Cybersecurity update: il report ENISA 2024 e le nuove fonti del diritto

Il report ENISA 2024 sulle minacce attuali ed emergenti per la cybersecurity, ci ricorda non solo quanto sia importante dotarsi di misure di sicurezza adeguate a prevenire violazioni della sicurezza informatica, ma anche la ragione per cui, negli ultimi anni, abbiamo assistito al moltiplicarsi di fonti normative in materia (fra cui le Direttive UE “NIS2” e “CER”, il Regolamento “DORA” e, a livello nazionale, la L. 90/2024 ed il D.lgs. 138/2024) caratterizzate da alcuni elementi in comune. Quali sono i punti salienti del Report ENISA? Come le nuove fonti del diritto possono aiutare a prevenire che le minacce si concretizzino?

Il report ENISA 2024

Come ogni anno, l’Agenzia dell'Unione europea per la cibersicurezza (ENISA) ha pubblicato il report “ETL” (ENISA Threat Landscape), contenente una panoramica sulle minacce alla sicurezza informatica. Il periodo di riferimento considerato dal rapporto è stato caratterizzato da una preoccupante escalation degli attacchi, stabilendo nuovi parametri di riferimento sia nella varietà che nel numero di incidenti, nonché nelle loro conseguenze per le organizzazioni colpite.

ENISA ha individuato le minacce più rilevanti, in quanto largamente diffuse e caratterizzate da un impatto significativo, oltre alle nuove tendenze emergenti. Al termine del rapporto, l’Agenzia fornisce alcune strategie pratiche di alto livello per mitigare il rischio di attacchi e prevenire il verificarsi di violazioni informatiche.

Quali minacce?

Il report evidenzia una ripartizione eterogenea degli attacchi informatici nel corso del periodo considerato. Sebbene due minacce siano prevalenti (i ransomware e gli attacchi di tipo “Denial of Service”), anche le tecniche di ingegneria sociale, i malware, le tecniche di manipolazione delle informazioni (“FIMI”), nonché gli attacchi alla catena di approvvigionamento (“supply chain attack”) si stanno diffondendo.

Ransomware e attacchi di tipo “Denial of Service” (categoria che include tutte le tipologie di minacce alla disponibilità di dati e sistemi) hanno rappresentato, anche quest’anno, più della metà degli eventi osservati dall’Agenzia (quasi il 67% del totale). In particolare, è stato osservato un aumento sostanziale degli incidenti correlati al ransomware, minaccia che ha continuato ad evolversi e che colpisce, indistintamente, tutti i settori. LockBit è nuovamente emerso come il principale provider di servizi “RaaS” (Ransomware-as-a-Service) e ceppo dominante in una vasta rete di attacchi.

Una sanzione da 900.000 euro

Di recente, proprio a causa di un attacco ransomware che ha comportato l’esfiltrazione (e la successiva pubblicazione nel dark web) di dati personali, la società Postel S.p.A. è stata sanzionata dal Garante per un importo pari a 900.000 euro (provvedimento n. 572 del 4 luglio 2024). Nel corso dell’istruttoria, il Garante ha rilevato che la società, per quasi un anno, non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, basati sulla piattaforma Microsoft Exchange (ne abbiamo parlato in (questo articolo), attraverso la quale ha poi subito la violazione dei dati personali. Il comportamento omissivo della società, ovvero la mancata adozione tempestiva di adeguate misure di sicurezza (gli aggiornamenti raccomandati da Microsoft), ha generato:

la violazione della sicurezza IT, consistente nel blocco dei server e nella perdita della disponibilità dei dati;
il data breach, consistente nella perdita della disponibilità di informazioni personali nonché nell’esfiltrazione delle stesse sul web;
la conseguente violazione del GDPR e la sanzione dell’Autorità.

Il Garante ha imposto alla società di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi (vulnerability assessment), di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.

Quali tendenze emergenti?

L’incidente subito da Postel rappresenta uno dei tanti che ogni giorno colpiscono enti ed imprese. Le conseguenze che ne derivano, come abbiamo visto, hanno molteplici sfaccettature rilevanti per le vittime (la necessità di attivare procedure di business continuity e disaster recovery, la valutazione della gravità del data breach, la notifica al Garante e le interlocuzioni con l’Autorità, etc.), oltre ad un impatto economico negativo che può essere determinante per l’attività di impresa. Per questa ragione, ENISA mette in guardia rispetto a quelle che sono le tendenze emergenti nel panorama delle minacce informatiche:

i progressi nelle tecniche di evasione difensiva. I gruppi di criminalità informatica, in particolare gli operatori di ransomware, sono riusciti a eludere il rilevamento utilizzando tecniche “Living Off The Land” (LOTL) per mimetizzarsi nell'ambiente e mascherare le loro attività dannose;
gli autori delle minacce hanno esteso le loro tecniche stealth “Living Off Trusted Sites” (LOTS) al cloud, utilizzando siti attendibili e servizi legittimi per evitare di essere rilevati e camuffando le comunicazioni di comando e controllo come traffico ordinario o messaggi innocui su piattaforme come Slack e Telegram;
le offerte Malware-as-a-Service (MaaS) stanno diventando un fenomeno sempre più significativo e in rapida crescita;
si è registrato un forte aumento degli incidenti di compromissione della posta elettronica aziendale (BEC);
l’uso di strumenti di intelligenza artificiale per i criminali informatici. Gli attori delle minacce hanno utilizzato strumenti come “FraudGPT” e modelli linguistici per co-creare e-mail truffa e generare script PowerShell dannosi;
l’uso di strumenti di intelligenza artificiale per la manipolazione delle informazioni;
il fenomeno dell'hacktivismo ha conosciuto una costante espansione, con eventi importanti (ad esempio le elezioni europee) che hanno fornito la motivazione per una maggiore attività degli hacktivisti;
etc.

Settori più colpiti e nuove norme applicabili

Le minacce informatiche sono indiscriminate e hanno un impatto su un’ampia gamma di settori e industrie. Ciò deriva, in particolare, dal fatto che il mondo in cui viviamo è sempre più digitale e iperconnesso. Come illustrano le immagini riportate a seguire, gli autori delle minacce prendono di mira ogni settore, a riprova della natura universale del rischio informatico.

I principali eventi considerati nel report ENISA hanno riguardato organizzazioni operative nei settori della pubblica amministrazione (19%), dei trasporti (11%) e della finanza (9%).

I settori analizzati nel rapporto seguono, in generale, la classificazione delle categorie riportate nella Direttiva UE sulla sicurezza delle reti e delle informazioni, n. 2555/2024 (c.d. Direttiva “NIS2”). La NIS2 si inserisce in un contesto normativo in fermento.

Tante norme, una linea comune

Negli ultimi anni, il panorama normativo ha visto l’introduzione di una molteplicità di fonti in materia di sicurezza informatica, con alcuni elementi in comune.

A livello comunitario, oltre alla NIS2, troviamo il Regolamento UE n. 2554/2022 (“DORA”), relativo alla resilienza operativa digitale per il settore finanziario, e la Direttiva UE n. 2557/2022 (“CER”), relativa alla resilienza dei soggetti critici. Insieme al Regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali, il c.d. “regolamento sulla ciberresilienza”, le nuove disposizioni introdotte rappresentano la risposta dell’Unione alle minacce attuali ed emergenti individuate dall’ENISA.

In aggiunta, a livello nazionale, la L. 90/2024 introduce “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, mentre il D.lgs. 138/2024 recepisce la Direttiva NIS2, con l’obiettivo di incrementare il livello comune di sicurezza nell’Unione Europea.

Sebbene tali norme siano caratterizzate da elementi peculiari che le differenziano (in particolare per quanto riguarda l’ambito di applicazione soggettivo), condividono in buona parte l’oggetto disciplinato e gli scopi perseguiti, che possiamo così riassumere:

attenuare i rischi cibernetici;
attuare misure volte a rafforzare la resilienza di taluni soggetti individuati dalle norme stesse;
rafforzare la resilienza di tutta l’Unione attraverso norme fra loro armonizzate;
garantire che tutti i cittadini e le imprese possano beneficiare pienamente di servizi e strumenti digitali affidabili e attendibili.

Quali strumenti per difendersi? L’importanza di fare fronte comune

Al fine di perseguire gli scopi sopra individuati, le nuove fonti normative rispecchiano in larga parte le raccomandazioni ENISA, a loro volta riprese dai principali standard internazionali in materia di cybersecurity, ovvero ISO/IEC 27001:2022620 ed il NIST Cybersecurity Framework (CSF) v2.0621.

In particolare, le misure imposte dalle nuove fonti comunitarie includono:

misure minime di sicurezza;
governance interna;
piani di analisi e gestione del rischio;
test di resilienza dei sistemi;
classificazione degli incidenti informatici;
obblighi di notifica degli incidenti;
condivisione delle informazioni;
formazione.

Pertanto, per rafforzare la resilienza delle nazioni europee contro le minacce attuali ed emergenti, la sicurezza delle singole organizzazioni e degli utenti dei servizi digitali, è essenziale che enti ed imprese si attivino per recepire le nuove disposizioni normative. In tale contesto, la condivisione delle informazioni rappresenta uno dei principali strumenti di difesa per creare un fronte comune contro la criminalità informatica.

Scopo dell’Associazione ASSO DPO è proprio quello di favorire la discussione e lo scambio di conoscenze fra Associati, sia al fine di condividere migliori prassi sulle misure da implementare sia al fine di orientarsi, insieme, nel complesso framework legislativo. Se non sei ancora associato clicca qui.

Altre news

Come gestire correttamente la catena di ruoli e responsabilità privacy? Il Parere 22/2024 dell’EDPB

Il Parere 22/2024Nel corso dell’ultima riunione plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha adottato il Parere 22/2024 [...]

L’obbligo di formazione privacy si estende ai responsabili nominati: le indicazioni del Garante.

Il caso Hera CommL’istruttoria del Garante nei confronti di Hera Comm S.p.A. (a seguire, per semplicità, “Hera” o la [...]

Italia: Pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138, per il Recepimento della Direttiva UE sulla Cibersicurezza

Il 1 ottobre 2024, con la pubblicazione nella Gazzetta Ufficiale Serie Generale n. 230, è entrato ufficialmente in vigore il Decreto Legislativo 4 [...]

L’importanza di configurare correttamente i cookie: sanzionata una banca per 1,3 milioni di euro

Il marketing mirato sui siti webll marketing mirato rappresenta una delle principali strategie pubblicitarie sul web. Attraverso specifici strumenti è [...]