Lacrime cyber per l’Europa

Le buone notizie non erano attese e l’infografica che evidenzia le principali minacce cyber pubblicata dal Consiglio Europea la scorsa settimana ne è stata l’ennesima conferma. Questo a partire dall’annuncio che i costi generati dal crimine informatico sono raddoppiati rispetto al 2015, raggiungendo quota 5,5 trilioni di euro. La minaccia numero uno è il ransomware, non soltanto per l’iperattività delle organizzazioni implicate, ma soprattutto perché il Consiglio stima che cedono al ricatto almeno il 60 per cento delle vittime. Inutile dire che, se così fosse, dovremmo attenderci un peggioramento dello scenario con i criminali sempre più incentivati a colpire. Al secondo posto si collocano gli attacchi DDoS che nello scorso luglio hanno raggiunto il massimo storico, almeno per gli operatori del Vecchio Continente. Sull’ultimo gradino del podio si collocano i malware, in particolare i cosiddetti Trojan che a giugno 2022 sarebbero finiti su almeno 10 milioni di dispositivi di ignari utenti.

Una prima menzione speciale è per il social engineering, phishing e zone limitrofe, che si dimostra sempre la più efficace tecnica di attacco, come testimonia il fatto che in oltre l’80 per cento degli incidenti il fattore umano è determinante.

La seconda, invece, riguarda gli attacchi che puntano a colpire la catena dei fornitori delle grandi organizzazioni. E’ significativo come questo tipo di incidenti nel 2020 fosse rilevante soltanto nell’1 per cento dei casi. Per contro, nel 2021 è stato decisivo nel 17 per cento dei casi. In buona sostanza gli anni passano e i numeri peggiorano sistematicamente, al punto che quando si domanda a un esperto di settore se l’ultimo è stato il vero “annus horribilis”, la risposta è sempre la stessa: “No, ma speriamo finalmente lo sia il prossimo”. La domanda successiva, poi, è sempre la stessa: “Cosa possiamo fare?”.

La risposta varia, ma non di molto, ed è quella che 22 anni orsono diede Kevin Mitcnick al presidente di una commissione del Senato statunitense. Il celebre hacker era da poco uscito di prigione, condannato per le sue innumerevoli scorrerie informatiche, e nel febbraio del 2000 una serie di devastanti attacchi DDoS avevano messo in ginocchio i principali operatori della Rete. La Commissione doveva capire come mettere al sicuro i sistemi informatici del governo federale e pose la fatidica domanda. Mitnick rispose semplicemente che il governo federale stava buttando nella spazzatura milioni di dollari in misure tecnologiche, ma trascurando il vero anello debole della catena, che sono le persone che gestiscono e usano i sistemi. Sono passate oltre due decadi da quelle parole e la situazione è rimasta tale e quale, come ci dicono i numeri del social engineering. Senza una cultura della sicurezza dovremo rassegnarci che l’annus horribilis sarà sempre quello che verrà.