Da voce di costo a driver di business dell’industria dei servizi finanziari a livello globale, la sicurezza è sempre più una priorità strategica. Come costruire una roadmap per la resilienza informatica delle infrastrutture della finanza? L’impiego allargato dell’AI non porterà vantaggi solo a chi si difende ma fornirà armi potentissime anche ai cyber criminali
Il rischio operativo, come ogni rischio, non può essere eliminato e la sua riduzione e gestione ha quindi bisogno di azioni coordinate per poter essere controllato. Azioni che implementino, e rendano effettivamente operativa nella struttura aziendale, una “funzione sicurezza” che, attraverso la definizione della strategia di gestione del rischio residuo e di protezione del bilancio d’impresa, coinvolga gli ambiti manageriali, normativi, organizzativi e tecnologici. Tale funzione/obiettivo è oggi uno dei mega driver dell’industria dei servizi finanziari a livello globale.
Secondo Fabio Rizzotto, associate vice president & head of local research and consulting di IDC Italia, nonostante le significative evoluzioni già osservate nel settore della sicurezza informatica negli ultimi 10 anni, i cambiamenti che interverranno dal 2019 al 2024 non avranno precedenti. «L’impatto di un’economia di trasformazione digitale (DX) su larga scala nel settore finanziario vedrà le esperienze cliente più avanzate, la proliferazione di soluzioni di prossima generazione, l’espansione delle tecnologie di intelligenza artificiale (AI) e sistemi cognitivi e la modernizzazione delle infrastrutture di back office con l’utilizzo di interfacce applicative (API) aperte, il tutto finalizzato a migliorare l’efficienza e la redditività complessiva». In tale contesto di DX – spiega Rizzotto – la cyber security è, quindi, l’aspetto strategico per eccellenza. La cosiddetta minaccia cyber, infatti, per la sua natura diffusa, incontrollata e transnazionale, rappresenta oggi la sfida più impegnativa. Gli attacchi informatici sono in grado di produrre nella finanza effetti devastanti, molto costosi e di incidere sull’esercizio stesso della libertà economica. La distruzione e il danneggiamento, anche parziale, della infrastruttura critica della finanza hanno un notevole impatto strategico, umano, economico e sociale: basti pensare alle reti di interscambio e ai sistemi di pagamento che includono effetti intersettoriali e transfrontalieri, con effetto domino dovuto alle interdipendenze.
Secondo un recente studio pubblicato dal Massachusetts Institute of Technology, il 2019 potrebbe essere l’anno peggiore per la cyber security. L’impiego allargato dell’AI non porterà vantaggi solo a chi si difende ma fornirà armi potentissime anche ai cyber criminali. Inoltre, gli attaccanti malintenzionati stanno cercando di sfruttare a loro favore le stesse infrastrutture AI sviluppate per la sicurezza informatica. Lo stesso argine della crittografia sembra essere sul punto di cedere con l’impiego del quantum computing (IBM ha presentato il primo PC quantistico commerciale nel corso del CES 2019) che permette di aumentare in maniera esponenziale le capacità di calcolo e quindi anche di rompere un algoritmo crittografico. Inoltre, gruppi di cyber criminali si stanno specializzando nel bucare le difese dei grandi cloud server. In tal modo, con un unico attacco, sarebbero in grado di entrare in possesso dei dati di migliaia di clienti, senza dover replicare innumerevoli volte l’attacco.
ATTACCHI IN AUMENTO
Anche dal recente Rapporto CLUSIT 2018 emerge che il numero di attacchi in ambito bancario/finanziario aumenta costantemente con una percentuale che oscilla intorno all’11-12% e, anche se tale percentuale non lo colloca tra i comparti maggiormente colpiti nel 2017, va osservato che il numero di attacchi subiti ha avuto un incremento rispetto al 2014 di circa il 116%, mostrando chiaramente come le frodi finanziare siano un campo in cui gli attaccanti sono maggiormente attivi. «Le tecniche di attacco più utilizzate sono quelle classiche del phishing e del malware che sono costantemente in crescita: nel 2017, il 22% le prime e il 23% le seconde» – spiega Garibaldi Conte, membro del comitato scientifico di CLUSIT. «Da qualche anno, il terreno delle frodi finanziare è uscito dal raggio d’azione dell’hacker solitario per diventare territorio di gruppi criminali ben organizzati e strutturati». E questo si evince dalla capacità tecnologica dimostrata nel costruire e mantenere malware di alto livello, dalle competenze tecniche necessarie per aggiornarlo ogni qualvolta viene identificato e anche dalla conoscenza accurata delle interfacce o delle applicazioni di eBanking delle varie banche, con una localizzazione perfetta nelle lingue del soggetto attaccato. «I prossimi anni – continua Conte – vedranno, molto probabilmente, una ulteriore polarizzazione verso malware controllati da gruppi di cyber criminali di élite, con collegamenti internazionali, con un continuo incremento della complessità e un sempre maggiore spostamento del malware verso i dispositivi mobili».
Gli obiettivi dei nuovi gruppi criminali, infatti, non si fermeranno solo ai sistemi di pagamento, ma presumibilmente si spingeranno anche sulle infrastrutture finanziare utilizzate dai maggiori operatori. Per esempio, il 2016 si può considerare l’anno nero della piattaforma SWIFT che è stata continuamente attaccata sfruttando vulnerabilità presenti presso alcune banche centrali. Si pensi solo che in uno di questi attacchi sono state inserite in rete transazioni false per circa 1,2 miliardi di dollari che hanno prodotto un danno di circa 82 milioni di dollari per la banca centrale attaccata. Ovviamente, si è corsi subito ai ripari, rafforzando le piattaforme interessate, ma l’attenzione rimane comunque altissima. «Altro fenomeno da evidenziare – mette in guardia Conte – è che gli attacchi non si fermano alle piattaforme tecniche usate dagli operatori finanziari, ma si estendono anche ad altri ambiti quando questi vengono utilizzati per implementare servizi accessori». E lo dimostra l’attacco subito nel 2016-2017 dal protocollo SS7 che è stato violato per intercettare gli SMS che gli operatori finanziari utilizzavano per inviare le OTP (One Time Password) agli utenti. «Sul mercato – spiega Conte – stanno poi comparendo una serie di operatori che offrono servizi innovativi, dal crowdfunding al peer-to-peer lending, dalla gestione dei pagamenti alle valute digitali, con una non elevata cultura della sicurezza. Per tale ragione, CLUSIT ritiene che proprio le fintech possano diventare un potenziale obiettivo dei gruppi criminali. E alcuni attacchi registrati in questi ultimi anni, come gli attacchi alle piattaforme di gestione dei bitcoin, sembrerebbero confermare questa ipotesi.
MINACCE COMPLESSE E PERSISTENTI
Secondo Claudia Gaschi, enterprise sales manager di ESET Italia – «la minaccia cyber nel settore finance evolve in complessità e persistenza, soprattutto per quanto riguarda l’azione di attori nation-state e di sindacati criminali». Recentemente, i ricercatori di ESET hanno scoperto una nuova famiglia di trojan bancari, battezzata BackSwap, che impiega tecniche innovative per aggirare le protezioni dei moderni browser e sottrarre soldi dai conti correnti delle vittime. Pochi mesi fa, inoltre, ESET ha reso noto le risultanze di una nuova campagna di diffusione su larga scala di Emotet. Altro fattore che preoccupa è l’abbassamento della barriera di ingresso nella cyber-arena. E in effetti – spiega Claudia Gaschi – «grazie alla diffusione del modello “crime as a service” è relativamente semplice per attori privi di particolari competenze tecniche organizzare attacchi di media complessità». Questo modello rappresenta una ulteriore opzione di attacco anche per attori persistenti che intendono rendere complessa l’attribuzione della loro azione. «La salvaguardia del dato, cioè la sicurezza dato-centrica, è sempre fondamentale» – sottolinea Salvatore Marcis, technical director di Trend Micro Italy. «Qualsiasi oggetto collegato a un indirizzo IP può essere compromesso e quindi bisogna prestare la massima attenzione alle interconnessioni dei dati con gli altri istituti, istituzioni della finanza e con i clienti». Secondo Marcis occorre ridefinire il concetto stesso di sicurezza, portandola dentro i processi. «La security by design è ora cruciale e i produttori dovrebbero stare molto attenti ogni volta che lanciano un nuovo prodotto sul mercato e fare in modo che non contenga vulnerabilità o difetti che possono essere sfruttati per minare la sicurezza. «Il criterio per lo sviluppo degli attacchi è quello di una monetizzazione sempre più rapida» – spiega Marcis. «E questo include anche il riscatto preventivo.
In quest’ottica, vengono utilizzati ransomware ovviamente, ma anche altre tecniche come gli attacchi business email compromise o business process compromise». Altra caratteristica distintiva dei cyber attack è la natura persistente di una campagna condotta da un aggressore motivato. Gli attacchi APT sono difficili da identificare, sradicare completamente e rendono complesso valutarne l’ampiezza dell’impatto. Inoltre, alcuni attacchi cyber possono rendere inefficaci i meccanismi di gestione del rischio e di business continuity. Per esempio, le disposizioni di replica automatica dei sistemi e dei dati – progettate per aiutare a preservare dati e software sensibili in caso di un evento fisico dirompente – potrebbero, in alcuni casi, alimentare la diffusione di malware e dati danneggiati nei sistemi di backup. Dal punto di vista del mercato, Fabio Rizzotto di IDC Italia sottolinea che la spesa mondiale per hardware, software e servizi relativi alla sicurezza in tutti i settori ha raggiunto 92,1 miliardi di dollari nel 2018 e che il mercato avrà nei prossimi anni un tasso di crescita annuale composto (CAGR) del 9,9%, per raggiungere 133,7 miliardi di dollari nel 2022. Il settore bancario rappresenta il più grande investimento globale in soluzioni di sicurezza, passando da 10,5 miliardi di dollari nel 2018 a più di 16 miliardi di dollari nel 2022. Nel 2019, secondo le previsioni di IDC, il rafforzamento della sicurezza e l’attrazione di nuovi clienti saranno in cima alla lista delle priorità aziendali. Non solo. La sicurezza spinge anche gli investimenti in direzione dell’autenticazione forte dei clienti. E ciò come conseguenza diretta della PSD2, che impatta particolarmente anche sui processi antifrode, ponendo l’attenzione sui nuovi concetti di third party provider (TPP) e di open banking. Il superamento di queste sfide garantisce che l’azienda operi al livello ottimale di rischio gestito. Le organizzazioni leader stanno, infatti, sviluppando quadri di economia della sicurezza in grado di misurare il rischio ridotto per costo unitario.
CYBER RESILIENCE
Alla luce della preoccupante crescita del cyber risk, la Banca Centrale Europea, consapevole della priorità assoluta della resilienza delle infrastrutture strategiche della finanza, a dicembre 2018 ha diffuso il documento Cyber Resilience Oversight Expectations for financial market infrastructures (CROE) che, come riferimento ufficiale dell’Eurosistema, rappresenta ora per le banche e le istituzioni finanziarie un faro per la sorveglianza e la cyber security. Il documento definisce la roadmap per la resilienza informatica delle infrastrutture della finanza. Nella sostanza propone un percorso razionale come standard condiviso specifico, con strategie per combattere la sofisticazione della criminalità digitale e supportare gli operatori con indicazioni operative ben fondate sulla capacità di cyber resilienza. Il CROE si basa, in effetti, sul precedente Guidance on cyber resilience for financial market infrastructures pubblicato nel giugno 2016, dalla Commissione per i pagamenti e le infrastrutture di mercato (CPMI) e l’Organizzazione internazionale delle commissioni sui valori mobiliari (IOSCO) che impone alle istituzioni dell’Eurosistema di adottare immediatamente le misure necessarie a garantire migliori livelli di resilienza. La cyber resilience, secondo la ECB, è “un aspetto importante della resilienza operativa delle Financial Market Infrastructure (FMI) ed è anche un fattore che influenza la capacità di ripresa complessiva del sistema e dell’economia in generale”.
Come indicato nella guida, i cyber risks dovrebbero essere gestiti come parte del quadro generale di gestione del rischio operativo. Tuttavia, alcune caratteristiche uniche del rischio cibernetico rappresentano una sfida ai tradizionali sistemi di gestione del rischio operativo. Le indicazioni metodologiche della BCE, scandite in tre step, consentono alle FMI di attuare e poter misurare costantemente il cammino verso la resilienza delle proprie pratiche operative. Nel primo step Evolving, le capacità di resistenza sono stabilite e sostenute dalla FMI per identificare, gestire e mitigare i rischi cyber, in linea con la strategia e la struttura. Nel secondo Advancing, l’implementazione di strumenti più avanzati per la gestione della sicurezza e del rischio, integrati nelle linee di business della FMI e migliorati nel tempo per gestire proattivamente le minacce. Nel terzo step Innovating, le capacità vengono potenziate secondo necessità e in base all’evoluzione rapida del panorama delle minacce. Questo livello si traduce per l’FMI in innovazioni relative a persone, processi e tecnologia. Sono state individuate anche 5 categorie di rischio classiche che sono: governance, identification, protection, detection e recovery, ciascuna delle quali ben definita nella metodologia BCE. La combinazione delle 5 categorie di rischio con i 3 livelli di “maturità” costituisce una matrice di principi di sorveglianza utile, non solo per le istituzioni ma anche per impostare la propria policy di cyber security. Sulla base di tale matrice sono stati definiti 290 Oversigh Expectations ripartiti nel seguente modo: 156 per il livello 1, 86 per il livello 2 e 48 per il livello 3. Ogni FMI dovrà nominare un alto dirigente, di solito un chief information security officer (CISO), come responsabile di tutti i problemi di cyber resilience all’interno della FMI e nei confronti di terzi. Il manager dovrà garantire che gli obiettivi e le misure di cyber resilience, le politiche connesse e le linee guida siano correttamente comunicate all’interno delle organizzazioni ed eventualmente anche a terze parti.
Inoltre, il CISO è responsabile della corretta attuazione, del monitoraggio e della implementazione ed evoluzione delle policy. Per quanto riguarda le soluzioni, le metodologie e gli standard, il CROE fa esplicito riferimento ai documenti e i quadri di orientamento internazionale a oggi esistenti, quali: il NIST Cyber security Framework, gli standard ISO/IEC 27002:2013, il COBIT 5, i documenti del FFIEC (Federal Financial Institutions Examination Council), il Cyber Security Maturity Model e i vari “cyber security Assessment Tool”. Il CROE si aggiunge, quindi, al corpus normativo già in vigore. In particolare, è complementare al GDPR (General Data Protection Regulation – EU 2016/679) per il “trattamento e protezione dei dati”, alla PSD2 e alla direttiva NIS (EU 2016/1148).
DIFESA PROATTIVA
Gestire i rischi in ottica di sicurezza integrata e di sistema vuol dire adottare un processo di governance e risk management. È quindi indispensabile per la banca adottare il CROE e innalzare, da subito, la qualità e l’integrazione del processo di sicurezza (cyber physical security) come unico sistema in grado di garantire la costante collaborazione interna, con gli altri attori di mercato, con le istituzioni finanziarie e di sicurezza nazionali europee e globali. «Negli ultimi 20 anni, si è cercato di prendere il meglio delle tecnologie in ogni singolo layer di sicurezza» – afferma Salvatore Marcis di Trend Micro Italy. «Oggi, la soluzione per ridurre il rischio è condividere le informazioni di intelligence e quindi evitare di utilizzare tecnologie di vendor diversi che non comunicano tra di loro». In un progetto di security ideale, quello che serve sono le difese multi-livello, che proteggano e scansionino i sistemi sia in verticale (interno-esterno) che in orizzontale (tra i vari sistemi interni) fino al mobile, offrendo in quest’ultimo caso una protezione sicura anche al di fuori dell’azienda. «È importante che in caso di anomalia – conclude Marcis – questa venga subito comunicata a un sistema di controllo centrale, che sia in grado anche in maniera automatica di mettere in piedi delle contromisure e contrastare l’eventuale attacco». Anche per Claudia Gaschi di ESET Italia, un modello di difesa multi-layer è la risposta giusta – «per analizzare la minaccia e il relativo comportamento sotto molteplici fattori». A questo proposito, ESET propone la piattaforma EDR (Endpoint Detection & Response) che, permettendo di individuare e quindi prevenire potenziali incidenti attraverso l’indicazione di IOC (Indicator of Compromise) e l’analisi comportamentale, va a completare la protezione fornita dalla piattaforma EPP (Endpoint Platform Protection). Altro aspetto fondamentale – spiega Claudia Gaschi – «è il fattore umano, elemento chiave per il successo della quasi totalità degli attacchi». Per questo motivo è cruciale adeguare la difesa aumentando la consapevolezza della minaccia mediante campagne di awareness sui principali attori e le relative tecniche, tattiche e procedure (TTP).
Per Gianni Baroni, amministratore delegato di Gruppo Daman, ci sono due importanti driver che stanno imponendo un cambiamento nelle strategie di cyber security. «Da una parte, l’evoluzione delle normative, dall’altra l’aver preso atto della centralità del fattore umano. Senza adeguare i comportamenti delle persone non è possibile garantire un adeguato livello di sicurezza». È essenziale però che i modelli di cyber physical security siano adattivi, in grado cioè di adattare la risposta all’effettivo livello di rischio, senza impattare negativamente sull’esperienza utente e sulla competitività dell’organizzazione. «A un estremo del sistema di sicurezza c’è l’anello debole della catena, il fattore umano – continua Baroni – con la necessità di investire su programmi di formazione in grado di influire concretamente sui comportamenti». All’altro estremo – «c’è la capacità di orchestrare e automatizzare tutte le attività di identificazione delle minacce e di risposta agli incidenti». Automazione e fattore umano sono due elementi che sembrano agli antipodi, ma che invece dovranno fornire una risposta sinergica. Nel 2018, il gruppo Daman ha collaborato, con la piattaforma di e-learning Cyber Guru Enterprise, allo sviluppo di una importante esperienza nazionale di cyber security awareness, a supporto dei programmi di una delle principali banche italiane. «Abbiamo portato avanti significativi progetti di privileged access management – spiega Baroni – con la tecnologia BOMGAR, e infine abbiamo contribuito allo sviluppo di quello che oggi è uno standard de facto nell’automazione e orchestrazione del SOC (Security Operation Center), con la tecnologia DEMISTO ENTERPRISE, da noi distribuita».
Concludendo possiamo osservare che si profilano all’orizzonte importanti rischi cyber che possono creare potenzialmente veri e propri disastri. La banca e le istituzioni finanziarie si stanno organizzando per neutralizzare tali rischi ed è in atto un mutamento radicale: la realizzazione del modello di cyber physical security. Per favorire tale evoluzione, oltre alle norme già consolidate, occorre adottare e implementare, da subito, il CROE della ECB che può consentire un vero e proprio salto di qualità nella cyber security.
