L’Agenzia per la Cybersicurezza Nazionale, che da qui in avanti chiameremo semplicemente ACN, è un organo nato abbastanza recentemente e creato dal governo italiano nel 2021 che ha il compito di diventare una figura centrale per la gestione di un tema che ormai è diventato fondamentale, ovvero la protezione del perimetro nazionale da tutte le minacce. Non sono rari i casi in cui, a seguito di attacchi subiti ad esempio da enti pubblici, come ospedali o ministeri, ACN sia intervenuta assieme alla Polizia Postale per supportare le operazioni di ripristino e di aiuto per l’istituzione colpita.
In data 24 aprile è andata in scena l’annuale relazione di ACN di fronte al Parlamento italiano, un’occasione che come ogni anno diventa utile alla comprensione del contesto della cybersecurity nostrana ed estera e per capire, dati alla mano, quali sono state le minacce per il nostro paese durante tutto il 2023. I dati, ottenuti grazie alla collaborazione di un’altra realtà pubblica italiana ovvero lo CSIRT, che riceve le notifiche di coloro che si trovano sotto attacco, mostrano un totale di eventi riscontrati che arriva a quota 1.411 a tutto il 2023, con 303 incidenti ad impatto confermato. Oltretutto CSIRT ha segnalato quasi 3.700 problemi di sicurezza su dispositivi e servizi, quasi 590 campagne di phishing e 56 diversi attori ransomware. A livello di cambiamenti rispetto al 2022, si nota una serie di aumenti, a partire dalle segnalazioni, che crescono del 330%, gli incidenti in salita del 140% e gli eventi cyber aumentati del 29%. Dalle attività di monitoraggio di CSIRT poi emerge un altro dato emergenziale, ovvero l’aumento degli asset segnalati come “a rischio”, che nel 2022 erano 764 e nel 2023 sono passati ad oltre 3.600, salendo di oltre il 300%.
In base ai numeri appena visti, la media mensile degli eventi riscontrati è di 117 eventi, mentre grazie ad un grafico fornito nella relazione vediamo che nel mese di ottobre, con 169 casi, è stato raggiunto il picco. Degli oltre 1.400 eventi, solo 303 sono stati confermati come incidenti veri e propri, questo fa sì che mensilmente questi eventi si siano fermati ad una media intorno a 25, anche questo è un dato che deve fare evidentemente riflettere. Per meglio comprendere la dicitura “eventi cyber” giunge a supporto la classifica di quelli maggiormente riscontrati, che vede al primo posto gli attacchi DDoS con 319 segnalazioni, seguiti da phishing e diffusione malware via email, che spesso combaciano, e dai ransomware, tutti ben oltre i 150-200 casi segnalati.
Passiamo poi ad un argomento pluritrattato in questo genere di report ovvero i settori maggiormente colpiti, che vedono al primo posto, per ACN, le Telecomunicazioni con 216 segnalazioni seguite dalle PA Centrali (201) e dalle PA Locali (140), ma hanno un grande ruolo in questo caso anche i trasporti ed i servizi finanziari. Le operazioni militari intraprese prima in Ucraina e poi in Palestina, che hanno fatto aumentare anche il cosiddetto hacktivism, ovvero gli attacchi collegati alle motivazioni politiche degli hacker, specializzati in questi casi nel lancio di campagne DDoS verso gli obiettivi ritenuti più sensibili o vulnerabili. Il ransomware continua ad essere in ogni caso la minaccia più importante degli ultimi anni. Purtroppo, fa notare il CSIRT, i numeri sui ransomware potrebbero essere ben più alti rispetto ai 165 eventi segnalati a CSIRT da PA e operatori privati, questo perché molte aziende, specie le PMI, non si prodigano nel comunicare di essere rimasti vittime di un hacker focalizzandosi prima sulla risoluzione del problema. L’84% delle campagne ransomware che hanno sortito effetti erano indirizzate ad aziende private, mentre tra quest’ultime sono le piccole ad essere quelle più esposte, col 46% degli attacchi indirizzati verso esse. La famiglia ransomware più segnalata, infine, è stata Lockbit, che insieme a Lockbit 3.0 è stata responsabile di 41 degli attacchi riscontrati.
Chiudendo sugli eventi subiti dalle PA italiane, vediamo il fortissimo aumento degli eventi riscontrati da ACN, che passano dai 160 del 2022 agli oltre 400 del 2023. Tra essi, quelli che si sono tramutati in incidenti con conseguenze importanti sono stati 85, ed hanno colpito principalmente organi centrali riconosciuti costituzionalmente. Al secondo posto tra le vittime troviamo i comuni e dopo di essi le regioni. Il tipo di attacco prediletto in questo caso è il DDoS con 96 casi, seguito dallo sfruttamento di vulnerabilità note (50 casi) ed il phishing (41 casi).
Nella parte finale della relazione si è invece parlato del PNRR e delle risorse messe in campo per aumentare ancora di più la potenza di fuoco dell’Agenzia, grazie ad investimenti mirati. Questa è una prospettiva che chiaramente sta a cuore a tutto il settore pubblico ed a quello privato, sempre più interessati al corretto funzionamento ed alla efficacia di ACN.