Minacce cyber in aumento nel 2022: cosa aspettarsi nel 2023

Nel corso del 2022, enti pubblici e privati, imprese e singoli cittadini hanno affrontato minacce cibernetiche sempre più complesse. Al fine di contrastare queste minacce informatiche al sistema del Paese, sono state adottate misure per rafforzare il quadro normativo sia a livello nazionale che europeo. Ma cosa ci si può aspettare per il 2023 in termini di sicurezza informatica?

L'anno si aprirà con l'avvio dei primi Laboratori Accreditati di Prova (LAP), che supporteranno le valutazioni e le certificazioni del Centro di Valutazione e Certificazione Nazionale (CVCN). Il passaggio attraverso il CVCN diventerà obbligatorio per gli acquisti di reti, sistemi e servizi ICT da parte degli operatori del 5G, del cloud e di tutti gli operatori appartenenti al Perimetro di Sicurezza Nazionale Cibernetica (PSNC) per i servizi interni al perimetro stesso. Le aziende sono in attesa della pubblicazione degli schemi di valutazione e certificazione che saranno prescelti dall'Agenzia per l'Italia Digitale (AGID), in attesa dell'adozione degli schemi di certificazione europei avviati dal Cyber Security Act e ancora in fase di lavorazione.

L'Europa ha già proposto uno schema generale di certificazione basato sui Common Criteria, uno schema per il 5G e uno per il cloud. Tuttavia, non è ancora stata resa nota la data di adozione prevista. Secondo il decimo rapporto sulle minacce dell'ENISA, pubblicato lo scorso ottobre, gli attacchi informatici sono in continuo aumento dal 2022. Il ransomware si posiziona al primo posto tra le minacce che hanno colpito enti pubblici e privati, imprese e cittadini nel corso dell'anno, seguito da malware, tecniche di social engineering (in particolare phishing) e data breach. Gli attacchi DDoS sono anche molto diffusi, con un attacco di grandi dimensioni che ha raggiunto un picco di traffico di 853,7 Gbps e 659,6 Mpps in 14 ore.

Il rapporto dell'ENISA evidenzia che quasi il 50% delle minacce si concentra sulla pubblica amministrazione, i governi, i fornitori di servizi digitali e i cittadini in generale. L'altro 50% è rivolto ai diversi settori dell'economia in modo generalizzato. Nel corso del 2022, sono stati compiuti sforzi per rafforzare il quadro normativo sia a livello nazionale che europeo. Tra le iniziative più significative, vi è l'adozione della Strategia Nazionale di Cybersicurezza 2022-2026 e l'operatività del CVCN. Questi interventi mirano a rispondere all'aumento delle minacce cibernetiche, con particolare attenzione al settore sanitario.

Nel corso dell'anno, il settore sanitario è stato oggetto di vari attacchi, come l'hackeraggio dell'ASL Napoli 3 Sud da parte del gruppo Sabbath e la diffusione dei dati sensibili dell'ULSS 6 Euganea di Padova da parte del gruppo Lockbit 2.0. Anche il Fatebenefratelli Sacco di Milano è stato colpito da un attacco ransomware condotto dal gruppo Vice Society. Il settore energetico è stato altrettanto colpito da attacchi informatici che hanno coinvolto le aziende leader nel settore dei servizi energetici, come GSE ed ENI.

Anche gli enti pubblici sono stati bersaglio di attacchi informatici nel corso del 2022. Ad esempio, l'ENIT è stata oggetto di un attacco da parte del gruppo Lockbit 2.0 che ha interrotto il funzionamento dei server e diffuso i dati raccolti. La rete Ferrovie dello Stato, Poste Italiane e i siti web di diversi ministeri, tra cui quelli della Transizione Ecologica, della Difesa e del Senato, sono stati colpiti da diverse campagne hacker. Al fine di affrontare queste minacce, è stata adottata la Strategia Nazionale di Cybersicurezza 2022-2026 e il Perimetro di Sicurezza Nazionale Cibernetica è stato istituito con un regolamento che definisce le procedure e i requisiti per la convalida dei Laboratori Accreditati di Prova (LAP) a supporto del CVCN.

Sono state anche adottate misure per garantire la sicurezza delle infrastrutture digitali e dei servizi cloud. È stato introdotto un modello di classificazione dei dati e dei servizi della pubblica amministrazione, insieme ai requisiti per le infrastrutture digitali e i servizi cloud che trattano dati e servizi strategici, critici e ordinari. È stato stabilito l'obbligo per le amministrazioni di completare il percorso di classificazione dei dati e dei servizi tramite la piattaforma PA digitale. Inoltre, è stato adottato il Decreto Aiuti bis, che ha introdotto disposizioni in materia di intelligence cibernetica per proteggere i sistemi informatici delle amministrazioni pubbliche da potenziali rischi connessi alla crisi russo-ucraina.

A livello europeo, è stata approvata la nuova normativa relativa alla sicurezza delle reti e delle informazioni (NIS 2), che stabilisce misure di gestione dei rischi cibernetici e obblighi di comunicazione in tutti i settori critici. È stato anche presentato il Cyber Resilience Act, che introdurrebbe requisiti obbligatori di sicurezza informatica per tutti i prodotti digitali nell'Unione Europea. Inoltre, è stato approvato l'accordo provvisorio sul Digital Operational Resilience Act (DORA), che mira a garantire la resilienza operativa nel settore finanziario europeo.

In sintesi, nel 2023 ci si aspetta l'avvio dei primi Laboratori Accreditati di Prova (LAP), ulteriori sviluppi nella certificazione e valutazione della sicurezza informatica a livello nazionale ed europeo, nonché una maggiore attenzione alla protezione del settore sanitario, energetico e dei servizi pubblici. Sono state adottate misure e introdotte normative per affrontare le minacce informatiche, garantire la sicurezza delle infrastrutture digitali e promuovere la resilienza dei sistemi informatici nazionali ed europei.