Cyberattacks all’assalto. Entro il 2021 i danni raggiungeranno quota 6 trilioni di dollari, una cifra che supera i danni dai traffici di droga mondiali. Negli ultimi tre anni, il numero di attacchi ha registrato un incremento di 17 punti percentuali (dal 62% nel 2014 al 79% nel 2017), cifra destinata ad aumentare. I dati vengono illustrati da Cefriel nel corso della seconda edizione di Hermeneut, progetto di ricerca europeo Horizon 2020 (di cui Cefriel è partner e coordinatore), che propone un approccio innovativo alla sicurezza informatica e integra l’analisi tra costi e benefici alla valutazione delle vulnerabilità e probabilità di attacchi informatici e degli impatti economici sui beni immateriali aziendali.
Considerando che il 91% di questi attacchi utilizza la tecnica dello spear phishing (obiettivo la sottrazione di dati o l’installazione di malware sul computer preso di mira) e del social engineering (spinge l’utente a lanciare un file infetto o ad aprire un collegamento a un sito web infetto), gli esperti concordano nell’attribuire al fattore umano (un errore, una distrazione, un click su un link di phishing, ecc) il principale fattore abilitante (90%).
Gli attacchi altamente targettizzati (il 60% del totale) sono quelli che agiscono a colpo sicuro in un’azienda, scegliendo accuratamente le “vittime” che di solito sono selezionate per una elevata esposizione sui social (30%) a causa della loro suscettibilità al phishing. I dipendenti sono la categoria più esposta agli attacchi (23%) e il numero di email ingannevoli è aumentato del 36%.
In questi casi il tempo medio di individuazione dell’infrazione informatica è di 146 giorni a livello globale e di 469 giorni a livello Emea: questo vuol dire che gli hacker rimangono mediamente nascosti e liberi di agire per almeno 15 mesi.
Negli ultimi anni inoltre aumentano gli attacchi informatici che vanno a colpire gli asset intangibili o i beni immateriali come la reputazione del marchio e dell’azienda, la fidelizzazione dei clienti, la proprietà intellettuale ecc, che rappresentano tra il 60% e l’80% del valore aziendale globale.
“Il tasso di incremento degli attacchi, che vengono portati a compimento, mostra il raggiungimento di un elevato grado di automazione e sofisticazione raggiunto dagli stessi e solitamente basato su una combinazione ben architettata di spear phishing e social engineering. Gli attacchi moderni sono in generale decisamente elusivi e difficili da identificare, ma allo stesso tempo in grado di produrre profitto per chi li compie – spiega Enrico Frumento, senior domain expert di Cefriel -. Il progetto Hermeneut fornisce uno strumento per valutare la probabilità di un attacco informatico ed i suoi costi, partendo dalle informazioni di base fornite dall’utente. Il sistema stima chi potrebbe attaccare l’azienda, con quali tecniche e identifica quali asset sono a rischio e con che conseguenze economiche, per poi aiutare a identificare la soluzione più adatta al singolo caso. Il progetto è rivolto principalmente alle Pmi, per aiutarle a comprendere e gestire i rischi cibernetici, i loro costi e pianificare le misure di contrasto, in modo facile”.
