Scenari sempre più minacciosi per la Cyber-security: il 2018 è stato l’anno peggiore di sempre in termini di attacchi informatici, e dei loro impatti su aziende, istituzioni, privati cittadini. Non solo dal punto di vista della quantità, che continua a crescere, ma anche e soprattutto da quello della gravità e dei danni provocati.
E ora il Cyber-crimine, che si espande in ogni direzione delle reti online e interconnesse, arriva a minacciare anche sistemi e applicazioni di Artificial intelligence (AI) e Machine Learning.
A livello mondiale, negli ultimi 12 mesi, i Cyber-attacchi gravi censiti sono aumentati del 38% (1.552 contro i 1.127 del 2017), per una media di 129 attacchi gravi al mese, rispetto ai 94 dell’anno prima. E nell’ultimo biennio il loro tasso di crescita è aumentato di 10 volte rispetto al biennio precedente.
I settori di attività e le categorie più colpite sono state Multiple Targets (304 attacchi gravi, +37% rispetto al 2017), Government (252 attacchi, +41%), e Health-care (159 attacchi, in pratica raddoppiati, +99%). Seguite dal settore bancario e finanziario (+33%), con un forte incremento anche per Online Services e Cloud (+36%).
Fa un balzo anche la crescita degli attacchi verso le categorie Fornitori Software e Hardware (+60% in un anno), Grande distribuzione organizzata e Retail (+62%).
È il quadro che emerge dalla quattordicesima edizione del Rapporto sulla sicurezza Ict del Clusit, l’Associazione Italiana per la Sicurezza Informatica, la cui anteprima è stata presentata oggi a Milano.
È stato ancora il Malware ‘semplice’, prodotto industrialmente e a costi sempre più bassi, il principale veicolo di intrusione nei sistemi, in crescita del 31% in un anno. Mentre aumentano del 57% gli attacchi con tecniche di Phishing e Social Engineering su larga scala, ancora a conferma della logica sempre più ‘industriale’ dei cyber-criminali.
Indice degli argomenti
Le nuove minacce per AI e Machine Learning
In uno scenario sempre più a rischio, ad aumentare le preoccupazioni per le prospettive della Cyber-security anche le nuove frontiere dell’Intelligenza Artificiale e del Machine Learning: “Da una parte, tecniche di Machine Learning sono utilizzate dai cyber-criminali per compiere attacchi in maniera molto efficace e sempre meno costosa. Dall’altra, questi sistemi risultano oggi ancora piuttosto vulnerabili, e quindi facilmente attaccabili, anche a causa delle attuali difficoltà di monitoraggio e gestione”, rimarcano gli specialisti del Clusit. Che mettono in guardia: “Esiste ormai la concreta possibilità che sistemi basati sull’Artificial intelligence possano essere alterati e indotti in errore attraverso tecniche di Adversarial machine learning, oltre che, più banalmente, attaccati e compromessi con tecniche tradizionali”.
Serve più sicurezza per l’Artificial intelligence
Anche l’iniziativa della Commissione Europea per lo sviluppo di una ‘Trustworthy AI‘ non pone la Cyber-security tra i requisiti essenziali di questi sistemi. “Nel documento ‘Ethics Guidelines For Trustworthy AI‘ si parla solo di ‘Respect for Privacy’ e, all’interno del requisito di ‘robustness’ dei sistemi, si parla di ‘resilience to attack’, criteri che di per sé non coprono tutti gli aspetti di sicurezza necessari. E che, così formulati, si prestano a interpretazioni troppo vaghe, considerato anche che i produttori implementeranno questi requisiti nella forma tecnicamente più conveniente ed economicamente meno costosa”, spiega Andrea Zapparoli Manzoni, membro del Comitato direttivo Clusit, tra gli autori del Rapporto. E sottolinea: “è certamente auspicabile che nei prossimi mesi questi requisiti siano rivisti in un’ottica più esplicitamente orientata alla Cyber-security, senza la quale nessuna Artificial intelligence potrà mai essere davvero ‘trustworthy’, affidabile”.
Machine Learning, un Far West senza regole
Con queste premesse, “la nostra realistica previsione è che dal punto di vista delle minacce alla Cyber-security globale e degli impatti conseguenti, il Machine Learning rappresenti il ‘nuovo IoT‘, ovvero un ulteriore fronte sostanzialmente non presidiato, un Far West tecnologico nel quale la complessità della Supply chain e la mancanza di chiare responsabilità da parte di produttori, gestori e utenti finali, rendono impossibile non solo l’applicazione di contromisure efficaci, ma anche il monitoraggio e la gestione dei rischi associati”, denunciano gli specialisti del Clusit. Che chiudono il capitolo Cyber-security in tema di Artificial intelligence e Machine Learning con un’ultima, drastica, annotazione: “considerata la diffusione prevista per queste piattaforme, e la delicatezza dei compiti che dovranno assolvere, accettare anche in questo contesto di ‘navigare a vista’ pur di non interferire con l’innovazione tecnologica sembra essere obiettivamente una pessima idea”.
Minacce, frodi e Cyber-crimini in Italia
Uno spaccato significativo della situazione in Italia lo danno i numeri e le analisi del Security Operations Center di Fastweb, che nel corso del 2018 ha registrato 40 milioni di Cyber-minacce in rete, in pratica una ogni secondo, in gran parte nei confronti di aziende. Per le imprese, il principale pericolo è rappresentato dai Malware, e il primo veicolo per gli attacchi è quello delle e-mail, ad esempio nel caso di trappole Phishing.
Per quanto riguarda gli attacchi DoS (Denial of Service), puntano a bloccare e mettere fuori uso un computer, una rete o anche solo un particolare servizio, mentre i DDoS (Distributed Denial of Service) amplificano la portata di queste minacce. Un attacco DDoS viene infatti realizzato utilizzando delle Botnet, ovvero decine di migliaia di dispositivi (non più solo computer di ignari utenti), in grado di generare richieste verso uno specifico target, con l’obiettivo di saturarne in poco tempo le risorse e di renderlo indisponibile. Nel 2018 sono state rilevate oltre 9.300 anomalie riconducibili ad attacchi di questo tipo diretti verso clienti Fastweb (+32% in un anno). I settori più colpiti sono la Pubblica amministrazione (nel 30% dei casi), seguita da Servizi (25%), Finanziario e assicurativo (17%).
I Service Provider sono il bersaglio prescelto nel 12% degli attacchi DDoS censiti da Fastweb, mentre si mantengono a livelli più bassi quelli nei confronti del settore Media (8%), Logistica (3%), e verso l’Industria (solo l’1%).
Gli attacchi che arrivano via VoIp
Anche i servizi VoIp (Voice over Internet protocol) possono essere sotto minaccia, e la vulnerabilità del protocollo può rappresentare un ulteriore modo per condurre attacchi mirati e frodi contro aziende e organizzazioni. Le problematiche sono varie: si può trattare di scenari evoluti di Social Engineering e intercettazione, fino a possibili interruzioni di servizio (DoS e DdoS), e Service Abuse, dove l’infrastruttura della vittima viene utilizzata per generare traffico verso numerazioni a tariffazione speciale.
Sempre secondo i dati raccolti lo scorso anno dal Dipartimento di Fraud Management della Direzione Security di Fastweb, sulle reti della clientela, circa la metà (51%) degli attacchi all’infrastruttura Voip è diretta verso clienti di tipo Small Business (le piccole imprese): spesso queste aziende non hanno particolari competenze di tipo tecnico, e il rischio di utilizzare dispositivi non correttamente configurati né monitorati è più elevato rispetto ad altri segmenti di clientela Business. Aziende più grandi, di medie dimensioni, sono il bersaglio nel 31% dei casi, le Pubbliche amministrazioni locali per l’11%, privati cittadini per il 5% del totale.
“Occorre affidarsi a tecnici specializzati, effettuare controlli periodici dei propri dispositivi, ed eseguire anche gli aggiornamenti suggeriti dai produttori. Per ridurre il rischio di intrusione illecita su dispositivi come i centralini digitali, è consigliabile impostare password sicure e aggiornarle periodicamente”, sottolineano gli specialisti per la Cyber-security di Fastweb.
La maggior parte delle frodi riscontrate riguarda casi di Service Abuse, ovvero attacchi per generare traffico illecito verso linee a tariffazione speciale, che in questo modo aumentano in maniera fraudolenta consumi e incassi, pagati dalle vittime del Cyber-crimine.