Questo Rapporto, giunto al diciassettesimo anno di indagini online consecutive, rappresenta uno strumento importante per gli operatori del settore della sicurezza informatica e offre una panoramica dettagliata sugli attacchi digitali intenzionali subiti dalle aziende italiane nel 2023.

Vediamo, in questo articolo, alcuni dati interessanti emersi dal Rapporto OAD 2024.

Cos’è il Rapporto OAD 2024 sugli attacchi informatici nelle aziende

Come nelle edizioni precedenti, l’Osservatorio si è avvalso della collaborazione della Polizia Postale e per la Sicurezza Cibernetica. In Italia, OAD rappresenta l’unica indagine online via web, indipendente e autorevole, sui temi sopra citati, senza uno specifico e predefinito bacino di rispondenti: chiunque – interessato e coinvolto nella gestione di un sistema informativo di un’azienda/ente – può avere libero accesso al questionario online, in maniera totalmente anonima.

Visto il numero di risposte raccolte, e la loro distribuzione tra aziende ed enti pubblici di varie dimensioni e di diversi settori, l’indagine OAD permette di fotografare il fenomeno degli attacchi digitali intenzionali in Italia e delle misure di sicurezza in essere, coinvolgendo anche le piccole e piccolissime realtà, che costituiscono la stragrande maggioranza nel territorio italiano.

L’indagine online OAD 2024 fa riferimento, come detto, agli attacchi rilevati nel 2023, un anno caratterizzato da un peggioramento della situazione geopolitica a livello mondiale, da crescenti disinformazione e mala informazione, anche per le tecniche di Intelligenza Artificiale usate in vari strumenti di attacco.

Tutto ciò ha portato ad avere ancora una altissima diffusione di attacchi digitali intenzionali, con gravi impatti sui sistemi informativi (SI) delle aziende e degli enti che hanno risposto al questionario.

Andiamo nel dettaglio, vedendo insieme alcuni dati.

Attacchi informatici alle aziende: tipologie e tecniche di attacco

Nel 2023, il 72,4% delle aziende/enti rispondenti ha subito attacchi digitali ai propri sistemi informativi (SI).

I tipi di attacchi più diffusi sono stati:

• modifiche malevoli/non autorizzate ai programmi e alle configurazioni dei sistemi ICT: 31,7% (un dato cui ha senza dubbio contribuito la larghissima diffusione di malware e di ransomware in Italia);
• attacchi DoS/DDoS, per la saturazione dei sistemi ICT connessi ad Internet: 20,7%;
• uso non autorizzato e malevolo di sistemi ICT del SI: 18,3%;
• attacchi alla supply chain informatizzata: 15%;
• furto di dispositivi mobili, prevalentemente gli smartphone: 13,4%.

Le altre tipologie di attacco considerate da OAD hanno percentuali sotto il 10% e – rispetto alle precedenti edizioni – per la prima volta non sono presenti ai primi posti di questa classifica i sistemi di controllo degli accessi (IAA, Identificazione-Autenticazione-Autorizzazione) e gli attacchi alle reti geografiche/locali.

Per quanto riguarda, invece, le tecniche di attacco più diffuse (negli attacchi più gravi) i dati evidenziano quanto segue:

• 40,4%: uso di più tecniche per lo stesso attacco;
• 37,6%: raccolta illegale di informazioni, ottenute soprattutto con il social engineering;
• 25,3%: codici maligni, alla base degli assai diffusi attacchi ransomware.

Dai dati emerge una correlazione tra gli attacchi rilevati e le dimensioni e il fatturato delle aziende/enti rispondenti, a conferma che anche nel 2023 il maggior numero di attacchi digitali, e i più sofisticati, sono stati rivolti ad organizzazioni di grandi dimensioni e fatturato.

Le piccole e piccolissime organizzazioni, sia private che pubbliche, non rappresentano solitamente un obiettivo di interesse specifico per i cyber criminali negli attacchi mirati, ma possono tuttavia essere coinvolte in attacchi di massa (ad esempio, quelli basati sul phishing e sul ransomware).

Attacchi digitali nelle aziende: un rischio da non trascurare

Il bacino di aziende/enti che hanno risposto all’indagine copre tutti i settori merceologici, incluse le Pubbliche Amministrazioni. I più numerosi risultano essere:

• settore Istruzione, con il 23,6%;
• settore Servizi Professionali e di supporto alle aziende (avvocati, commercialisti, notai, ecc.), con il 12,3%;
• settore Industria manifatturiera e costruzioni, con l’11%.

In termini di dimensioni, prendendo come riferimento il numero di dipendenti, hanno risposto il 69,8% di piccole e medie organizzazioni, ovvero quelle con meno di 250 dipendenti. Tra queste, significativa la percentuale di 22,9% di organizzazioni con meno di 10 dipendenti, che in Italia costituiscono la stragrande maggioranza delle imprese.

Nel questionario OAD 2024, le domande sulle misure tecniche, organizzative e di gestione della sicurezza digitale presenti nei sistemi informativi e nelle aziende/enti rispondenti erano opzionali, dunque vi hanno risposto il 35,4% del totale. In generale, i SI delle aziende/enti rispondenti si posizionano soprattutto nella fascia alta per le misure implementate, ma nonostante questo esse hanno subito molti attacchi digitali (con forti impatti in termini di disservizi e di costi per il SI e per l’intera azienda/ente).

In conclusione, nel 2023 permane l’ampia diffusione di gravi attacchi digitali e di un forte rischio cibernetico a livello mondiale, europeo e in Italia. Nel nostro Paese, dal 2020, si è entrati nell’era dell’insicurezza digitale sistemica (systemic cyber insecurity), una condizione che riguarda il mondo intero.

Come evidenziato nel Rapporto, nonostante investimenti spesso onerosi nelle misure di sicurezza, queste ultime non sono riuscite a prevenire del tutto gli attacchi informatici. Di fronte a tale situazione, le soluzioni attuali richiedono un potenziamento e l’integrazione con politiche di resilienza per l’intera organizzazione e il suo SI.

Sotto l’aspetto aziendale, la resilienza può essere assicurata dalla business continuity, quindi dalla continuità operativa dei processi essenziali. Lato ICT, invece, da un piano di Disaster Recovery efficace, attuabile e testato.

Per approfondire tutti i dettagli, consulta qui il Rapporto OAD 2024.

Vuoi tutelare la tua azienda in termini di rispetto degli obblighi di legge sulla sicurezza privacy e protezione dei dati personali? Contattaci senza impegno per richiedere la consulenza di un nostro professionista.

---