Evoluzione della cibersicurezza: nuove minacce e come proteggersi
Dagli attacchi di matrice politica alla Shadow AI: i rischi cibernetici sono molteplici e attuare una difesa efficace si rileva impresa ardua, che presuppone una strategia di cibersicurezza mirata. Queste minacce sono attualmente al centro dell’attenzione e dovrebbero essere incluse nella vostra strategia.
Aprile 2025, testo Andreas Heer 5 min.
Se esiste un parallelo tra la situazione geopolitica e la sicurezza informatica, è proprio questo: l’incertezza aumenta e fare previsioni in merito agli sviluppi futuri diventa più difficile. E, naturalmente, a influire sulla cibersicurezza contribuisce anche il contesto mondiale. Gli attacchi informatici a sfondo politico, finalizzati al sabotaggio e allo spionaggio, sono in aumento, senza comunque che diminuiscano gli ormai arcinoti ransomware e attacchi alla supply chain.
L’attuale Cybersecurity Threat Radar di Swisscom mostra i nuovi scenari di minaccia con cui devono confrontarsi i responsabili della cibersicurezza. Alcuni sono conosciuti, come quelli menzionati all’inizio. Altri invece, come la Shadow AI, rappresentano il risultato di rapidi sviluppi tecnologici.
Infine, l’aumento dei diversi rischi informatici ha ripercussioni anche su coloro che si occupano quotidianamente della difesa, ovvero gli esperti di cibersicurezza. Queste figure sono sottoposte a un’enorme pressione, non priva di conseguenze. Il presente articolo fornisce una panoramica delle principali nuove minacce, dei rischi a esse connessi e delle contromisure adeguate da adottare.
Shadow AI: addestramento con dati confidenziali
Partiamo dalla new entry: il boom dell’intelligenza artificiale generativa (GenAI) e l’entusiasmo connesso alla nuova tecnologia hanno contagiato i collaboratori di un’azienda, che vogliono utilizzare tool quali Chatgpt, Microsoft Copilot, Anthropic Claude o Google Gemini anche nella quotidianità lavorativa e approfittare dell’incremento dell’efficienza offerto da questi sistemi innovativi. Se il datore di lavoro non reagisce con sufficiente celerità alle esigenze, i collaboratori si arrangiano da soli grazie a web browser e Saas.
Nel Work Trend Index 2024 di Microsoft, l’80% degli intervistati ha dichiarato di utilizzare il proprio accesso di GenAI privato anche sul lavoro. L’azienda statunitense Harmonic, specializzata in sicurezza IA, ha effettuato un’analisi più approfondita, dalla quale è emerso, ad esempio, che quasi due terzi degli utenti di ChatGPT ha utilizzato l’offerta gratuitamente e senza account, e che un prompt su 12 conteneva dati confidenziali.
Questo modo di agire rappresenta però un rischio notevole per le aziende. Nel caso delle offerte gratuite e di GenAI per privati, gli input e i risultati vengono di solito utilizzati per addestrare i modelli linguistici, confluendo nel loro «bagaglio di conoscenze». Questo utilizzo non ufficiale, noto come Shadow AI, costituisce quindi un rischio per la sicurezza dei dati e la compliance. Quando informazioni riservate come dati dei clienti, informazioni sui collaboratori o relazioni sulla gestione vengono salvate su piattaforme non sicure o utilizzate per l’addestramento della GenAI, un deflusso di dati di questo genere può rappresentare una violazione di disposizioni legali e contrattuali.
I collaboratori utilizzano questi dati riservati su piattaforme di Shadow AI. Fonte: Harmonic
Le aziende dovrebbero quindi reagire nel momento in cui rilevano un incidente di sicurezza con Shadow AI(apre una nuova finestra). Misure tecniche preventive come proxy di rete e soluzioni SASE o CASB possono aiutare a identificare o bloccare i tool di IA non autorizzati.
Allo stesso tempo, è nell’interesse delle aziende che i collaboratori incrementino la propria efficienza mediante GenAI. Un confronto aperto tra personale, reparti IT e team addetti alla sicurezza è fondamentale per introdurre e utilizzare in maniera sicura tool di intelligenza artificiale utili. In tal senso possono essere di aiuto processi formali per la verifica e l’autorizzazione di nuove applicazioni di IA e corsi di formazione per un utilizzo sicuro di tali strumenti.
Per soldi e fama: attacchi DDoS
Tuttavia, non sono solo le aziende a essere in grado di bloccare gli accessi, ma ci riescono anche i criminali informatici. Gli attacchi DDoS (Distributed Denial of Service) sono attacchi informatici volti a sovraccaricare siti web e sistemi IT(apre una nuova finestra), così da paralizzarli. Attuare difese efficaci si rivela spesso difficile, in quanto gli hacker combinano diversi metodi affatto semplici da mitigare a livello di sistema, ad esempio a causa della variazione degli indirizzi IP e degli identificatori del browser.
Accade di frequente che gli attacchi DDoS siano sottoposti a minaccia per rafforzare le richieste di riscatto in caso di attacchi ransomware. Questa «tripla distorsione,» ovvero crittografia, fuga di dati e DDoS, ha motivazioni commerciali. Tuttavia, gli attacchi a sfondo politico sono aumentati in Svizzera dopo la guerra in Ucraina, in particolare prima e durante gli eventi geopolitici come la conferenza di Bürgenstock o il Forum economico mondiale (WEF). I principali obiettivi sono stati il sito web della Confederazione e delle grandi città, ma anche di organizzazioni private. Ma anche intorno all'Eurovision Song Contest (ESC), l'intensità degli attacchi DDoS è aumentata.
I rischi di tali attacchi consistono in ingenti perdite finanziarie e danni alla reputazione dovuti al mancato funzionamento di importanti sistemi quando l’attività aziendale non è più garantita. Una protezione efficace dagli attacchi DDoS richiede misure preventive e una solida infrastruttura IT e di rete in grado di mitigare le aggressioni. I piani di emergenza rappresentano una componente importante del Business Continuity Management (BCM).
«Age of Disorder»: rafforzare la resilienza informatica mediante regolamentazione
A settembre 2024 gli esperti di cibersicurezza hanno registrato oltre 300’000 attacchi DDoS da parte della botnet fino ad allora sconosciuta «GorillaBot». Uno di questi attacchi ha colpito un’infrastruttura critica in Svizzera, come illustra l’Ufficio federale della cibersicurezza (UFCS) in un'analisi della botnet(apre una nuova finestra).
In tempi di incertezza, questi attacchi a infrastrutture critiche e dati confidenziali diventano sempre più prevedibili. Ciò vale soprattutto per l’era attuale, identificata con il termine «Age of Disorder», che sta a indicare una svolta epocale in cui il contesto politico ed economico precedentemente stabile sta cambiando in negativo.
Per proteggere meglio le infrastrutture critiche in una situazione di questo genere, in Svizzera e nell’UE sono entrate in vigore o sono in programma diverse modifiche legislative e normative. In Svizzera, dal 2025, vige la revisione della legge federale sulla sicurezza delle informazioni in seno alla Confederazione (LSIn), che mira a rafforzare la ciberresilienza delle infrastrutture critiche e a introdurre per queste un obbligo di notifica degli incidenti informatici. Le prime esperienze sono positive secondo gli esperti del livestream di Swisscom sulla situazione attuale delle minacce.
In una direzione simile si muove anche la direttiva NIS 2 dell’UE che, da un lato, richiede agli Stati membri di dotarsi di una strategia di cibersicurezza e, dall’altro, estende i requisiti per una maggiore ciberresilienza ad altri ambiti al di fuori delle «classiche» infrastrutture critiche. Obiettivi comparabili, ma esplicitamente rivolti al settore finanziario, sono stati stabiliti dal DORA (Digital Operational Resilience Act). Al contrario, il Cyberresilience Act (CRA) punta ad aumentare la sicurezza dei prodotti hardware che contengono un componente digitale e interconnesso. La legge integra la direttiva NIS 2 e intende contribuire a rafforzare la sicurezza della supply chain.
Anche le aziende svizzere che operano nell’UE devono implementare tali modelli, a seconda del settore di attività. L’auspicato rafforzamento della resilienza cibernetica potrebbe comportare per le aziende un onere considerevole legato all’attuazione delle direttive.
Forza lavoro fragile: quando gli esperti vanno in burnout
La resilienza, però, è un aspetto importante anche per il personale. Occuparsi di cibersicurezza è un lavoro stressante(apre una nuova finestra), in quanto i requisiti sia dal punto di vista legislativo che da quello degli hacker sono in costante aumento. Gli specialisti del Security Operations Center (SOC) si trovano ogni giorno ad affrontare una marea di messaggi di allerta. In caso di incidente, gli esperti non possono, concluso l’orario, chiudere il notebook e tornare e casa, ma spesso devono lavorare fino a tarda sera per portare a termine l’Incident Response.
Situazioni gravose come queste possono sfociare in «alert fatigue», stress e persino burnout. La pressione psicologica e il sovraccarico cognitivo aumentano inoltre la suscettibilità agli errori e quindi il rischio di successo di un attacco informatico.
Questi i motivi di stress più frequenti tra gli esperti di cibersicurezza. Fonte: ISACA State of Cybersecurity Report 2024
Le imprese devono quindi adottare provvedimenti mirati al fine di garantire la sicurezza e offrire sostegno ai propri professionisti. Tra queste rientrano programmi di attenzione consapevole e misure di sicurezza psicologica volte a rafforzare la resilienza sia a livello individuale che organizzativo. Un’organizzazione del lavoro attenta è fondamentale per gestire le situazioni di stress legate alla cibersicurezza ed evitare l’indebolimento della forza lavoro.
La pressione aumenta
Al momento non vi è alcun allentamento in vista sul fronte della ciberdifesa, anzi. La situazione di partenza è tale da far prevedere un aumento degli attacchi informatici. Infatti, oltre alle nuove forme di minaccia, continuano a dare battaglia anche «vecchie conoscenze», prime fra tutti gli attori del ransomware. Anche loro sfruttano a proprio vantaggio le nuove tecnologie quali GenAI, ad esempio per inviare e-mail di phishing credibili o per mettere in atto il vishing (voice phishing). Il ransomware rimane una delle minacce più grandi, come hanno concordato gli esperti durante il livestream. Gli attori stanno sempre più cambiando tattica: non criptano più i dati, ma li esfiltrano e minacciano di pubblicarli per dare più forza alle loro richieste di riscatto.
Le aziende devono quindi rafforzare la resilienza informatica dei loro impianti infrastrutturali così da essere preparate al meglio per affrontare gli sviluppi attuali e imprevisti, senza dimenticare la salute fisica dei loro esperti di cibersicurezza.