasività e persistenza a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza. Una tendenza, questa, cui si è associata anche la persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali e/o strategici, che incidono sulla sicurezza nazionale, e la presenza di un sostanziale sbilanciamento del rischio, generalmente contenuto, in capo agli attori della minaccia rispetto a quello dei target, derivante dalle perduranti difficoltà di detection, response ed attribution di un evento’.
‘Gli incentivi all’innovazione tecnologica delle istituzioni civili e militari’, spiega il rapporto, ‘hanno costituito un ambito particolarmente appetibile, catalizzando gli interessi di attori privati, anche stranieri, presenti sul territorio nazionale che hanno cercato di accreditarsi, fra l’altro, attraverso condotte poco ortodosse. Tenuto conto di ciò, l’azione di tutela e prevenzione si è focalizzata sulla raccolta di informazioni utili alla profilazione degli attori ostili in termini di interessi, obiettivi, capacità e modalità di attacco, al fine di ottimizzare la difesa degli Enti della Pubblica Amministrazione, delle infrastrutture critiche, governative e non, degli operatori privati strategicamente rilevanti e, più in generale, delle reti telematiche nazionali esposte a tali minacce’.
28 febbraio 2017