ROMA - La digitalizzazione globale e l'iper-connessione espongono sempre più la nostra società agli attacchi cyber: nei primi sei mesi del 2016 sono cresciute del 9% le attività compiute con finalità criminali rispetto al semestre precedente. Nel mirino il settore sanità (+144%), incremento a quattro cifre per phishing e 'social engineering' (+1500%), malware e ransomware a +129%. A livello geografico sono gli Stati Uniti i più colpiti, seguono i paesi asiatici. Sono i dati contenuti nel rapporto Clusit presentato oggi a Verona in occasione del mese della sicurezza informatica.
Questi dati rappresentano solo la "punta dell'iceberg", come sottolineano gli autori del rapporto: la maggior parte delle cyber-aggressioni non diviene mai di dominio pubblico perché manca una normativa in Europa che ne renda obbligatoria la denuncia.
"La sanità viene attaccata per due fini: la sottrazione di dati e l'estorsione - spiega all'ANSA Andrea Zapparoli Manzoni, membro del Consiglio Direttivo Clusit -. Ci sono stati una serie di attacchi clamorosi, come quello al MedStar nel Maryland: l'attività di otto strutture ospedaliere è stata bloccata con un ransomware (virus che prende in ostaggio i pc e per sbloccarli bisogna pagare un riscatto, ndr) che ha messo fuori uso l'accettazione e le sale operatorie. In Italia - osserva - non abbiamo classificato incidenti di questo tipo, ma non escludo siano avvenuti perché nel nostro paese non esiste l'obbligo di notifica".
Secondo l'esperto, inoltre, un campo da tenere sotto controllo è quello della robotica e degli apparecchi sanitari 'connessi', ed è proprio di oggi la notizia dell'allarme lanciato a medici e pazienti dalla Johnson and Johnson di un apparecchio per l'insulina. Ad aumentare in questi mesi sono stati soprattutto i cyber-attacchi realizzati con tecniche banali, che fanno leva sull'ingenuità degli utenti. A quattro cifre l'incremento di phishing e 'social engineering' (+1500%), un insieme di tecniche che mira a prendere informazioni su un soggetto per poi attaccarlo. Tra queste anche il vishing, cioè il phishing telefonico.
"Se usiamo la metafora del furto casa, il 'social engineering' è il salto nel balcone - spiega Zapparoli Manzoni -. E' il primo 'step' di un attacco informatico che mira al furto di dati, alla sostituzione di persone, allo spionaggio industriale". "Il vero problema - sottolinea - è che l'utente è mediamente sprovveduto. Queste non sono tecniche sofisticate, non costano niente, ma fanno leva proprio sul fattore umano, sulla vulnerabilità". Su 526 attacchi più gravi al mondo il 10% è stato messo a punto con queste tecniche, nel semestre precedente se n'erano registrati solo tre.
Riguardo i grandi furti di account come quello recente a Yahoo!, secondo l'esperto è un modo per i cyber-criminali "di fare statistiche su mail e password più usate nel mondo, una volta classificate vanno a bucare anche il resto". Anche Mark Zuckerberg ne è stato vittima avendo usato la stessa password per Facebook e Twitter.
Per fronteggiare le minacce crescenti, oltre ad una maggiore consapevolezza degli utenti dovrebbe entrare in gioco anche la responsabilità civile e penale dei produttori di hardware e software. "Se mi schianto con un'auto i miei familiari possono fare causa ad un'azienda automobilistica. Se mi succede qualcosa con un software difettoso non posso fare lo stesso. E' un campo minato e non è facile approcciare questo argomento, ma se non mettiamo a posto questo - conclude Andrea Zapparoli Manzoni- non possiamo fare security".
