Minacce virtuali ma molto reali

Quasi 11 mila segnalazioni di incidenti informatici nel 2020, oltre 21 mila nel 2021, 34 mila e spiccioli lo scorso anno. Il fenomeno degli attacchi informatici non accenna a diminuire in Svizzera. Un problema serio, perché va a toccare direttamente privati cittadini, aziende, istituzioni pubbliche. «E queste cifre potrebbero rappresentare solo una parte del totale degli  incidenti informatici», avverte Florian Schütz, delegato federale alla cibersicurezza. Infatti, al momento, in Svizzera non esiste un obbligo generale di denuncia degli attacchi informatici. Una situazione destinata a cambiare presto: in dicembre, il Consiglio federale ha approvato un messaggio relativo alla modifica di legge sulla sicurezza delle informazioni. La Commissione della politica di sicurezza del Consiglio nazionale si esprimerà oggi. Se il Parlamento approvasse il progetto, verrebbero poste le basi legali affinché i gestori delle infrastrutture critiche (come ad esempio le centrali nucleari) vengano assoggettati all’obbligo di notifica al Centro nazionale per la cibersicurezza (NCSC).

In attesa della definizione di un quadro normativo maggiormente proattivo e al passo con i tempi, le pressioni cui è sottoposto l’NCSC sono costanti. In particolare, l’anno scorso sono esplose le segnalazioni riguardanti una particolare truffa: l’e-mail estorsiva. «Sì, le segnalazioni di presunte e-mail minatorie a nome della polizia sono aumentate notevolmente», conferma il delegato. «Il fenomeno, a fine 2021, ha investito la Francia prima di passare alla Romandia e poi alla Svizzera tedesca. Un’ondata di tentativi di frode che ha spinto il nostro centro a creare una nuova categoria («finta estorsione») per catalogare le segnalazioni. In totale abbiamo registrato oltre 10 mila tentativi di attacchi di questo tipo». Di gran lunga la minaccia più in voga nel 2022, seguita dai tentativi di phishing (4.453 segnalazioni) e dal comune spam (3.344). Stabile, per contro, il numero dei ransomware: tutto sommato una buona notizia, visto che si tratta di attacchi informatici fra i più dannosi in circolazione.

Ma il catalogo utilizzato dai banditi del web è costantemente in evoluzione. Le minacce sono tante e diverse fra loro, in un contesto estremamente mutevole. «I criminali informatici sono molto innovativi e propongono sempre nuovi scenari e vettori di attacco», sottolinea a questo proposito Schütz. «Quando cercano di entrare in un sistema attraverso il fattore umano, spesso utilizzano temi di attualità e trucchi psicologici per camuffare i loro tentativi di attacco. Per superare facilmente gli ostacoli tecnici, queste persone si avvalgono spesso di vulnerabilità già note o di dati di accesso acquisiti. Dati che vengono scambiati sul mercato». È per questo che la prevenzione, in campo informatico, è tutto. Prevenzione innanzitutto tecnica ma, proprio per il sensibile fattore umano, anche formativa. «Con la crescente digitalizzazione e i cambiamenti sociali ad essa associati, il tema della sicurezza informatica è diventato sempre più oggetto di attenzione da parte della popolazione e dei media», commenta il delegato. Addirittura, come spiega ancora Schütz, le aziende non vivono più l’attacco come un tabù, come qualcosa di cui vergognarsi o da nascondere. Di riflesso, sempre più società notificano gli attacchi ricevuti. «Lo scopo della maggior parte dei criminali informatici è quello di ottenere il maggior profitto possibile con il minimo sforzo. Per questo motivo la maggior parte degli attacchi viene condotta secondo il principio dell’annaffiatoio, ossia non è rivolto a un’istituzione, un’azienda, una persona o un settore specifico, bensì a un ventaglio di bersagli il più possibile variegato. In questo modo ci sono più possibilità, per i criminali, di sfruttare eventuali falle o disattenzioni».

Schütz si rallegra dunque della sempre più marcata sensibilità nei confronti della sicurezza informatica. Eppure, non mancano punti deboli. «Il fatto che sempre più entità prendano contromisure è senz’altro positivo», rileva. «Tuttavia, a mio avviso, la discussione ruota ancora molto attorno allo schema attacco-difesa. Ma la cosiddetta ‘‘kill-chain’’ dovrebbe essere avviata molto prima, utilizzando un software sviluppato in modo corretto per chiudere più falle possibili. In generale, nonostante la Svizzera goda di un’ottima infrastruttura informatica e di molte competenze in questo campo, si potrebbe fare di più. Non solo: la trasparenza nel settore della sicurezza informatica è un altro punto che dovrebbe essere migliorato. L’obbligo di notifica citato in precedenza è un passo importante in questa direzione, ma va standardizzato per tutti i settori». Inoltre, come fa notare Schütz, ancora troppe aziende non conoscono i veri rischi di un attacco informatico. «È una questione di responsabilità d’impresa», spiega. «Spesso nei consigli di amministrazione mancano figure con competenze informatiche. Eppure la cibersicurezza è un argomento centrale, proprio come lo sono la finanza, i mercati, le leggi». Nonostante un buon punto di partenza, in Svizzera si potrebbe migliorare. «Anche perché è prevedibile che i criminali informatici attualmente coinvolti nel conflitto in Ucraina presto o tardi dovranno rifinanziarsi», avverte Schütz. «Ciò significa che aumenteranno gli attacchi informatici nel prossimo futuro».

 Il quadro legislativo svizzero presenta alcune carenze per far fronte con efficacia ai ciberattacchi. Una delle più evidenti è la mancanza dell’obbligo di notifica per i gestori delle infrastrutture critiche. Reti di distribuzione energetica e di comunicazione, centrali nucleari e idroelettriche. Ma anche università, politecnici, infrastrutture pubbliche, banche (che già oggi sono obbligate a segnalare attacchi hacker all’autorità di vigilanza, la FINMA), assicurazioni sociali, ospedali. L’elenco è voluminoso. Il Consiglio federale, per sopperire a questa falla, ha presentato un messaggio concernente una modifica della legge sulla sicurezza delle informazioni. L’iter è stato avviato da tempo: dopo una fase di consultazione (che ha ottenuto ampi consensi), il Governo ha approvato il messaggio lo scorso 2 dicembre. Toccherà ora al Parlamento esprimersi durante la sessione delle Camere. Un passo in avanti importante, che permetterà (se la modifica venisse approvata) di avere un quadro preciso della situazione in caso di attacco ai punti nevralgici della società. E di correre rapidamente ai ripari. Uno strumento fondamentale, dunque, per proteggere al meglio le infrastrutture critiche in un momento estremamente delicato a livello geopolitico. «L’induzione di un blackout elettrico su larga scala a seguito di un attacco informatico è sempre stato uno degli scenari di crisi», spiega a questo proposito il delegato federale alla cibersicurezza Florian Schütz. «Dallo scoppio della crisi ucraina, la sensibilità verso questo tema è aumentata ulteriormente. L’NCSC ha quindi intensificato il monitoraggio nell’area Internet svizzera ed è in contatto regolare con i fornitori di energia in Svizzera e con le autorità internazionali. Il quadro generale, che viene costantemente adattato alla nuova situazione, non mostra attualmente un aumento degli incidenti informatici nel settore dell’approvvigionamento energetico svizzero, né in generale, né in relazione alla crisi ucraina».

 Phishing È una delle truffe più comuni. Phishing deriva dal temine «fishing» (pescare). In pratica, i cibercriminali - fingendosi un ente affidabile - cercano di convincere la vittima a fornire dati personali sensibili come dati bancari, codici di accesso della carta di credito, password. Spesso si tratta di messaggi di posta elettronica (ma talvolta viene sfruttata la messaggistica istantanea) che imitano comunicazioni ufficiali. Il primo utilizzo del phishing risale addirittura al 1995. 

Spam Lo spam, o posta spazzatura, è uno dei messaggi più fastidiosi. Si tratta fondamentalmente di pubblicità indesiderata di prodotti spesso illegali o di dubbia provenienza. I criminali, per massimizzare gli obiettivi, spesso utilizzano degli «spambot» per dragare nella rete una quantità enorme di indirizzi di posta elettronica.  

Ransomware È un malware che infetta il dispositivo attaccato. Alla vittima viene impedito l’accesso ai suoi dati e viene costretto a pagare un riscatto ai cibercriminali. È estremamente dannoso per le aziende.