Riuscirà la Cybersecurity a diventare un Festival di Sanremo?

Proteggere la sicurezza informatica è diventata una lotta senza quartiere e spesso una corsa contro il tempo. Tutti siamo vulnerabili, ancor di più a causa dell’uso spesso distratto della rete e degli smartphone. Tra Safer Internet Day, iniziativa pensata per i più piccoli, e Itasec 18, conferenza per esperti informatici, emerge un dato comune: bisogna adottare le ‘best practice’ quando si usa internet, far conoscere e rispettare le regole del gioco. La cybersecurity, insomma, deve diventare argomento popolare e trasversale come il Festival di Sanremo

Compie 15 anni Safer Internet Day (#SID2018), la Giornata mondiale per la sicurezza in Rete, con 140 Paesi uniti con l’obiettivo di creare un ambiente online migliore e più sicuro. L’iniziativa, sostenuta dalla direzione Digital della Commissione Europea, serve però a ricordare quanto ancora ci sia da fare in termini di sensibilizzazione. Create, connect and share respect: A better internet starts with you è lo slogan del quindicinale, guardando ai più giovani. Da Strasburgo, il Commissario Gabriel annuncia nel corso del 2018 le iniziative di #SaferInternet4EU.

Uno dei progetti italiani nell’ambito di SID18 è Digito Ergo Sumus, finanziato dal Ministero delle politiche sociali, nato in Liguria con i volontari dell’Anpas per portare nelle scuole alcune buone pratiche contro l’abuso di social, contro cyberbullismo, sexting e magari un uso più consapevole quando c’è un’emergenza come un terremoto o un’alluvione.

Itasec18, la ‘Sanremo della cybersecurity’

Sono crescenti e trasversali attacchi cyber, che oltre a suscitare allarme nella popolazione, causano danni ingenti all’economia e mettono a rischio persino le reti di distribuzione di servizi essenziali come la sanità, l’energia, i trasporti, le infrastrutture critiche della società.

Si stima che nel 2016 il cybercrime sia costato all’economia mondiale 450 miliardi di dollari, cifra analoga al Pil di un Paese come l’Austria. E’ quanto emerge dal libro bianco sul tema presentato al Politecnico di Milano: “Il futuro della cybersecurity in Italia: Ambiti progettuali strategici”, curato dai professori Roberto Baldoni, oggi vicedirettore generale del Dis con delega alla cybersecurity, Rocco De Nicola dell’Imt di Lucca e Paolo Prinetto del Politecnico di Torino.

 

 

Erano anche loro tra i partecipanti alla seconda conferenza nazionale sulla sicurezza informatica organizzata dal Laboratorio Nazionale di Cybersecurity del Cini, che ha riunito circa 900 tra ricercatori e professionisti provenienti dal mondo accademico, industriale e governativo per parlare di sicurezza informatica, con importanti speaker istituzionali.Una conferenza per massimi esperti, tanto che uno di loro ha definito l’evento ‘la Sanremo della Cybersecurity”. Che però, in assenza di volti noti al grande pubblico, avrebbe lo stesso bisogno di attenzione e visibilità.

Non ‘se’ ma ‘quando’
Secondo dati della Banca d’Italia, il 45,2 % delle aziende italiane ha subito un attacco informatico tra il 2015 e il 2016. E la percentuale sale al 62,8 %  tra le aziende con più di 500 dipendenti.  L’unica risposta possibile, sottolinea il Cini,  è lo sviluppo di una buona difesa, all’interno di un quadro normativo chiaro.

L’osservatorio del  Politecnico di Milano dal canto suo evidenzia come il 2017 sia stato l’anno nero del cybercrime.  La buona notizia è che crescono la consapevolezza e  la spesa delle imprese, soprattutto quelle grandi, per la sicurezza informatica. Le risorse stanziate per prevenire gli attacchi in Italia toccano 1,09 miliardi di euro, un aumento del 12% rispetto al 2016. Molti si sono missi spinti dall’esigenza di adeguarsi al nuovo regolamento dell’Unione europea sul trattamento dei dati personali, in vigore dal prossimo 25 maggio, che introduce norme stringenti e omogenee in tutta l’Ue, con multe salate e l’obbligo di segnalare le violazioni.

Come evitare un attacco alla sicurezza informatica? Impossibile. Non c’è alcun sistema intrinsecamente inattaccabile, bisogna rendere il lavoro dei cybercriminali talmente costoso da scoraggiarli, sottolinea il giornalista-hacker Arturo Di Corinto:

 

 

Sappiamo cosa fare, confrontiamoci

“Sappiamo cosa fare, ma il confronto arricchisce. Qui oggi è presente una comunità coesa abituata a collaborare” ha detto Roberto Baldoni ai partecipanti a Itasec 18. “Dobbiamo stimolare un dibattito per distinguere che cosa è buono e che cosa è cattivo nel cyberspazio. E dobbiamo perseguire chi commette reati ma anche chi, con i sistemi obsoleti, mette a rischio i dati”.Il vicedirettore del Dis ha voluto così toccare anche il tema degli ‘hacker bianchi’, cioè di coloro che segnalano le vulnerabilità di software e sistemi senza trarne vantaggio.

Picco storico di attacchi, perdite per 100 mila di dollari 

Secondo il report Arbor, gli attacchi DDoS nel 2017 sono stati potenziati: in sintesi ecco quanto è stato rilevato dagli esperti in sicurezza

  • Il 57% delle aziende e il 45% degli operatori di data center intervistati nel report di quest’anno ha subito la saturazione della propria banda Internet a causa degli attacchi DDoS (Distributed Denial-of-Service).
  • Nel 2017, oltre ad essere impiegate per realizzare attacchi di grande volume, le botnet IoT sono state sfruttate anche per colpire applicazioni, servizi e dispositivi di infrastruttura come i firewall.
  • Nel 2017 sono aumentate del 30% le aziende che hanno subito attacchi mirati alle applicazioni. Il 73% degli attacchi era rivolto ai servizi http, Il 69% era rivolto ai servizi dns, Il 68% era rivolto ai servizi https.
  • Crittografia: A fronte della crescente diffusione dei servizi dipendenti dalla crittografia, nel 2017 sono aumentati anche gli attacchi DDoS contro questo tipo di servizi (53%  contro un servizio crittografato a livello del layer applicativo, 42% attacchi mirati contro il protocollo SSL/TLS).
  • Servizi: Nel 2017, alcuni popolari servizi di posta elettronica e VoIP sono stati colpiti con maggiore frequenza, lasciando supporre un aumentato interesse degli aggressori DDoS nei confronti dei servizi più vulnerabili.
  • Nel 2017, con un aumento del 70% rispetto all’anno precedente, il 77% delle aziende ha riferito che gli attacchi DDoS sono stati inclusi nelle valutazioni dei rischi commerciali o informatici.
  • Il numero di organizzazioni che ha dichiarato di aver subito perdite a causa dell’impatto aziendale degli attacchi DDoS è quasi raddoppiato nel 2017. Nel 2017, il 10% delle  aziende ha stimato costi superiori a 100.000 dollari per un grande attacco DDoS, con un aumento di cinque volte rispetto alle cifre osservate in precedenza.

 

Basta anelli deboli

Tutti concordi, come Eset: Nel 2017 il numero di vulnerabilità segnalate ha raggiunto il suo picco storico, spazzando via i record registrati negli anni precedenti: 14.600, rispetto alle 6.447 del 2016. Non solo, ma anche il numero di vulnerabilità identificate come critiche è cresciuto in maniera esponenziale. Secondo Luca Sambucci, Operations Manager di Eset Italia, è del tutto naturale che questo tipo di minaccia aumenti.  Basta pensare al numero di app che un utente medio aveva sullo smartphone nel 2016, a quelle che ha aggiunto nel 2017 e a quelle che ha oggi. Il software aumenta, si diffonde e viene utilizzato per fare sempre più cose mentre i siti web dipendono sempre più da script e da plug-in di terze parti. Ogni singolo programma o app può essere vulnerabile e ogni singolo aggiornamento può portare nuove vulnerabilità.

Lo conferma CybSec: Il rapporto realizzato dai loro esperti, a firma di Pierluigi Paganini, dipinge gli scenari foschi, tra cybercriminali e furti di criptomonete, attacchi ai dispositivi mobili e ai dispositivi collegati via Internet delle Cose. Per Marco Castaldo, Ceo di CybSec, “i software malevoli entreranno con maggiore pervasività nella vita di tutti i giorni dei cittadini, l’allarme è alto”.

Gli attacchi informatici, è opinione comune tra gli addetti ai lavori, spesso dipendono proprio da un anello debole identificabile: il fattore umano. Capita ancora spesso che le persone cadano nel tranello del phishing, cliccando senza pensarci  su un link all’interno di una mail, aprendo la porta ai virus nei computer. Per non parlare di quanti  usano password non sicure come 123456, il nome del gatto o del consorte, altri ancora che lasciano lo smartphone  in mano ai figli per farli giocare e poi accedono dallo stesso dispositivo alla rete aziendale. Un click sbagliato, insomma, può  compromettere la miglior difesa tecnologica non solo personale ma di un’organizzazione, di una infrastruttura, di un governo.

Celia Guimaraes @viperaviola

 

Cybersecurity, l’Ue deve correre ai ripari

La cybersecurity si conferma argomento top del 2017, non solo per le questioni legate alla privacy ma anche per i costi economici degli attacchi informatici (anche per oltre un milione di dollari). I consulenti scientifici dell’Ue raccomandano di rendere i sistemi più sicuri con un ‘no’ alle backdoor e la garanzia per gli utenti dell’uso limitato dei loro dati da parte di terzi