Il Rapporto Clusit 2012 sulla Sicurezza ICT in Italia è l’unico vero esempio tutto italiano di analisi sulla sicurezza delle informazioni che, una volta tanto, ci mette al passo con le più prolifiche ed assidue fonti di informazione internazionali. Ben fatto ed esaustivo, presenta però un quadro alquanto allarmante in considerazione dei recenti trend di crescita dei crimini informatici.

Qualche dato: almeno 10 miliardi di dollari l’anno è il frutto dei crimini informatici per le reti internazionali e transnazionali di cybercrime, mentre i danni indotti alle malcapitate vittime vengono stimati in circa 400 milioni di dollari. Quella dei crimini informatici è ormai diventata un’industria, con veri e propri investitori e diverse organizzazioni interamente dedite a questa nuova tipologia di facile profitto. Ed è sempre più difficile individuare con certezza i reali confini fra cybercrime organizzato, cyber espionage e warfare, hacktivisti e singoli cracker a causa dei limiti intrinseci di tracciabilità e attribuzione propri della rete Internet.

Nuovi obiettivi, ma sempre le solite vulnerabilità

Un dato molto interessante che emerge dal report Clusit è la classifica degli obiettivi di attacchi informatici che vede al primo posto le istituzioni governative, militari, di polizia e di intelligence e non più banche e istituzioni finanziarie come si è indotti a credere. Di certo l’alto volume degli attacchi a questo tipo di obiettivi è dovuta all’esplosione del fenomeno degli hacktivisti avvenuta nel corso del 2011 con i gruppi Anonymous e LulzSec e che ha contributo decisamente al repentino aumento degli attacchi da meno di 10 al mese fino ad oltre 100.

In Italia gli obiettivi prediletti dagli attaccanti rispecchiano la classifica globale: in testa troviamo istituzioni governative, università e organizzazioni politiche, con istituti bancari e finanziari relegati al settimo posto. Ciò che dovrebbe far inorridire qualsiasi professionista della sicurezza è la classifica delle tipologie di attacco: SQL Injection, malware e sfruttamento di vulnerabilità arcinote ed errate configurazioni dei sistemi sono in testa a confermare, qualora ne avessimo necessità, che il problema principale è lo scarso livello di protezione generale.

Inconsapevoli e arretrati

Un dato che mi ha colpito e sul quale concordo pienamente è la generale assenza della necessaria consapevolezza. Mentre i criminali informatici sono sempre un passo avanti alle forze di polizia e agli organi di controllo, le aziende sono nettamente indietro sul fronte delle misure di sicurezza e protezione. Istituzioni, multinazionali, banche e aziende di servizio espongono siti web afflitti da un numero impressionante di vulnerabilità ormai note da anni, un comportamento che al giorno d’oggi è difficilmente giustificabile.

Alla mentalità arretrata di molti dirigenti, che vedono ancora la sicurezza come una grossa voce di costo, si aggiunge la scarsa preparazione del middle management sui processi di gestione delle tecnologie e della sicurezza, nonché la superficialità e la scarsa motivazione degli amministratori di sistema e degli addetti alla sicurezza che restano all’oscuro dei più basilari principi. Gli standard di settore sono scarsamente  compresi ed adottati, le certificazioni professionali sono una rarità e la formazione sulla sicurezza fatica enormemente a prendere piede, salvo qualche eccezione dovuta agli adempimenti in tema di privacy, safety e responsabilità amministrativa.

Il problema è essenzialmente di origine culturale: quando si acquista un dispositivo elettronico è raro che il manuale d’uso venga letto con attenzione per acquisire la giusta consapevolezza nell’utilizzo dello strumento e delle sue funzionalità, né si pensa di dedicare un po’ di tempo ad individuare ed approfondire i rischi che derivano dal suo uso.

Secondo il report del Clusit, il numero degli account Twitter italiani ha già raggiunto quota 2 milioni a fine 2011 e il numero degli smartphone è ormai oltre i 20 milioni di dispositivi. A questa grande corsa all’adozione di funzionalità e tecnologie all’avanguardia non corrisponde un’adeguata cultura di sicurezza né la consapevolezza dei rischi che ne derivano. In Italia solo il 2% degli utenti Internet avrebbe la piena consapevolezza dei rischi e sarebbe in possesso delle conoscenze necessarie per proteggersi adeguatamente, mentre ben il 71% ne è privo e continua ad adottare comportamenti imprudenti diventando facile preda per truffe di vario tipo.

In azienda la situazione è analoga

Se ciò avviene a casa, perché non dovrebbe avvenire sul posto di lavoro? In generale c’è poca voglia di approfondire, di studiare, di verificare, di collegare gli eventi e di imparare dalle esperienze pregresse. Gli errori, anche i più madornali, vengono ripetuti in più occasioni e l’attuazione di opportune misure correttive è spesso un miraggio. Gli adempimenti di legge, che dovrebbero servire come driver abilitanti per introdurre importanti concetti di sicurezza in azienda, sono visti come seccature e vengono spesso largamente interpretati in maniera alquanto discutibile ed utilitaristica.

Chi è chiamato ad amministrare sistemi e applicazioni lo fa spesso con sufficienza ed approssimazione, mentre quei pochi professionisti che hanno ottenuto con fatica un certo grado di consapevolezza e cercano in tutti i modi di diffonderla rimangono spesso inascoltati, talvolta addirittura derisi per il troppo catastrofismo. Lo sviluppo sicuro è una chimera, i disegni architetturali sono antiquati, le tecniche di hardening sono una leggenda e si è tuttora convinti che la protezione perimetrale consista solo in firewall L3 e sonde IDS. Gran parte dei dirigenti, infine, coloro che dovrebbero guidare e verificare l’implementazione delle misure di sicurezza, è rimasta ai concetti di sicurezza reattiva in voga vent’anni fa.

Più consapevolezza, focalizzandosi sugli utenti

In tutto questo, altro errore madornale è il mettere al centro solamente gli interessi aziendali e non i diritti della clientela. La condotta irresponsabile di coloro che hanno il compito di proteggere il patrimonio informativo aziendale si ripercuote spesso nei confronti degli utenti che affidano le proprie informazioni ai servizi online e che, a loro volta, sono scarsamente a conoscenza dei rischi connessi, dei propri diritti e dei relativi doveri.

Anche i media non sono esenti dalla mancanza di consapevolezza: viene dato molto più risalto al defacement o al DDoS verso un sito governativo rispetto ad eventi molto più importanti come il furto o la cancellazione di dati personali sensibili o l’arresto di servizi di prima necessità.

Il rapporto del Clusit traccia con chiarezza la giusta strada da seguire: pianificare difese ed investimenti in modo consapevole e trasparente, pesando correttamente tutti i fattori di rischio e ponendo al centro della strategia l’utente del servizio. Chi fornisce servizi online deve considerare il diritto alla privacy degli utenti e il consenso informato sui rischi come un dovere da trattare con la dovuta attenzione. Allo stesso modo, l’utente deve essere consapevole dei diritti di cui gode nell’utilizzo dei servizi e delle annesse responsabilità.

Il Rapporto Clusit 2012 sulla Sicurezza ICT in Italia può essere richiesto sul sito ufficiale del Clusit.

Ettore Guarnaccia