Attacchi alle aziende per settore: PA e PMI nel mirino

Attacchi alle aziende per settore: PA e PMI nel mirino

1 Marzo 2022| News

Spulciando i report sulla cybersecurity, gli attacchi alle aziende per settore rivelano dettagli interessanti. Relativamente al mercato italiano, il rapporto più autorevole è del Clusit, che ci fornisce anche un quadro preciso di quali sono i mercati verticali nel mirino dei cybercriminali.

La crescita anno su anno (2021 su 2020) di cyberattacchi gravi a livello globale è del 29% rispetto all'anno precedente. La tipologia è soprattutto ransomware (67% del totale), quindi a scopo di estorsione.

Secondo il Rapporto Clusit 2021, il 20% delle aziende attaccate sono comprese sotto la voce "multiple target". Il dato ci fornisce già un'indicazione interessante su cui ci soffermeremo tra poco.

Il rapporto prosegue sottolineando che il 14% degli attacchi si è rivolto verso i domini di tipo .gov. Ciò significa che, analizzando gli attacchi alle aziende per settore, la Pubblica Amministrazione, le forze dell'ordine, le forze armate, l'intelligence e le istituzioni in genere sono le più colpite.

A seguire, nella classifica degli attacchi alle aziende per settore, c'è l'healthcare (12%), il settore della ricerca e dell'education (11%), i servizi cloud (10%) e i vendor hardware e software (6%).

I dati dello stesso rapporto relativiall'incremento degli attacchi alle aziende per settore indicano una criticità nel settore dei trasporti, della distribuzione e della logistica in generale (+108%), ma la crescita è importante per tutti i settori. In particolare:

- Transportation / Storage: +108,7%

- Professional, Scientific, Technical: +85,2%

- News & Multimedia: +65,2%

- Wholesale / Retail: +61,3%

- Manufacturing: +46,9%

- Energy / Utilities: +46,2%

- Government: (+39,2%)

- Arts / Entertainment: +36,8%

- Healthcare: +18,8%

Lo spaccato del Clusit ci fornisce diversi spunti di riflessione, snoccioliamoli nel dettaglio.

Perché la PA è in testa agli attacchi alle aziende per settore

Partiamo da "multiple target". Il dato indica che, quando c'è da truffare qualcuno con un ransomware, non si va tanto per il sottile: ogni azienda è buona, indipendentemente dal comparto.

Generalmente l'intenzione dei cybercriminali è di rubare ciò che è prezioso per l'azienda cliente o bloccare l'accesso all'infrastruttura. L'obiettivo è, come detto, di richiedere un riscatto per i dati rubati o per il blocco dei sistemi. E succede sempre più spesso che i dati vengano messi in vendita al maggior offerente sul dark web (tecnica double extortion). In questo calderone, il comparto manufacturing è certamente tra i più esposti, vista la presenza nelle infrastrutture di dati coperti da brevetto, ideali per lo spionaggio industriale.

A seguire, il Clusit segnala la criticità della PA e delle istituzioni in generale. In questo caso, l'attacco mira a due obiettivi, oltre alla pura estorsione o al danno fine a sé stesso. In primo luogo, i dati sensibili dei cittadini sono messi all'asta e possono essere utilizzati per un ulteriore ricatto ai danni degli stessi. L'attacco a siti istituzionali nazionali o alle forze dell'ordine, invece, può avere un obiettivo più politico. Si rubano informazioni che riguardano la sicurezza nazionale, gli armamenti o, ancora, dati sensibili di esponenti istituzionali.

Gli attacchi al comparto dell'healthcare, invece, sono figli dell'emergenza sanitaria del 2020. Anche in questo caso gli scopi sono il puro blocco delle attività e il furto dei dati sanitari di pazienti o di proprietà intellettuali. Gli stessi motivi giustificano gli attacchi alle aziende per settore della ricerca e i siti education.

Chiudono la top ten del Clusit i sistemi di chi fornisce i servizi cloud e i vendor hardware e software, che peraltro dovrebbero essere più protetti.

Le PMI nel mirino degli attacchi alle aziende per settore

Come per gli attacchi ai siti della Pubblica Amministrazione o dell'healthcare, i cybercriminali puntano il mirino sulle PMI. Il motivo è presto detto: a loro piacciono le infrastrutture più obsolete o meno protette e i domini più trafficati, come quelli della Sanità.

Le infrastrutture obsolete sono quelle più facili da conquistare perché troppo spesso aggiornare la protezione di quei sistemi non è possibile. In generale, i sistemi legacy sono una vera manna per i cybercriminali.

C'è poi, ancora, una forte tendenza a sottovalutare la questione, soprattutto dalle PMI. L'obiezione che fanno i decisori d'acquisto delle PMI è la classica: perché dovrei investire in sicurezza se ciò che ho potrebbe interessare a pochi? Oppure: che sarà mai un blocco dei sistemi per un po' di tempo? O, ancora: quando succederà ci penseremo.

Tutti argomenti discutibili. A causa degli obiettivi dei cybercriminali e della tipologia di attacco, nessun comparto e nessuna azienda, indipendentemente dalla dimensione si può sentire immune. Soprattutto per due motivi. Il primo si chiama "interconnessione dei sistemi". Nel manufacturing, ma non solo, i sistemi connessi fornitore-azienda-cliente sono sempre più diffusi. Ciò significa che un attaccante può arrivare a una grande azienda entrando dalla porta di servizio dell'infrastruttura It di un fornitore o di un'azienda cliente.

Il secondo motivo si chiama GDPR. Oltre a prevedere sanzioni pesantissime per le aziende che non dimostrano una protezione inadeguata, il Regolamento ritiene responsabile un'azienda anche dei dati che non gli appartengono, basta che transitino nei loro sistemi.

Ci sembrano due motivi più che validi per considerare finalmente la sicurezza dell'infrastruttura It come prioritaria. Vuoi una soluzione rapida? Migra al cloud. Gli ambienti cloud sono considerati più sicuri degli ambienti legacy, e la security di livello superiore è garantita dal Cloud Service Provider.