I criminal hacker fanno la spesa ma non la mettono nel carrello. Per quanto incauta e banale, questa frase racchiude il sempre maggiore interesse del cyber crimine nei confronti della Grande distribuzione organizzata (GDO).
Quello della GDO è un settore altamente digitalizzato che conta su una catena di approvvigionamento e di distribuzione molto articolata, è quindi da considerare aperto e suscettibile al grado di resilienza e di predisposizione alla cybersecurity di tutti gli anelli della catena.
Maticmind, azienda con base a Milano e attiva nelle soluzioni ICT e nella cybersecurity, ha redatto il report Analisi della cybersecurity nel settore GDO con il quale esamina il comparto e suggerisce misure utili ad aumentarne la resilienza.
Prima di procedere con l’analisi del report, può essere utile definire la GDO, sigla che rappresenta una catena di punti vendita gestita da un’organizzazione o da un medesimo gruppo che, in virtù della gestione centralizzata degli acquisti, della logistica e delle attività di marketing (non solo pubblicitarie) si propone sul mercato a prezzi competitivi. Un esempio tipico – senza fare nomi – è quello dei supermercati, dei negozi di vendita al dettaglio di elettronica, di vestiti ma anche di mobili e strumenti per il fai-da-te.
Indice degli argomenti
La cyber security e la Grande distribuzione organizzata
Il report copre il biennio 2024 – 2025 e contribuisce a ricostruire uno scenario che non lascia spazio a interpretazioni dubbie: il numero di vittime nel settore retail a livello globale è aumentato a 148 nel 2024, contro le 54 del 2020.
In termini spicci sono pressoché triplicati.
Va anche notata la rapidità dell’escalation tra il 2023, quando gli attacchi censiti sono stati 77 e i già citati 148 attacchi afferenti al 2024. In un solo anno sono raddoppiati (il 92% in più).
I costi di una data breach sono anche oggetto di riflessione. In Italia il costo media è di 4,37 milioni di euro e, scendendo nello specifico, nel comparto retail è di circa 4,12 milioni di euro mentre, per quanto riguarda la GDO, il costo sale a 4,85 milioni di euro circa, ossia mezzo milione in più rispetto alla media nazionale.
Non di meno, il tempo di rilevamento e di contenimento, secondo il report Maticmind, è calcolato mediamente in 218 giorni, oltre a essere un indizio della profonda articolazione del settore, contribuisce ad aumentare i costi delle data breach.
A livello europeo, le minacce più diffuse sono i ransomware, in crescita del 20 – 22%. Stringendo il focus, due terzi degli attacchi continentali sono mirati all’Italia, alla Francia, alla Germania, al Regno Unito e alla Spagna.
Il 46% delle violazioni ha riguardato dati personali dei clienti, mentre il 43% ha coinvolto dati di proprietà intellettuale. Il costo per record violato è passato da 156 a 173 dollari per unità (da 135 a 149 euro).
Le tecniche di intrusione
L’uso di credenziali compromesse fa da retroscena al 43% degli incidenti occorsi alla GDO. A seguire il phishing e lo sfruttamento di vulnerabilità di applicazioni. Il report segnala anche attacchi mirati a utenti con privilegi elevati – potenzialmente manager – e accenna anche al prelievo di software pirata con malware.
Questi due ultimi motivi verranno sviscerati più avanti dalla voce esperta di Salvatore Lombardo, funzionario ICT e membro Clusit.
Le cyber gang più prolifiche, tra le quali spiccano Lockbit e Clop, puntano dritte alla supply chain e ai sistemi di pagamento e attuando strategie di doppia estorsione, quelle mirate a crittografare i dati minacciando di pubblicarli non appena la vittima opponesse resistenza al pagamento del riscatto e, in alcuni casi, a pubblicarne una parte preventivamente per abbassare le resistenze dell’organizzazione colpita.
Il pagamento dei riscatti
A livello globale, le aziende colpite tendono a pagare meno riscatti. Nel primo trimestre del 2024 ha messo mano al portafoglio il 28% delle vittime, il dato più basso di sempre.
Questo è sintomo di una cultura più diffusa, tant’è che le organizzazioni hanno implementato sistemi di backup e di disaster recovery grazie ai quali possono evitare di cedere alle richieste del cyber crimine. Nel medesimo tempo, tuttavia, il distributore farmaceutico americano Cencora, ha pagato la cifra monstre di 75 milioni di dollari al gruppo Dark Angels.
Il 28% delle imprese che non ha potuto fare a meno di pagare non deve fare sorgere troppo entusiasmo per almeno due motivi. Il primo è che – pure rappresentando un minimo storico – siamo ancora nell’ordine di un’azienda su quattro che si fa cogliere impreparata e, in secondo luogo, la supply chain della GDO è formata da moltissime piccole e medie imprese, se ne deduce che le loro vulnerabilità possono mettere in ginocchio l’intera catena di distribuzione. Non a caso, il 62% degli incidenti è dovuto a partner commerciali compromessi.
Gli investimenti in cybersecurity
Maticmind stima che gli investimenti in cybersecurity in Italia sono in costante aumento, dato questo certificato anche dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.
Tale spesa, che nel 2023 ha raggiunto i 1.787,9 milioni di euro e che, secondo stime, sarebbe cresciuta del 9,1% nel 2024, è rappresentata in ragione del 7,8% dagli investimenti effettuati dalla GDO. Quindi, facendo un calcolo approssimativo, una cifra tra i 150 e i 152 milioni di euro.
Tuttavia, e anche di questo parleremo con Salvatore Lombardo, solo il 38% delle imprese della GDO ha fatto investimenti per adeguarsi alla direttiva NIS2, mentre il 72% dice di conoscere la direttiva in sé e l’importanza che questa rappresenta.
Le raccomandazioni di Maticmind
In sostanza possono essere riassunte in sei punti:
- Approccio integrato alla cybersecurity, ossia il coinvolgimento di tutta l’organizzazione
- Formazione del personale, inclusi i collaboratori esterni
- Controllo della catena di approvvigionamento grazie ad audit e clausole di sicurezza. A questo proposito, l’Agenzia dell’Unione europea per la Sicurezza informatica (ENISA) ha pubblicato delle linee guida
- Soluzioni tecnologiche come, backup, Endpoint Detection and Response (EDR) e autorizzazioni a più fattori
- Piani di risposta agli incidenti rodati e aggiornati
- Collaborazione con le autorità per condividere informazioni a vantaggio di tutte le organizzazioni.
Il comparto della GDO è sotto attaccato perché è diffuso, importante fino a essere vitale e vulnerabile. Se capillarità e importanza non sono attributi sui quali si può intervenire, la vulnerabilità deve essere oggetto di investimenti per garantire resilienza e qualità della cyber difesa.
Le lacune da colmare
Con Salvatore Lombardo approfondiamo due aspetti emersi dal report Maticmind che, letti tra le righe, dovrebbero fare riflettere.
Come scritto sopra, i cyber criminali sfruttano malware distribuiti mediante software pirata che gli utenti istallano liberamente sui rispettivi computer. Allo stesso modo, gli attacchi si diffondono anche grazie alla violazione di profili utente con alti privilegi.
Salvatore Lombardo osserva questi presupposti indossando i panni che gli competono, ossia quelli dell’esperto e quelli del divulgatore: “Dal punto di vista tecnico, il fatto che si debba ancora parlare di malware diffusi attraverso software pirata e di account privilegiati compromessi è sintomo di due debolezze sistemiche: persistenza dell’elemento umano come anello debole ed errori di architettura e mancanza di segmentazione.
Da un lato, nonostante le campagne di sensibilizzazione e l’evoluzione dei sistemi di difesa, molti utenti continuano a ignorare le buone pratiche e l’installazione di software pirata si conferma (vedi il rapporto Maticmind) come una scelta ad alto rischio.
Dall’altro lato, in molti contesti non esistono limitazioni per utenti privilegiati e meccanismi di controllo che uniti alla mancata segmentazione delle reti interne, potrebbe trasformare una violazione localizzata in uno squarcio a livello di sistema.
La compromissione di un account con privilegi rappresenta una delle minacce più gravi. È come mettere le chiavi di casa direttamente nelle mani di un ladro.
Gli attaccanti, una volta ottenuto l’accesso, possono muoversi lateralmente nella rete, disabilitare i controlli di sicurezza, esfiltrare dati o persistere per mesi senza essere rilevati.
Dal punto di vista divulgativo, questa situazione è, secondo me, la conseguenza diretta di una discrasia tra consapevolezza e comportamento digitale. Per molti utenti, l’uso di software pirata o la condivisione incauta delle credenziali non è percepito come un rischio concreto, ma piuttosto come una scorciatoia conveniente.
Quindi da esperto posso dire che, sebbene il quadro sia preoccupante, è tecnicamente risolvibile. I mezzi ci sono, ma serve una maggiore e coerente adozione delle best practice di sicurezza.
Come divulgatore ritengo che il punto chiave sia culturale. Dobbiamo continuare a ribadire e fare capire, con linguaggio semplice e impattante, che ogni comportamento digitale ha delle conseguenze”.
Non di meno, nel report si legge che solo il 38% delle organizzazioni della GDO (dato di ottobre del 2024) ha implementato misura in accordo con la direttiva NIS2 eppure, il 72% delle aziende ne riconosce il valore e l’importanza: possiamo ancora parlare di inconsapevolezza o è più appropriato usare parole cangianti come “scelleratezza”?
“La discrepanza tra consapevolezza e azione è tanto evidente quanto allarmante. Questo scarto dimostra purtroppo che le aziende sanno cosa dovrebbero fare, ma scelgono di non agire. Nel contesto della GDO, dove un attacco può bloccare catene di fornitura, compromettere dati di milioni di clienti o generare danni reputazionali ingenti, ignorare la NIS2 è senza dubbio una scelta scellerata, non più una dimenticanza o un errore di valutazione”, conclude Salvatore Lombardo.
