Security, in Italia attacchi in crescita secondo il rapporto OAI
Più numerosi e più sofisticati gli attacchi che hanno interessato il Nostro Paese nel 2014, secondo i dati appena pubblicati del Rapporto OAI (Osservatorio Attacchi Informatici): +7,2% gli attacchi rilevati. Tra i risultati più significativi la conferma ai primi quattro posti di malware, social engineering, DoS e DDoS e furto dei dispositivi mobili, quali tipologie di attacco adottate.
Tranne il furto dei device, tutte le altre metodologie di attacco hanno registrato un aumento rispetto al 2013, con l'incremento maggiore relativo al malware e agli attacchi APT (Advanced Persisted Threats) o attacchi mirati (Targeted attack). Dati congruenti con quelli del Cnaipic (la Polizia Postale).
Il pregio del rapporto OAI (Osservatorio Attacchi Informatici) consiste nel fatto che si focalizza esclusivamente sugli attacchi avvenuti in Italia, basandosi sull'elaborazione delle risposte raccolte attraverso un questionario online, che quest'anno, per avere un dato preciso da gennaio a dicembre 2014, è stato presentato nel periodo da gennaio a marzo 2015.
Giunto alla quinta edizione (ma una prima versione in forma di libro risale al 2005), il rapporto è realizzato da Malabo Srl con il patrocinio di AICA (Associazione Italiana Calcolo Automatico) e Aipsi (Associazione Italiana Professioni della Sicurezza Informatica, capitolo italiano dell'ISSA, Information Systems Security Association) e con la sponsorizzazione di Business-e, HP, Riesko, Gruppo Sernet, Technology Estate e Trend Micro.
Ideatore e co-autore del rapporto, Marco Bozzetti, fondatore e Ceo di Malabo, oltre che membro del consiglio direttivo di Aipsi, tiene a precisare che l'analisi è di tipo qualitativo, in quanto il campione non è selezionato in base a requisiti di rappresentatività, ma prevede una compilazione spontanea, che è stata effettuata da 424 rispondenti (in crescita rispetto lo scorso anno). Le aziende che hanno partecipato appartengono a diversi settori economici, Pubblica Amministrazione, sia locale sia centrale, inclusa.
Da un punto di vista statistico, anche le comparazioni anno su anno non sono rigorose, perché il campione varia, ma si ottengono comunque dati di tendenza significativi e informazioni basilari anche per la sensibilizzazione sulla sicurezza informatica oltre che come riferimento per l'analisi dei rischi.
Peraltro, lo sforzo dell'autore nel confrontare i dati con quelli disponibili da altre fonti, fornisce un quadro qualitativamente molto significativo. Va anche precisato che il questionario è piuttosto accurato, permettendo di raccogliere dati che è normalmente difficile da ottenere.
Come accennato, il numero di attacchi è aumentato, soprattutto si è ridotta la percentuale di aziende che non ha rilevato alcun attacco. Bozzetti, inoltre, evidenzia un dato essenzialmente costante negli anni: mediamente le aziende che rilevano attacchi sono il 40% circa. Questo anche se i campioni di rispondenti sono diversi.
Secondo gli esperti si tratta di un valore troppo basso e questo indica che "molti attacchi non sono stati rilevati", evidenzia l'autore aggiungendo: "D'altro canto in Italia ci sono poche grandi aziende (circa 3600 quelle con più di 250 dipendenti, secondo l'Istat) e numerose piccolissime imprese, che non sono un obiettivo interessante per i cyber criminali".
Tale ipotesi sarebbe confermata dall'analisi degli attacchi nel 2014 per dimensione di azienda/ente dei rispondenti, in cui si evince le piccole imprese sono quelle tra cui è più alta la percentuale di coloro che non hanno registrato violazioni alla sicurezza, mentre tra le grandi risulta più alta la percentuale di chi ha subito oltre 10 attacchi.
A livello mondiale, comunque, si stima che mediamente le aziende non rilevano circa i due terzi degli attacchi a loro rivolti
Altri dati interessanti riguardano l'analisi del rischio, che viene sempre più utilizzata come strumento decisionale a supporto delle strategie per la sicurezza. Altrettanto importanti sono le reazioni agli attacchi, che cominciano a prendere una certa consistenza, spaziando dalle azioni legali alle indagini interne ed esterne, per continuare con una serie di interventi tecnici.
