L’immaginario dell’hacker con felpa e cappuccio appartiene agli anni ’80. Oggi gli “attori delle minacce” sono una galassia eterogenea che spazia da stati nazionali come Russia, Cina e Iran alla criminalità organizzata, che ha riconosciuto nel cybercrime un “oceano blu” per il riciclaggio e la diversificazione degli investimenti.

Ma la minaccia più insidiosa arriva dall’interno: colleghi scontenti, dipendenti negligenti, persone manipolabili che con un semplice clic possono aprire le porte a danni milionari. Viviamo in un panorama complesso dove vulnerabilità tecniche ed errori umani si intrecciano creando rischi che richiedono approcci strategici integrati.

Decostruire il mito dell’hacker

È dunque utile fornire ai professionisti della sicurezza una mappatura completa delle minacce moderne e degli strumenti per contrastarle, andando oltre gli stereotipi per affrontare la realtà multiforme del cybercrime contemporaneo[1].

Dal genio solitario all’ecosistema criminale

Lo dicevamo in apertura: stereotipo dell’hacker in felpa con cappuccio, solitario e sociopatico, deriva da rappresentazioni cinematografiche e videoludiche ferme agli anni ’80. La realtà contemporanea presenta una categoria eterogenea che comprende persone di tutte le età, con diverse competenze e motivazioni spesso legittime.

Molti hacker lavorano per proteggere i sistemi informatici, altri utilizzano le proprie competenze tecnologiche per promuovere cambiamenti sociali. L’hacking non è sempre illegale: può avere finalità ispettive, difensive o rappresentare forme di protesta e di denuncia sociale.

La strada più semplice vince sempre

Gli attaccanti moderni seguono il principio del minor sforzo: cercano la via d’accesso più facile, non necessariamente la più tecnicamente sofisticata. Spesso sono esperti comunicatori prima che programmatori, specializzati nel manipolare le persone piuttosto che i sistemi.

Gli script automatici monitorano costantemente le reti per identificare vulnerabilità. Se esiste una falla, gli attaccanti saranno i primi a sfruttarla, dimostrando persistenza nel monitorare anche l’organizzazione più piccola grazie ai loro automatismi, nonché la capacità di rimanere nascosti nei sistemi compromessi per periodi prolungati.

Anatomia delle minacce: da vulnerabilità a esposizione

La sicurezza informatica si articola su quattro livelli interconnessi:

• Vulnerabilità: punti deboli nei sistemi che compromettono la sicurezza.
  • Minaccia: pericolo derivato dallo sfruttamento delle vulnerabilità.
    • Rischio: probabilità che si verifichi lo sfruttamento.
      • Esposizione: entità delle perdite causate dallo sfruttamento

Le lezioni della storia

L’evoluzione tecnologica ha insegnato principi fondamentali: più le tecnologie si diffondono, più aumentano le superfici d’attacco disponibili per i criminali.

È una corsa agli armamenti asimmetrica dove i difensori devono proteggere tutto e sempre, mentre agli attaccanti basta una singola opportunità per compromettere l’intero sistema.

Gli attori delle minacce: un panorama diversificato

Senza dire che quello degli attori delle minacce è un panorama decisamente diversificato e difficile da catalogare.

Stati nazionali: guerra ibrida digitale

Russia, Cina e Iran sponsorizzano attacchi informatici per obiettivi politici, militari ed economici.

Operazioni sofisticate e ben finanziate che trasformano il cyberspazio in un’estensione della geopolitica tradizionale, dove intelligence e sabotaggio si fondono in strategie di guerra ibrida.

Criminalità organizzata: diversificazione del portfolio

Le organizzazioni criminali tradizionali, incluse le mafie, hanno riconosciuto nel cybercrime un’opportunità di diversificazione degli investimenti e riciclaggio anonimo del denaro sporco.

Un settore che offre alti margini, bassi rischi e relativa impunità rispetto alle attività tradizionali.

Hacktivist: tra ideologia e vandalismo

Collettivi come Anonymous promuovono cause politiche e sociali attraverso attacchi informatici. Tuttavia, la motivazione ideologica può nascondere semplice vandalismo digitale o operazioni governative sotto copertura, rendendo complessa la distinzione tra protesta legittima e criminalità.

Lupi solitari: l’individualismo digitale

Operatori isolati senza affiliazioni organizzate, motivati da obiettivi economici personali o semplice dimostrazione di abilità.

Meno prevedibili dei gruppi organizzati ma spesso più vulnerabili alle contromisure mirate.

La minaccia interna: il nemico in casa

C’è da dire, però, che la minaccia più insidiosa arriva dall’interno: colleghi scontenti, dipendenti negligenti, persone manipolabili.

Insiders malintenzionati

Dipendenti scontenti, consulenti corruttibili, ex colleghi vendicativi che abusano dell’accesso legittimo ai sistemi.

Casi documentati, tra cui molti recenti casi italiani, mostrano criminali che corrompono impiegati per ottenere credenziali o convincerli a cliccare link che innescano attacchi ransomware.

Negligenza involontaria

Dipendenti senza intenzioni disoneste, le cui azioni tuttavia provocano danni: invio di informazioni sensibili a destinatari errati, utilizzo di password deboli, violazioni involontarie di procedure di sicurezza.

Sono tutti errori che espongono l’organizzazione a sanzioni e compromissioni.

Manipolazione esterna

Individui influenzabili da attori esterni che compiono azioni dannose inconsapevolmente.

Il social engineering sfrutta emozioni, pressione temporale e psicologica, nonché autorità percepita per ottenere collaborazione involontaria dalle vittime.

Obiettivi e vettori d’attacco

Ma cosa cercano gli attaccanti?

Data leak

Accesso non autorizzato a informazioni di valore per scopi politici, economici o commerciali.

Dati personali, proprietà intellettuale, intelligence industriale diventano merce di scambio nei mercati clandestini.

Ricatto e riscatto

Blocco dell’accesso a dati e sistemi seguito da richieste di pagamento per il ripristino. Il ransomware è diventato un business model consolidato con customer service dedicato e garanzie di servizio.

Concorrenza sleale

Danneggiamento reputazionale e acquisizione di informazioni riservate allo scopo di ottenere vantaggi competitivi.

È uno spionaggio industriale digitalizzato che può determinare i successi o i fallimenti di intere organizzazioni.

Vie d’ingresso privilegiate

1. Dal bordo: vulnerabilità in dispositivi di rete e server perimetrali che offrono accesso diretto all’infrastruttura IT. La superficie d’attacco cresce esponenzialmente con la digitalizzazione.
2. Dalle postazioni: PC e telefoni come vettori attraverso ingegneria sociale e distribuzione malware. L’endpoint diventa il campo di battaglia principale tra attaccanti e difensori.
3. Da applicazioni e siti web: sfruttamento di errori di programmazione per ottenere l’accesso ai dati e distribuire malware. Il software diventa sia strumento che bersaglio degli attacchi.

Verso una difesa consapevole

La comprensione della varietà e complessità degli attori delle minacce rappresenta il primo passo verso strategie di difesa efficaci.

Non esiste un profilo unico di attaccante da contrastare ma un ecosistema dinamico che richiede approcci differenziati e adattivi.

La sicurezza del futuro dovrà necessariamente integrare protezione tecnologica, consapevolezza umana e intelligence sulle minacce per creare difese resilienti contro un panorama criminale in costante evoluzione.

[1] Per una guida completa agli attori delle minacce, alle loro tecniche e alle contromisure più efficaci, il “Manuale CISO Security Manager” fornisce analisi dettagliate e framework operativi per identificare, valutare e contrastare le diverse tipologie di minacce informatiche.