Anche per questo 2023 sono arrivati i numeri del “Verizon Data Breach Investigations Report”. Una volta tanto comincio con un dato che personalmente ritengo molto positivo: è confermato il trend per cui gli incidenti che coinvolgono le tecnologie OT, quelle dei sistemi industriali, sono in forte minoranza. Soltanto il 3,4 per cento degli oltre 16 mila incidenti rilevati ha riguardato questo tipo di infrastrutture, di cui 5.199 si sono trasformati in violazioni. Considerando le conseguenze nel mondo reale che può avere questo tipo di attacchi possiamo rallegrarci del dato. Per il resto le “solite ombre”. Ransomware e attacchi di DDoS sono sempre sulla cresta dell’onda, così come il fattore umano rappresenta la principale vulnerabilità delle organizzazioni. A questo proposito, ci sono due aspetti che meritano di essere sottolineati.
In primo luogo, i “pretexting attack” e in particolare la categoria di quelli BEC (Business Email Compromise) sono cresciuti del 50 per cento. Prima di andare oltre vi devo una, anzi due, spiegazioni. Cosa sono i “pretexting attack” e quelli BEC? Si tratta di una forma di social engineering in cui l’attaccante crea una situazione tale da indurre la vittima a cadere in errore, e quello BEC ne è un esempio. In questo caso i criminali sfruttano uno scambio di messaggi di posta elettronica esistente inoltrandolo a un dipendente dell’organizzazione e chiedendogli informazioni, oppure di cambiare qualcosa. Attacchi di questo tipo sono spesso rivolti al personale amministrativo e finanziario.
Un caso esemplare è quello in cui la vittima riceve un messaggio con la richiesta di modificare le coordinate bancarie di un pagamento. In una situazione normale il destinatario si farebbe più di una domanda, ma proprio lo scambio di messaggi sottostante rende tutto credibile. In realtà il nuovo conto bancario appartiene all’aggressore, quindi il pagamento finirà nelle mani sbagliate. Inutile dire che non si tratta di spedire una “banale” email di phishing, e richiede un certo impegno, ma negli ultimi due anni il “ricavo” medio per singolo attacco è cresciuto fino a raggiungere i 50 mila dollari. Ecco che il gioco vale la candela.
Veniamo ora al secondo aspetto che impone una riflessione. Ben 602 incidenti sono stati determinati da errori di varia natura che nel 99 per cento dei casi sono stati commessi da personale interno all’organizzazione e nell’85 per cento dei casi hanno portato a una violazione dei sistemi confermata, questo rispetto a una media complessiva per cui meno di un incidente su tre si trasforma in violazione. Il dato è preoccupante, ma diventa decisamente inquietante quando si guarda il “chi” ha commesso l’errore: otto volte su dieci si è trattato di sviluppatori o amministratori di sistema. Per questa volta la croce non la gettiamo addosso al solito “utonto”.