La crescente preoccupazione per i crimini informatici trova riscontro in una
grande indagine promossa da IBM in tutto il mondo: le spese causate dai cybercrimini alle aziende hanno ormai superato
quelle dei reati di tipo tradizionale.
IBM ha condotto un'indagine sul tema della
sicurezza informatica nelle aziende di 17 Paesi nel mondo, tra cui otto nazioni europee. I risultati si riferiscono al
2005, ma sono indicate anche le potenziali minacce previste per il 2006. Il 58% delle oltre tremila aziende
interpellate ritiene che i costi del crimine informatico siano ormai più gravosi rispetto a quelli provocati dal
crimine tradizionale. Il dato non deve stupire considerato che nel solo Regno Unito sono stati spesi, nel corso del 2004,
oltre 100 milioni di euro per ripristinare i sistemi aziendali danneggiati da pirati.
Il quadro del cybercrime
I risultati dello studio evidenziano come i maggiori costi determinati da cybercrime siano legati soprattutto a
perdite di fatturato (72%) e di clienti acquisiti (67%). Più distanti ma egualmente importanti sono poi
la perdita di clienti potenziali e la mancata produttività del personale. Quasi due terzi del campione considera
il danno all'immagine e alla reputazione un altro costo importante associato al crimine informatico. La nuova convinzione
che si sta affermando tra le aziende, nell'84% dei casi, è che vere e proprie organizzazioni criminose
tecnologicamente molto preparate abbiano preso il posto della figura dell'attacker solitario o dei piccoli gruppi degli
anni passati, che si introducevano nei sistemi per danneggiarli.
Le criticità
Sempre i due terzi degli intervistati si dice convinto che i principali pericoli alla propria sicurezza informatica
provengano dall'interno delle stesse organizzazioni di cui fanno parte: un dato allarmante che deve far riflettere. Le
preoccupazioni maggiori, tuttavia, sono rivolte ai Paesi in via di sviluppo: oltre il 70% delle aziende ritiene che
le caratteristiche di sicurezza di quei Paesi, con i quali si entra sempre più spesso in contatto in tutto il
mondo, non siano sufficienti a proteggere la Rete, e che anzi da lì partano proprio gli attacchi. Questi timori
sono aumentati dalla forte convinzione che la lotta al crimine informatico sia affrontata debolmente dalle forze
dell'ordine e dagli organi legislativi, che non starebbero facendo tutto il possibile: il 61% degli intervistati
afferma, infatti, che la legislazione in materia è ancora carente e non tuteli a sufficienza sia le aziende sia i
clienti.
Difese sufficienti?
I responsabili informatici delle aziende interpellate sostengono, nella maggior parte dei casi, di essere sufficientemente
pronti a difendersi in caso di attacco organizzato: l'aggiornamento del software antivirus (69%), l'aggiornamento
del firewall (74%), l'incremento di tecnologie volte a prevenire e rilevare intrusioni esterne (69%), il
potenziamento dei sistemi per la gestione delle vulnerabilità in rete (58%) sono ritenute misure preventive
adeguate. Gli estensori dell'inchiesta, tuttavia, ritengono che anche queste difese siano insufficienti a contrastare in
maniera adeguata le nuove frontiere del crimine.
Reati in evoluzione
IBM infatti prevede un repentino cambiamento nei crimini informatici con il passaggio da minacce globali e invasive a un
tipo di attacchi più subdoli, condotti contro obiettivi precisi, magari a scopo di estorsione. La questione
è molto chiara: in questi anni sono stati potenziati il livello di sicurezza del software e delle reti e tutti gli
strumenti tecnici di difesa. È molto probabile, per� che questi nuovi attacchi mirino all'ingresso che è
rimasto maggiormente vulnerabile e indifeso all'interno delle aziende: il personale e il cliente, il fattore umano.
Gli attacchi più comuni
Gli attacchi più comuni del crimine organizzato che utilizza il Web spaziano dai cosiddetti malware (malicious
software, "programma malvagio", brani di codice studiato per creare danni ai PC e alle reti) ai virus, entrambi sempre
più spesso propagati attraverso lo spam e il cosiddetto spear phishing, spam all'apparenza proveniente dall'interno
dell'azienda per ingannare facilmente il destinatario. Non vanno trascurati poi gli attacchi diretti tramite posta
elettronica, che nel 2005 hanno avuto una frequenza media di due-tre a settimana. Uno dei dati più sorprendenti
è che la maggior parte delle violazioni di sistema sembra provenire da fonti interne alle stesse aziende. Il
pericolo più grande, però, rimane il fattore umano, che dipenda da ignoranza informatica (eccesso di
confidenza rispetto a e-mail o siti sospetti), da inganno (raggiri di tipo social engineering, cioè vera e
propria estorsione di informazioni sensibili tramite frode, o tecniche come il phishing) o da malizia (cioè i
dipendenti stessi diventano attacker per ritorsione o a scopo di lucro). Tra le tecniche, la più affermata è
senz'altro il phishing, che ha colpito moltissimo nel 2005 indirizzandosi non alla società, ma ai suoi clienti.
Le previsioni per il 2006
IBM ritiene che, nel 2006, i criminali rivolgeranno i loro sforzi a costringere un utente inconsapevole a portare
l'attacco all'interno dell'azienda presa di mira, piuttosto che sprecare una grande quantità di tempo per cercare
eventuali punti deboli nei software. Occorre, quindi, una vasta opera di sensibilizzazione e formazione degli utenti
riguardo a queste minacce. Un altro anello debole, che i criminali informatici potrebbero sfruttare nell'anno in corso,
riguarda lo scarso coordinamento legislativo a livello internazionale, attaccando da e verso i Paesi emergenti e in via
di sviluppo, dove le sanzioni sono meno severe e l'applicazione delle leggi in materia è meno rigida. L'utilizzo
sempre più crescente di tool collaborativi, dai blog ai sistemi di marketing relazionale e sociale, potrebbe
essere un ulteriore strumento utilizzato per carpire informazioni aziendali riservate, così come i sistemi
automatici sempre più sofisticati, come i botnet, che permettono di controllare un sistema all'insaputa del suo
proprietario. Infine, il 2006 rischia di essere l'anno degli attacchi ai dispositivi mobili: PDA, cellulari e altri
apparecchi wireless dovranno guardarsi da una crescente minaccia specifica, perché sempre più i malware
sono progettati per colpire questo tipo di apparecchi.
L'Italia indietro
L'indagine di IBM ha coinvolto anche 150 aziende nazionali evidenziando una minore preoccupazione per gli effetti del
crimine informatico (solo il 23%) rispetto ad altri Paesi nel mondo. Anche nelle imprese nostrane è maggiore
(75%) la convinzione che dietro gli attacchi informatici ci siano una sorta di criminalità organizzata: la
metà ritiene che le minacce siano prodotte dall'interno delle organizzazioni e da sistemi carenti di sicurezza nei
Paesi del terzo mondo con cui intrattengono affari.
Sui sistemi di sicurezza e protezione dai pericoli della Rete, tuttavia, le aziende italiane sembrano meno consapevoli e
meno preparate rispetto alle imprese di altri Paesi del mondo: addirittura il 42% degli intervistati ha dichiarato
di non sapere con certezza della presenza o meno di difese adeguate all'interno della struttura. Tra i fattori più
rilevanti nella prevenzione sono indicati l'intervento da parte del legislatore e delle forze dell'ordine, il generico
potenziamento delle tecnologie per il rilevamento e la prevenzione delle intrusioni e l'aggiornamento dei firewall.
Risposte generiche che dimostrano poca attenzione ai pericoli, soprattutto se associati a un altro dato: in Italia, il
77% delle aziende (contro il 43% della media globale) individua nell'attività di investigazione,
necessaria a determinare quanto accaduto, il costo maggiore connesso al cybercrimine. La spesa di ricerca delle falle
è quindi sentita come un costo. Un atteggiamento mentale che la dice lunga sul comportamento dei nostri
responsabili d'azienda rispetto al crimine informatico.
Un futuro a rischio
La sensazione, quindi, è che in Italia il pericolo sia ancora ampiamente sottovalutato. Ciò può
dipendere in parte dall'arretratezza tecnologica delle società in fatto di sicurezza informatica. Molte aziende
devono ancora adeguarsi agli standard europei e mondiali: gli investimenti in sicurezza sono aumentati (le cifre parlano
di una spesa di 800 milioni nel solo 2005 per difendersi dalla pirateria informatica), ma rimane tutto da verificare
quanto sia stato fatto in termini di prevenzione, sensibilizzazione e formazione degli utenti. Chiunque abbia un minimo
di pratica delle medie aziende italiane e delle pubbliche amministrazioni sa quanto scarso sia il livello di preparazione
dell'utente medio, sia rispetto all'uso delle tecnologie in genere sia rispetto al problema specifico della sicurezza. Se
le previsioni di IBM avranno fondamento, le imprese dovranno rispondere ad attacchi più mirati, subdoli e, quindi,
potenzialmente molto più pericolosi. E l'Italia sembra ancora a rischio.
