Safer Internet Day e le criticita’ sulla Cybersecurity

Si è da poche ore conclusa la 19ma edizione della Safer Internet Day, istituita e promossa dalla Commissione Europea.

Foto di Donatella Maisto

Donatella Maisto

Digital Transformation and Sustainability Manager

Esperta Blockchain e digital transformation, tech-human need e sostenibilità nella sua accezione contemporanea. R&D Director di Blockchain Revolution

Da una indagine Ipsos-Changes Unipol e’ emerso che circa 10 milioni di italiani hanno subito violazioni digitali. 

I dati piu’ salienti ed interessanti emersi dall’indagine sono in particolare che:

  • il 53% degli italiani dichiara di sentirsi esposto alle violazioni digitali e più di un 1 Italiano su 2 si sente minacciato da possibili violazioni digitali.
  • solo il 30% degli Italiani non percepisce il Cyber Risk come un pericolo, mentre il 17% dei cittadini non è in grado di valutare questo rischio e le relative conseguenze, evidenziando poca consapevolezza e molta vulnerabilità.
  • maggiore sensibilità al Cyber Risk è riscontrabile tra chi ha già subito violazioni in passato (64%), i medium users di social network (59%) e gli esperti digitali (57%).
  • oltre 1 italiano su 2 cerca di proteggersi dai rischi informatici con metodi fai da te, ovvero il 55% degli intervistati cerca di contrastare questo rischio fornendo solo dati personali obbligatori e indispensabili e il 35% ritiene sufficiente non divulgare proprie foto o quelle di minori.
  • l’adozione di contro-misure per contrastare il Cyber Risk è molto meno evidente nei più giovani – soprattutto nella pubblicazione di immagini e foto, in particolare proprie (19%) – e più evidente tra i meno giovani (64%) che tendono anche a prendere le distanze dai Social Network.
  • 8 italiani su 10 percepiscono l’e-commerce e i pagamenti online sicuri. Tra i più scettici rientra la fascia di popolazione meno giovane (18% vs. 15% della media), le aree metropolitane del Sud (21%) e chi ha già subito violazioni digitali (24%).

Settori critici quali trasporti, energia, sanità e finanza sono sempre più legati alle tecnologie digitali per la gestione delle loro attività.

Se è vero che la digitalizzazione porta con sé enormi opportunità e offre risposte alle molteplici sfide economiche e sociali a cui i diversi settori sono esposti, è anche vero che le minacce informatiche incombono con sempre più forza e sofisticazione.

Si prevede che 22,3 miliardi di dispositivi in tutto il mondo saranno collegati ad Internet entro il 2024.

La risposta in termini di Cybersecurity deve essere necessariamente volta a creare un cyberspace aperto e sicuro, per infondere una maggiore fiducia nei confronti delle soluzioni digitali da parte dei cittadini.

Il valore del mercato della Cybersecurity nell’UE è stimato a oltre 130 miliardi di Euro e cresce con un ritmo pari al 17% l’anno.

 

Strategia UE sulla Cybersecurity

Il Consiglio ha pubblicato, il 9 Marzo 2021, il progetto di conclusioni sulla strategia dell’UE in materia di Cybersecurity per il decennio digitale.

La strategia, che è stata presentata dalla Commissione e dall’Alto Rappresentante per gli affari esteri il 16 dicembre 2020, ha delineato il quadro relativo all’azione dell’UE per proteggere i cittadini e le imprese dell’UE dalle minacce informatiche, promuovere sistemi informativi sicuri e proteggere un ciberspazio globale, aperto, libero e sicuro.

Le Conclusioni, in cui si rileva che la Cybersecurity è essenziale per costruire un’Europa resiliente, verde e digitale, stabiliscono che l’obiettivo fondamentale è raggiungere l’autonomia strategica mantenendo nel contempo un’economia aperta.

A ciò si affianca la necessità di rafforzare la capacità di compiere scelte autonome nel settore della Cybersecurity allo scopo di potenziare la leadership digitale e le capacità strategiche dell’UE.

Nelle conclusioni il Consiglio evidenzia una serie di settori d’intervento per i prossimi anni, tra cui:

  • i piani relativi alla creazione di una rete di centri operativi di sicurezza in tutta l’UE al fine di monitorare e anticipare i segnali di attacchi alle reti
  • la definizione di un’unità congiunta per il Cyberspace che fornisca una chiara focalizzazione del quadro di gestione delle crisi di Cybersecurity dell’UE
  • il suo fermo impegno ad applicare le misure del pacchetto di strumenti dell’UE per il 5G e completarne rapidamente l’attuazione, nonché a proseguire gli sforzi volti a garantire la sicurezza delle reti 5G e lo sviluppo delle future generazioni di reti
  • la necessità di uno sforzo congiunto per accelerare l’adozione di norme di sicurezza internet chiave, fondamentali per aumentare il livello generale di sicurezza e apertura dell’internet globale e rafforzare nel contempo la competitività dell’industria dell’UE
  • la necessità di sostenere lo sviluppo di una crittografia forte, quale strumento per proteggere i diritti fondamentali e la sicurezza digitale, garantendo al contempo che le autorità di contrasto e giudiziarie siano in grado di esercitare i loro poteri, sia online che offline
  • l’aumento dell’efficacia ed efficienza del pacchetto di strumenti della diplomazia informatica, prestando particolare attenzione alla prevenzione e al contrasto degli attacchi informatici con effetti sistemici che potrebbero incidere sulle catene di approvvigionamento e infrastrutture critiche e sui servizi essenziali, nonché sulle istituzioni e sui processi democratici e compromettere la sicurezza economica
  • la proposta sull’eventuale istituzione di un gruppo di lavoro di intelligence informatica al fine di rafforzare la capacità specifica dell’INTCEN in questo settore
  • l’importanza di rafforzare la cooperazione con le organizzazioni internazionali e i paesi partner al fine di promuovere la comprensione condivisa del panorama delle minacce informatiche
  • la proposta di elaborare un’agenda dell’UE per lo sviluppo delle capacità informatiche esterne al fine di aumentare la cyber resilienza e le capacità a livello mondiale

Al fine di garantire lo sviluppo, l’attuazione e il monitoraggio delle proposte presentate nella strategia in materia di Cybersecurity, il Consiglio ha incoraggiato la Commissione e l’Alto Rappresentante a definire un piano di attuazione dettagliato.

Il Consiglio monitorerà, inoltre, i progressi compiuti nell’attuazione delle conclusioni mediante un piano d’azione che sarà periodicamente riesaminato e aggiornato.

La nuova strategia include proposte concrete per l’introduzione di strumenti normativi, strategici e di investimento.

 

Il Regolamento UE sulla Cybersecurity

L’Unione Europea ha affrontato il capitolo della sicurezza in modo unitario, definendo una chiara strategia di rafforzamento con l’adozione del Regolamento UE sulla Cybersecurity, entrato in vigore il 7 Giugno 2019.

Il Regolamento ha introdotto:

  • un sistema europeo di certificazione unico, valevole in tutta Europa, con il fine di stimolare la fiducia, aumentare la crescita del mercato della Cybersecurity e agevolare il commercio in tutta l’UE
  • un nuovo mandato più forte per l’Agenzia dell’UE per la Cybersecurity

Agenzia dell’UE per la Cybersecurity e l’Ageniza per la Cybersicurezza Nazionale

La nuova Agenzia dell’UE per la Cybersecurity (ENISA) si basa sulle strutture del suo predecessore, l’Agenzia europea per la sicurezza delle reti e dell’informazione, ma ha un ruolo rafforzato e un mandato permanente.

La sede centrale è a Heraklion, in Grecia, e ha un altro ufficio di rappresentanza ad Atene.

L’ENISA è un centro di competenze in materia di sicurezza informatica in Europa. Aiuta l’UE e i paesi membri dell’UE a essere meglio attrezzati e preparati a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione.

L’agenzia presta, inoltre, assistenza a:

  • l’industria delle TIC (telecomunicazioni, fornitori di servizi Internet e società informatiche)
  • le imprese, in particolare quelle di piccole dimensioni
  • gli specialisti della sicurezza delle reti e dell’informazione, quali le squadre di pronto intervento informatico
  • il mondo universitario
  • i cittadini.

Fornisce consigli pratici e soluzioni per il settore pubblico e privato negli Stati membri e per le istituzioni dell’UE. In particolare, si occupa:

L’ENISA pubblica, inoltre, relazioni e studi sulle questioni di sicurezza informatica e contribuisce a elaborare la politica e la normativa dell’UE in materia di sicurezza delle reti e dell’informazione, cosa che aiuta la crescita economica nel mercato interno europeo.

In particolare, l’ENISA ha pubblicato il report Cyber-Threat Landscape per il 2021 fornendo un panorama delle minacce informatiche più comuni in Europa, i principali trend di mercato, gli attori più influenti e le tecniche di attacco predilette.

Il report ENISA Threat Landscape è il dossier annuale dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) sul panorama delle minacce sulla cybersecurity nello Spazio Economico Europeo e ha individuato per il 2021 gli attacchi ransomware come principale minaccia.

Il quadro normativo dell’ENISA è il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la Cybersecurity, e alla certificazione della Cybersecurity per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla Cybersecurity »).

Il regolamento (UE) 2019/881 prevede, inoltre, che l’ENISA assista la Commissione nelle funzioni di segretariato del gruppo europeo per la certificazione della Cybersecurity (ECCG) e provveda alle funzioni di segretariato del gruppo dei portatori di interessi per la certificazione della Cybersecurity (SCCG).

Il D.L. 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n.109, ha ridefinito l’architettura nazionale di Cybersecurity e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della Cybersecurity.

L’ACN è Autorità nazionale per la Cybersecurity e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia.

Il 5 Agosto 2021 il Presidente del Consiglio dei ministri ha nominato, previa deliberazione del Consiglio dei ministri e comunicazione al Presidente del COPASIR e alle Commissioni parlamentari competenti, il Prof. Roberto Baldoni, Direttore Generale dell’ACN.

Tra Settembre e Dicembre 2021 e’ iniziato il trasferimento delle prime funzioni all’ACN, tra cui quelle già assicurate dal DIS relative al CSIRT Italia, all’istituzione del Nucleo per la Cybersicurezza, all’attuazione della legge sul Perimetro di sicurezza nazionale cibernetica e al Punto unico di contatto per la Direttiva NIS dell’Unione Europea. Si e’ provveduto alla pubblicazione dei Regolamenti attuativi dell’Agenzia in Gazzetta Ufficiale (Regolamento di organizzazione e funzionamento, Regolamento del personale,Regolamento di contabilità).

Il 18 gennaio 2022 l’ACN ha predisposto, in collaborazione con il Dipartimento per la trasformazione digitale, gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA e ha predisposto anche l’aggiornamento dei requisiti aggiuntivi di qualità, sicurezza, performance e scalabilità, che i servizi cloud devono soddisfare secondo le quattro tipologie di qualificazione contenute nella Strategia Cloud Italia.

L’ACN, in particolare, tra le sue attività, promuove la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese.

Persegue il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale, nonché attraverso il coinvolgimento del mondo dell’università e della ricerca.

Favorisce specifici percorsi formativi per lo sviluppo della forza lavoro nel settore e sostiene campagne di sensibilizzazione oltre che una diffusa cultura della Cybersecurity.

 

I piu’ comuni strumenti di attacco

Come abbiamo anticipato, il Report Cyber-Threat Landscape dell’ENISA ha individuato nel malware, phishing e cryptojacking i piu’ comuni strumenti di attacco, che mantengono un ruolo primario nel quadro europeo dei cyber-threats.

L’ENISA, in particolare, sottolinea l’importanza di condurre adeguate attività di verifica, revisione e auditing sul livello di sicurezza e conformità alle best practice di settore per i fornitori, in quanto gli attacchi diretti alla supply chain stanno conoscendo una preoccupante diffusione.

L’ENISA, nel suo Report, segnala una stabile crescita delle campagne di social-engineering via e-mail. Il settore più colpito nel 2021 è quello sanitario, facile preda di offensive malevole a causa di sistemi e strategie di prevenzione e risposta ai cyber-attacchi spesso inadeguate e obsolete.

L’ENISA sottolinea come le campagne DDoS (Distributed Denial of Service) nel 2021 siano sempre più mirate, persistenti e multivettoriali. L’avvento dell’IoT (Internet of Things), unitamente alla diffusione delle architetture di rete 5G, ha prestato il fianco a una nuova ondata di attacchi di tipo DDoS.

Importante evidenziare gli incidenti informatici accidentali, prevalentemente riferibili a minacce interne alle organizzazioni. Nel corso del 2020 e del 2021 se ne osserva una crescita esponenziale di data breach legati ad errori nella gestione dei dati e/o mal configurazioni di sistemi e architetture di rete da parte di aziende e professionisti. La pandemia da COVID-19, citando l’ENISA, ha accentuato l’assenza di un’adeguata “alfabetizzazione” alla sicurezza delle informazioni e, più in generale, all’uso di strumenti informatici. L’improvviso slancio verso la digitalizzazione ha agito come moltiplicatore per errori umani e insider threats, al punto da rappresentare il tassello più voluminoso nel quadro dei cyber-threats di 2021.

La Cybersecurity ha lo scopo di contrastare tre diversi tipi di minacce:

  1. Cybercrimine: include attori singoli o gruppi che attaccano i sistemi per ottenere un ritorno economico o provocare interruzioni nelle attività aziendali.
  2. Cyberattacchi: hanno spesso lo scopo di raccogliere informazioni per finalità politiche.
  3. Cyberterrorismo: ha lo scopo di minare la sicurezza dei sistemi elettronici per suscitare panico o paura.

Di seguito alcuni dei metodi comunemente utilizzati per minacciare la Cybersecurity. In particolare:

Malware: è la contrazione di “malicious software” (software malevolo). Il malware, una delle minacce informatiche più comuni, è costituito da software creato da cybercriminali o hacker con lo scopo di danneggiare o provocare il malfunzionamento del computer di un utente legittimo. Spesso diffuso tramite allegati e-mail non richiesti o download apparentemente legittimi, il malware può essere utilizzato dai cybercriminali per ottenere un guadagno economico o sferrare cyberattacchi per fini politici.

Esistono numerosi tipi di malware, tra cui:

  • Virus: è un programma capace di replicarsi autonomamente, che si attacca a un file pulito e si diffonde nell’intero sistema informatico, infettandone i file con il suo codice maevolo.
  • Trojan: è un tipo di malware mascherato da software legittimo. I cybercriminali inducono gli utenti a caricare Trojan nei propri computer, dove possono causare danni o raccogliere dati.
  • Spyware: è un programma che registra segretamente le azioni dell’utente, per consentire ai cybercriminali di sfruttare tali informazioni a proprio vantaggio. Ad esempio, lo spyware può acquisire i dati delle carte di credito.
  • Ransomware: malware che blocca l’accesso ai file e ai dati dell’utente, minacciandolo di cancellarli se non paga un riscatto.
  • Adware: software pubblicitario che può essere utilizzato per diffondere malware.
  • Botnet: reti di computer infettati da malware, utilizzate dai cybercriminali per eseguire task online senza l’autorizzazione dell’utente.

Immissione di codice SQL (Structured Language Query): è un tipo di cyberattacco con lo scopo di assumere il controllo di un database e rubarne i dati. I cybercriminali sfruttano le vulnerabilità nelle applicazioni data-driven per inserire codice malevolo in un database tramite un’istruzione SQL dannosa, che consente loro di accedere alle informazioni sensibili contenute nel database.

Phishing: i cybercriminali inviano alle vittime e-mail che sembrano provenire da aziende legittime, per richiedere informazioni sensibili. Gli attacchi di phishing hanno solitamente lo scopo di indurre gli utenti a fornire i dati della carta di credito o altre informazioni personali.

Man-in-the-Middle: è una minaccia informatica in cui un cybercriminale intercetta le comunicazioni fra due persone allo scopo di sottrarre dati. Ad esempio, su una rete Wi-Fi non protetta, l’autore dell’attacco può intercettare i dati scambiati fra il dispositivo della vittima e la rete.

Denial of Service: i cybercriminali impediscono a un sistema informatico di soddisfare le richieste legittime, sovraccaricando reti e server con traffico eccessivo. In questo modo il sistema risulta inutilizzabile, impedendo all’azienda di svolgere funzioni vitali.

Cryptojacking o cryptomining occulto: utilizzo non autorizzato di computer, smartphone e tablet altrui per generare criptovalute.

Le criptovalute continuano a essere il mezzo di pagamento più comune dei criminali informatici.

 

La Cyberdifesa

L’Unione europea e i suoi Stati membri promuovono fermamente un Cyberspace aperto, libero, stabile e sicuro, in cui i diritti umani, le libertà fondamentali e lo Stato di diritto siano pienamente rispettati a beneficio della stabilità sociale, della crescita economica, della prosperità e dell’integrità di società libere e democratiche.

L’UE compie considerevoli sforzi per proteggersi dalle minacce informatiche provenienti da paesi terzi, soprattutto mediante una risposta diplomatica comune chiamata “pacchetto di strumenti della diplomazia informatica“. Tale risposta prevede la cooperazione e il dialogo diplomatici, misure preventive contro gli attacchi informatici e sanzioni.

Nel maggio 2019 il Consiglio ha istituito un quadro che consente all’UE di imporre sanzioni mirate volte a scoraggiare e contrastare gli attacchi informatici, che costituiscono una minaccia esterna per l’UE o i suoi Stati membri.

Più specificamente, per la prima volta questo quadro consente all’UE di imporre sanzioni a persone o entità responsabili di attacchi informatici o tentati attacchi informatici, che forniscono sostegno finanziario, tecnico o materiale per tali attacchi o che sono altrimenti coinvolte. Le sanzioni possono anche essere imposte ad altre persone o entità associate ad esse.

Le misure restrittive includono:

  • un divieto per le persone che viaggiano verso l’UE
  • un congelamento dei beni delle persone o entità

Il Cyberspace è considerato la quinta dimensione della conflittualità, essenziale per le operazioni militari quanto lo sono terra, mare, aria e spazio. Si tratta di una dimensione che comprende tutto quanto va dalle reti e infrastrutture di informazione e telecomunicazione e dai dati che supportano fino ai sistemi informatici, ai processori e ai dispositivi di controllo.

L’UE coopera in materia di difesa nel Cyberspace attraverso le attività dell’Agenzia europea per la difesa (AED), in collaborazione con l’Agenzia dell’UE per la Cybersecurity e l’Europol. L’AED sostiene gli Stati membri nella creazione di una forza militare qualificata nel settore della Cyberdifesa e garantisce la disponibilità di tecnologie proattive e reattive.

Nel dicembre 2020 il Consiglio e il Parlamento europeo hanno raggiunto un accordo informale sulla proposta di istituire il Centro europeo di competenza per la Cybersecurity nell’ambito industriale, tecnologico e della ricerca, sostenuto da una rete di centri nazionali di coordinamento.

Il Centro di competenza coopera strettamente con l’Agenzia dell’Unione europea per la cibersicurezza (ENISA)..

Il nuovo centro mira a:

  • migliorare ulteriormente la ciberresilienza
  • contribuire alla diffusione delle tecnologie più recenti nel settore della cibersicurezza
  • sostenere le start-up e le PMI del settore della cibersicurezza
  • rafforzare la ricerca e l’innovazione in materia di cibersicurezza
  • contribuire a colmare il divario di competenze in materia di cibersicurezza

Bucarest è stata selezionata dagli Stati membri dell’UE come sede del nuovo centro.