Rapporto CLUSIT 2017: WhatsApp finisce nel mirino del Phishing

Parafrasando la celebre affermazione di Massimo d’Azeglio: “L’Italia è fatta, gli italiani sono ancora da farsi”, si potrebbe dire che “la Cybersecurity Awareness è fatta, ora bisogna che gli italiani facciano sistematicamente la Cybersecurity”.

Sembra essere questo il richiamo sintetizzato nell’ultima edizione romana del Security Summit 2017 organizzata dal CLUSIT, associazione italiana per la sicurezza informatica. Da molto tempo gli esperti del CLUSIT (primo rapporto nel 2011) e non solo loro, ammoniscono sulla minaccia e sulle conseguenze di un’impreparazione, ma quest’anno la risonanza degli attacchi Wannacry, e la persistenza di notizie continue su nuovi attacchi e nuovi danni a singoli ed imprese, sta forse praticando quella “breccia” culturale tanto auspicata dalla community di sicurezza: la cybersecurity non è un tema da tecnici, ma un elemento imprescindibile per il comparto business e per il mondo dei privati.

Il rapporto Clusit

Divulgato ogni anno con dimensioni sempre crescenti, il rapporto fotografa la situazione mondiale della minaccia informatica con un focus specifico sull’Italia. In ogni edizione i focus sono cresciuti secondo le caratteristiche della minaccia stessa. Quest’anno sono state previste sezioni specifiche al comparto Finance, alla PA, alla sanità e ad alcuni dei trend che hanno caratterizzato il 2016: ransomware, private e hybrid cloud, il cyber risk management, il tema dei captatori informatici e del voto elettronico.

L’analisi è effettuata sulla base di informazioni raccolte su fonti aperte, in modalità Open Source Intelligence (OSINT) e questo comporta che alcune tipologie di attacchi non siano presenti, ma quindi evidenzia anche un percentuale potenzialmente significativa di attacchi non censiti. Ricordiamo in proposito che la denuncia di data breaches è già un obbligo dato dal regolamento GDPR (ambito Privacy) e sarà ulteriormente obbligata al momento della piena adozione e attuazione della NIS sul territorio nazionale (ambito security) ma naturalmente la divulgazione di queste notizie sulla stampa non sarà una conseguenza immediata, quindi nonostante le denunce alcuni attacchi potrebbero non diventare noti al pubblico.

Il Phishing minaccia WhatsApp

Nel rapporto, gli istogrammi rappresentativi delle incidenze e le classificazioni delle diverse minacce si mantengono su livelli da allarme rosso anche se dal 2014 sono cambiati i criteri di classificazione per evitare fenomeni di “fuori scala”. “Fra i trend caratterizzanti”, spiega Andrea Zapparoli Manzoni (esperto CLUSIT), “si nota lo spostamento del Phishing dalla mail alle piattaforme di Instant messagging come WhatsApp dove non è possibile adottare tecnologie antispam e un cambiamento dell’antropologia dell’attaccante, non più legato all’hacker incappucciato dei film americani, ma sempre più vero criminale che nemmeno conosce le tecnologie, ma le compra e usa solo per fare soldi, tanto che il cybercrime è cresciuto drammaticamente in ogni ambito (finance, health, retail, PA…)”.

Parte di questa situazione, sottolinea l’esperto, risiede nella mancanza di quel “trust” che ha caratterizzato gli albori della rete internet e dei suoi protocolli, nati per comunicare liberamente ma non per essere intrinsecamente sicuri. Oggi inoltre le big tech hanno popolato la rete di servizi e piattaforme per fini ludici e consumer, aumentando traffico e interazioni ma ancora una volta senza intervenire sulla sicurezza. “La condvisione furibonda e compulsiva rende i buoni sostanzialmente dei social-rimbambiti e i cattivi ne approfittano”. Allora bisogna capire chi sono veramente gli attaccanti (criminalità organizzata vera e propria) e come passare dalla IT-Security alla Cybersecurity. È necessario individuare quali risorse servano e quali perimetri difendere, cambiando la visione del rischio dalla sicurezza di rete, alla sicurezza dei dati e della loro RID (Riservatezza, Integrità e Confidenzialità).

Cambiare il passo e l’approccio

La necessità di una maggiore pragmaticità operativa e di un passaggio dalle tante parole ai fatti concreti è anche il consiglio di Alessio Pennasilico (esperto CLUSIT), che sottolinea come la sicurezza oggi debba partire dal ripensamento dell’organizzazione e dei suoi processi , in modo che la sicurezza informatica non sia più “un mondo a parte dei tecnici”, ma che sia una delle componenti fondamentali da considerare per la tutela dell’azienda, della sua stessa competitività e sopravvivenza sul mercato (tema recentemente sottolineato anche da Confindustria e da Unindustria).

Il peso dell’opinione di un CISO (Chief Information Security Officer) ad un tavolo di crisi aziendale, dovrebbe essere lo stesso di un CFO (Chief Financial Officer) o di altre figure apicali di struttura. Ancora oggi si pensa troppo alla compliance di facciata, come le certificazioni di sicurezza, o l’adeguamento al GDPR e in futuro alla NIS, ma sono pochi quelli che realizzano veramente la sicurezza informatica in modo sistematico nella propria realtà imprenditoriale. Sta iniziando una maggiore interazione multidisciplinare fra le strutture diverse dell’azienda, che si interpellano per considerare tutte le componenti (sicurezza, finanza, risorse umane, legal, Comunicazione, marketing) di un problema che si riversa sul business. Ma come per tutti gli altri rischi il cyber risk deve smettere di essere un rischio tecnologico e deve diventare un rischio d’impresa e aziendale gestito come tutti gli altri.

Dal suo punto di vista privilegiato di divulgatore Clusit, che lo porta a girare tutta l’Italia nelle diverse regioni dove il rapporto viene presentato, Alessio Pennasillico assiste a contesti socioeconomici diversi che naturalmente possono richiedere una implementazione della cybersecurity con specificità diverse: la costellazione di imprese manifatturiere tipiche del nord est ha esigenze diverse dalle entità di Roma che sovrintendono alle infrastrutture critiche nazionali, o dalle banche e società finanziarie e FinTech che sono proprie dell’hinterland milanese. Diverse realtà che dovrebbero però avere in comune la stessa visione unitaria. Secondo il suo parere, tutto ciò si realizza con una declinazione Top down della strategia e del piano nazionale Cyber e con una componente bottom down derivante dalle singole aziende.