L’Unione Europea ha uno strumento di analisi degli incidenti informatici denominato CIRAS. Diamo uno sguardo a questo strumento non sempre conosciuto.
Che cosa è il CIRAS
Il CIRAS (Cybersecurity Incident Report and Analysis System) è uno strumento gestito da ENISA che ha lo scopo di raccogliere, catalogare e analizzare gli incidenti informatici occorsi nei paesi europei. Sulla pagina ufficiale dello strumento si legge:
Nell’UE, i fornitori di servizi critici devono notificare gli incidenti di sicurezza informatica con un impatto significativo alle autorità nazionali del loro paese. Alla fine di ogni anno, i report di sintesi su questi incidenti vengono raccolti, resi anonimi, aggregati e analizzati dall’ENISA. Lo strumento di visualizzazione mostra le statistiche complessive dell’UE. (Fonte: CIRAS)
Quindi il CIRAS viene alimentato dai dati anonimizzati che ogni autorità preposta di ogni paese europeo invia all’ENISA. Il CIRAS si occupa quindi di rappresentare gli incidenti di sicurezza informatica attraverso grafici, statistiche e viste sintetiche. I settori oggetto di analisi sono: energia, trasporto, bancario, finanza, salute, fornitura e distribuzione di acqua potabile, infrastruttura digitale comunicazioni, servizi fiduciari e identificazione, servizi digitali, servizi governativi, altro.
Secondo quanto dichiarato dal CIRAS, gli incidenti informatici negli anni segnalati sono stati i seguenti:
| ANNO | SEGNALAZIONI |
|---|---|
| 2012 | 77 |
| 2013 | 95 |
| 2014 | 146 |
| 2015 | 138 |
| 2016 | 159 |
| 2017 | 183 |
| 2018 | 175 |
| 2019 | 185 |
| 2020 | 495 |
| 2021 | 559 |
| 2022 | 1083 |
| 2023 | 1271 |
| 2024 | 11 |
Cosa ci dicono i dati
Da questa tabella è possibile notare due fenomeni interessanti: il primo riguarda il passaggio dal 2021 al 2022, anno in cui le segnalazioni si sono quasi raddoppiate passando da 559 a 1083. Il secondo fenomeno sono le 11 segnalazioni pervenute nel 2024. Per fornire un’idea grafica dell’andamento, la situazione è la seguente. Spiegare questo fenomeno è importante.
I dati 2024 sono in aggiornamento: alla data in cui questo articolo è stato iniziato (14 gennaio), i dati del 2024 segnalavano 11 segnalazioni. Il 17 gennaio (3 giorni dopo) il valore è salito a 34.
Il 2024
Riguardo agli 11 incidenti segnalati nel corso del 2024, il CIRAS offre delle statistiche piuttosto interessanti.
È chiaro che le principali cause tecniche attribuibili all’incidente sono:
- Per il 45% cause esterne.
- Per il 36% perdite di energia, inondazioni/allagamenti, interruzioni nei cablaggi.
- Per il 27% vento forte, aggiornamenti problematici
Un aspetto interessante che si può osservare è che tra le motivazioni più ricorrenti ci sono le cause ambientali che, da oltre un decennio, hanno spinto la ISO 27005 ad inserirle nei fattori di rischio. Se si vuole approfondire l’argomenti si consiglia la lettura di questo articolo scritto per l’appunto sul rischio ambientale.
Il 2023
A causa dello stato di aggiornamento del 2024, è importante prendere in considerazione dati più completi: il 2023 è un anno ideale. Volendo provare a confrontare i dati con gli anni precedenti, apprendiamo che nel 2023, in Europa, sono stati segnalati 459 incidenti provenienti da azioni dolose (ossia il 36% del totale).
Esaminando più in dettaglio gli incidenti dolosi del 2023, sia apprende che l’impatto maggiore di queste azioni è stato sul settore trasporti (27%) seguito immediatamente dal settore sanitario (17%), ponendo solo al terzo posto il settore energia (11%).
C’è un aspetto che forse sorprenderà molti addetti ai lavori, le cause più frequenti degli incidenti informatici sono da ricercarsi in fenomeni diversi da malware e ransomware. Dei 1271 incidenti totali, 459 sono imputabili a cause tecniche (colpose e dolose), così suddivise.
| Tipologia | Percentuale |
|---|---|
| DDoS | 18% |
| Altro | 8% |
| Virus & Malware | 8% |
| Ransomware | 8% |
| Vulnerability exploit | 5% |
| Identity theft | 4% |
| Phishing | 3% |
| Supply Chain | 1% |
È bene notare che il CIRAS compie una distinzione tra “malware & virus” e “ransomware” che, in realtà, non dovrebbe esserci. I ransomware, infatti sono un tipo di malware e dovrebbero pertanto essere inclusi nella voce “malware & virus“. L’agenzia governativa CISA (Cybersecurity and Infrastructure Security Agency) scrive al proposito.
Ransomware is a form of malware designed to encrypt files on a device, rendering any files and the systems that rely on them unusable.
Il ransomware è una forma di malware progettato per crittografare i file su un dispositivo, rendendo inutilizzabili tutti i file e i sistemi che si basano su di essi
Chiaramente la decisione del CIRAS è necessaria per dare rilevanza ad una minaccia particolarmente diffusa. Infine è bene tenere presente che il 10% di tutti questi incidenti (1271 occorrenze) colpirebbe i seguenti target tecnici:
| Asset | Percentuale |
|---|---|
| Altri | 15% |
| Server e Controller di dominio | 10% |
| Siti web | 8% |
| App | 7% |
| Switch e Router | 6% |
Conclusioni
Prima di procedere alle conclusioni è bene che il lettore sia informato circa il set di dati del 2024. Poiché non si conosce con precisione la causa di tale incompletezza nei dati, si è provato a inviare una mail al Gruppo di Lavoro del CIRAS il giorno 14 gennaio 2025 ma alla data del 17 gennaio 2025 non si è ricevuta alcuna risposta. Non è stato quindi possibile stabilire come mai i dati 2024 siano così non aggiornati, ma è stato possibile stabilire la condotta del Gruppo di Lavoro in merito alla richiesta di informazioni.
Un primo punto è la reale utilità di questi dati. Il CIRAS è certamente un ottimo strumento, interessante per la sua potenziale completezza. Lascia perplessi il fatto che a metà gennaio 2025, non si possano avere dati completi per il 2024. La tempestività nei dati è importante, oltre alla loro fondamentale qualità. Nell’ambito della cybersecurity, i dati forniti da sistemi come il CIRAS offrono importanti suggerimenti su come direzionare i propri investimenti ma se questi dati fossero errati o arrivassero tardivamente, potrebbero essere considerati semplicemente meno utili se non del tutto inutili.
Un secondo punto riguarda l’attendibilità. Da quanto si apprende dall’anno 2023 la minaccia ransomware sarebbe un problema solo in un 8% delle segnalazioni.
Secondo il CIRAS nel 2023 ci sarebbero state 39 segnalazioni d’incidenti causati da ransomware. Questo è chiaramente impossibile e apre un fronte di discussione in merito all’attendibilità di uno strumento europeo che fornisce dati criticamente importanti ma che potrebbero essere parzialmente incompleti e quindi quasi senza senso.
Un terzo punto riguarda la tracciabilità. Se gli incidenti seguono un iter di acquisizione, classificazione e pubblicazione rigoroso, la loro tracciabilità sarà di qualità e il dato avrà valore (si parla di data quality management non a caso). Altrimenti questo strumento assume un valore di scarsa utilità se non di disorientamento.
Resta quindi una domanda: a cosa serve uno strumento statistico che si basa su dati incompleti e tardivi? Ai lettori la risposta.
