Le agenzie di monitoraggio europee hanno registrato nel 2021 un forte aumento degli attacchi informatici: in arrivo importanti novità normative sul fronte Europeo (ed in svizzera obbligo di notifica degli attacchi subiti).
Il biennio appena trascorso è stato segnato da innumerevoli vicende che hanno radicalmente cambiato la concezione della realtà e della socialità moderna; ma accanto ai picchi pandemici legati agli effetti del Coronavirus, il 2021 sarà anche ricordato come l’anno di un altro preoccupante primato, quello dei cyber-attacchi.
L’ENISA, l’Agenzia dell’Unione Europea per la cybersicurezza, ha infatti stimato che solo nel 2021 sono stati portati a segno circa 600 attacchi a danno di pubbliche amministrazioni, providers di servizi digitali, ospedali e banche. Un numero tutto sommato contenuto se, oltre agli attacchi resi pubblici, considerasse anche quelli sommersi o non divulgati (o non ancora scoperti).
Ancor più preoccupanti sono però le cifre che la stessa ENISA ha pubblicato sul suo rapporto:
Dati certamente allarmanti, soprattutto se consideriamo che le statistiche e le previsioni dell’agenzia europea parlano, per il 2021, di circa 1 attacco ransomware avvenuto ogni 11 secondi.
Tipologie di attacchi e violazioni
Le principali tipologie di attacco sono state fortemente influenzate dalle vicende dell’ultimo biennio: mentre, infatti, si registra un trend costante per le tipologie di attacco più comuni come i malware e gli attacchi Web, lo stesso non può dirsi per gli attacchi di phishing, furto di identità elettroniche, insider threats e ransomware, in netta crescita rispetto ai periodi pre-Covid.
Inoltre, il ricorso massivo alle modalità di lavoro agile (Smart working) non sempre è stato accompagnato da interventi di adeguamento delle infrastrutture informatiche aziendali, il che ha inevitabilmente portato a falle della sicurezza o addirittura incentivato e facilitato il verificarsi di violazioni e cyber attacchi.
Cosa aspettarsi
Secondo quanto rileva l’Agenzia, oltre che nel numero, gli attacchi stanno anche aumentando per il grado di complessità ed efficacia, motivo per cui numerose nazioni hanno già mosso i primi passi verso l’introduzione di specifiche leggi o l’istituzione di nuove task forces di difesa e tutela, come ad esempio è avvenuto lo scorso dicembre a Londra, dove è stata ufficializzata la collaborazione tra il GCHQ (l’agenzia inglese di intelligence e sicurezza) ed il Ministero della difesa per dare vita alla nuova National Cyber Force inglese.
Oltreoceano, invece, Il Dipartimento di Giustizia americano si è recentemente impegnato a rafforzare le attività investigative nei confronti di chi compie attacchi informatici o li faciliti, contribuendo a coadiuvare le forze federali nella repressione di reati informatici finalizzati ad attività terroristiche.
Il ruolo centrale della Svizzera
Proprio la Svizzera, in attesa che la nuova Legge sulla protezione dei dati (nLPD) entri definitivamente in vigore, ha dato avvio lo scorso gennaio alla procedura di consultazione concernente l’introduzione dell’obbligo di notifica dei cyberattacchi.
Il consiglio federale intende così porre un freno ai numerosi attacchi informatici che si consumano sul territorio elvetico, rafforzando il sistema di notifica elettronica ed obbligando i rispettivi gestori a segnalare i cyberattacchi all’NCSC (Centro nazionale per la Cibersicurezza).
L’obbligo, come recita il comunicato stampa, si estenderebbe (al momento) solamente ai “ciberattacchi che possono arrecare notevoli danni, in particolare a quelli che rischiano di compromettere il funzionamento delle infrastrutture critiche o connessi al reato di estorsione, minaccia o coazione…”.
Oltre a rappresentare il primo centro di competenza della Confederazione per la cybersicurezza ed il primo responsabile dell’attuazione coordinata della strategia nazionale per la protezione della svizzera contro i cyber-rischi, L’NCSC è altresì incaricato di sensibilizzare la popolazione sui rischi, elaborare analisi ed emanare raccomandazioni sulla base delle notifiche che sarà chiamato a gestire.
Fino ad oggi, prosegue il comunicato, “i compiti di protezione dai ciber-rischi sono stati adempiuti dalla Confederazione sulla base dei mandati esistenti, ma non erano ancora stati sanciti a livello di legge. Con l’introduzione dell’obbligo di notifica nella legge sulla sicurezza delle informazioni (LSIn), ora si devono definire nella stessa LSIn anche i compiti del NCSC, in particolare la sua competenza in qualità di servizio di notifica.”
Del resto anche numerosi stati Europei hanno iniziato a discutere disegni di legge in materia di cyber crimine, vagliando soluzioni per limitarne i danni ed ipotizzando modifiche od integrazioni alle attuali regolamentazioni in materia di privacy e protezione dei dati; ennesimo segnale, quest’ultimo, che meriterebbe certamente di essere approfondito e portare alla sensibilizzazione di tutti rispetto alla naturalezza con cui quotidianamente interagiamo con dispositivi elettronici di ogni tipo.
