Ascolta l'articolo

Il sistema bancario come piattaforma onnicomprensiva e globale di cybersecurity. Tuttavia, il 15% delle organizzazioni finanziarie nega ancora di aver subito attacchi negli ultimi dodici mesi. Nel mirino, furto d’identità, supply chain finance e sistemi di pagamento

Gli sconvolgimenti indotti dalla pandemia Covid-19 hanno determinato, in brevissimo tempo, un incremento esponenziale dell’utilizzo delle tecnologie digitali, in particolare: smart working, eCommerce, eLearning ed eBanking. Secondo Boston Consulting Group, un cliente su quattro nel mondo utilizzerà molto meno gli sportelli bancari anche dopo la fine dell’emergenza Coronavirus. In Italia, in particolare, il 50% dei consumatori ha velocemente intensificato l’uso dei canali online e dell’eBanking. La recente ricerca di Kaspersky, “How Covid-19 changed the way people work” sottolinea, però, che quasi una persona su quattro, tra gli utilizzatori dei nuovi canali digitali, non ha ricevuto una guida o una adeguata formazione sulla cybersecurity. Inoltre, il CSIRT (Computer security incident response team – csirt.gov.it), che opera nel Dipartimento delle informazioni per la sicurezza (DIS) della Presidenza del Consiglio dei ministri, ha messo in guardia il Paese verso l’avvento di nuove tipologie di malware che, invece di attaccare l’utente, rivolgono la loro azione nefasta contro gli strumenti e le infrastrutture digitali alla base dei servizi online. In questo ultimo periodo, infatti, la minaccia cyber, per la sua natura diffusa, incontrollata e transnazionale, è divenuta la sfida più impegnativa nell’ambito della sicurezza e del rischio operativo. I cyber attack sono in grado di produrre nella finanza effetti devastanti, molto costosi e di incidere sull’esercizio stesso della libertà economica. La distruzione e il danneggiamento, anche parziale, della infrastruttura critica finanziaria hanno un notevole impatto strategico, umano, economico e sociale: basti pensare alle reti di interscambio e ai sistemi di pagamento globali che includono effetti intersettoriali e transfrontalieri, con effetto “domino” dovuto alle interdipendenze. La dimensione del fenomeno, e soprattutto il carattere internazionale assunto dalla criminalità nel settore, fanno propendere per una vera e propria dimensione sistemica degli attacchi.

Di conseguenza, potenzialmente, le banche sono e saranno uno dei bersagli principali delle attività di spionaggio e violazione dei sistemi. Lo conferma il “Data Breach Investigations Report 2020” di Verizon Business, che individua nel guadagno economico lo scopo principale del crimine informatico: quasi 9 violazioni su 10 (86%) fra quelle analizzate sono motivate da finalità finanziarie. Il denaro fa ancora girare il mondo della criminalità informatica: il 30% delle violazioni nella finanza è stato causato da attacchi alle applicazioni web, lanciati principalmente da attori esterni che utilizzano credenziali rubate per ottenere l’accesso ai dati sensibili archiviati nel cloud. Quindi, nel corso dei prossimi anni, le banche e le società di trading saranno interessate da una forte recrudescenza di attacchi cyber e si presenteranno sulla scena nuovi e agguerriti gruppi criminali particolarmente focalizzati su furto d’identità, supply chain finance e sistemi di pagamento.

PRIORITÀ D’INVESTIMENTO

La finanza si trova a dover fronteggiare le crescenti esigenze di protezione delle proprie infrastrutture a fronte dell’incremento notevole del rischio di attacchi cyber sempre più sofisticati – come ci spiega Giancarlo Vercellino, associate research director di IDC Italia. Dalle diverse indagini condotte da IDC, emerge che il comparto finanziario sia particolarmente colpito da numerosi attacchi, tra cui spiccano in modo sostanziale il phishing (quasi il 40%) e il DDoS (oltre il 30%). In aumento in modo preoccupante, anche i casi di cache poisoning (circa uno su cinque) e i casi di abuso nella configurazione delle piattaforme cloud. Nonostante l’impatto globale del GDPR e della direttiva NIS, come modello di trasparenza nelle comunicazioni pubbliche, si osserva che ancora il 15% delle organizzazioni finanziarie nega di aver subito attacchi negli ultimi dodici mesi: conviene chiedersi se sia davvero così. «Si tratta, quindi, di fare le scelte giuste – spiega Vercellino di IDC – e di contrastare in modo dinamico le minacce nell’ambito della moderna gestione dei rischi e della difesa onnicomprensiva e globale».

Se non consideriamo gli interventi sulla rete e la temporanea sospensione dei canali e dei processi impiegati come vettori di attacco, le strategie principali che le organizzazioni del mondo finanziario stanno mettendo in campo per mitigare il rischio cyber sono: il costante aggiornamento delle patch di sicurezza e una attentissima analisi dei pacchetti che transitano sulle reti. «Soprattutto su questo secondo fronte – conclude Vercellino – le organizzazioni del mondo finanziario possono ancora fare significativi passi in avanti: attualmente, quasi il 40% delle organizzazioni impiega i tradizionali SIEM (security information and event management), ma soltanto poco più del 10% impiega soluzioni avanzate basate sul machine learning». Le soluzioni per la messa in sicurezza dei dispositivi e i firewall aziendali non bastano più: il rischio cyber è ormai un rischio sistemico ed endemico, bisogna imparare a conviverci. La sicurezza dei dati rappresenta una seria preoccupazione anche nel report globale 2020 KPMG – Oracle sulle minacce in cloud (Cloud Threat Report). Lo studio, che ha coinvolto 750 professionisti IT e di cybersecurity in tutto il mondo, mette in evidenza un approccio farraginoso alla sicurezza dei dati, con servizi non configurati correttamente e confusioni diffuse per quanto riguarda i nuovi modelli nel cloud, determinando una crisi di fiducia che sarà risolta solo dalle aziende più lungimiranti e accorte.

Leggi anche:  Gli Usa aggiungono l’IA cinese al blocco commerciale

Secondo l’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, che alla sua quinta edizione ha realizzato il rapporto “Security-enabled transformation: la resa dei conti”, nel corso di quest’ultimo periodo la cybersecurity è diventata una delle maggiori priorità di investimento per le banche. L’indagine dell’Osservatorio ha esplorato, oltre alle priorità di investimento, le aree di azione più urgenti in ambito cybersecurity e data protection. Al primo posto, è emersa proprio l’importanza di sensibilizzare i dipendenti: il fattore umano si conferma la principale vulnerabilità per tutte le organizzazioni. Al secondo posto, è emersa la necessità di coinvolgere il top management nella definizione di una strategia di cybersecurity. E a seguire, l’esigenza di adeguarsi alle normative in materia di protezione dei dati o dei servizi (GDPR, direttiva NIS, PSD2…).

La dinamica del mercato conferma la maggiore attenzione al tema della cybersecurity, con un bilanciamento della spesa che interessa in misura crescente componenti innovative, legate alla gestione degli end point, al design delle applicazioni, così come al cloud e ai dispositivi connessi. Secondo l’indagine dell’Osservatorio, nel 2019 il mercato dell’information security in Italia ha raggiunto un valore di 1,3 miliardi di euro, in crescita rispetto ai 12 mesi precedenti. Se nel 2018, la crescita registrata si attestava sui 9 punti percentuali, il 2019 prosegue nel trend positivo, con un aumento della spesa dell’11%. L’ultima rilevazione del CLUSIT, l’associazione italiana per la sicurezza informatica, ha censito a livello globale 757 attacchi di tipo grave, che hanno avuto un impatto rilevante in termini economici e di reputazione sulle organizzazioni colpite. L’analisi si basa su un campione costituito da 10.087 attacchi noti di particolare gravità (di cui 1.670 nel 2019), ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili, o che comunque prefigurano scenari particolarmente preoccupanti. A spiccare è il dato relativo al cybercrime, che rappresenta la principale causa di attacchi gravi, con l’85% degli attacchi globali perpetrati allo scopo di estorcere denaro o di sottrarre le credenziali per ricavarne un guadagno economico.

In particolare, nel corso dell’anno – e prima del passaggio graduale di consegne al CSIRT, il nuovo team per la gestione della cyber-difesa nazionale – sono state ricevute e gestite complessivamente dal CERT Nazionale 2.976 segnalazioni riguardanti pagine di phishing: un terzo circa ha riguardato siti di phishing ai danni di clienti di banche, spesso con presenza multinazionale: circa 80 le banche coinvolte. Il danno medio subìto da una grande azienda in seguito a un attacco informatico è stimato in 1,41 milioni di dollari. Ha fatto scalpore, per esempio, l’attacco inflitto alla società finanziaria Capital One, una delle principali emittenti di carte di credito del Nord America, che ha subito il furto di dati personali di circa 106 milioni di clienti. Gli attaccanti, secondo il CLUSIT, non sono più hackers o artigiani del cybercrime: sono invece gruppi criminali ben organizzati e transnazionali. Una situazione di inaudita gravità, che mette a repentaglio tutti i presupposti sui quali si basa il buon funzionamento delle reti e dei servizi digitali della finanza. Il 2019 per CLUSIT è stato l’anno peggiore di sempre in termini di evoluzione delle minacce e dei relativi impatti, sia dal punto di vista quantitativo che da quello qualitativo, evidenziando un trend persistente di crescita degli attacchi, della loro gravità e dei danni conseguenti. Inoltre, occorre considerare che il campione esaminato da CLUSIT è necessariamente parziale, in quanto un buon numero di aggressioni non diventano mai di dominio pubblico, nonostante i dettami del GDPR e della direttiva NIS che obbligano tassativamente a denunciare gli attacchi subiti. «La finanza si trova oggi a dover fronteggiare le crescenti esigenze di protezione delle proprie infrastrutture a fronte dell’incremento notevole del rischio cyber» – ribadisce anche Luca Bechelli, membro del comitato scientifico di CLUSIT.

Leggi anche:  Covid-19, direttori del personale in prima fila

L’analisi “Elementi sul cybercrime nel settore finanziario in Europa”, realizzata da IBM, nel marzo di quest’anno, sulla base dei dati di IBM X-Force e IBM Trusteer, concorda con tale tendenza. «Il cybercrime finanziario ha subito una ulteriore evoluzione sia nel modus operandi dei gruppi cybercriminali che nei malware usati, ed è dominato da gruppi internazionali ben strutturati e organizzati» – conferma Pier Luigi Rotondo, security architect di IBM. Le analisi delle principali campagne di attacco hanno mostrato che il fenomeno delle frodi finanziarie ha coinvolto un numero ampio di malware, ma si è anche avvalso in maniera rilevante dello sfruttamento malevolo degli strumenti di sistema operativo. L’obiettivo rimane quello di impossessarsi delle credenziali di accesso ai sistemi di pagamento, oppure dei dati delle carte di pagamento o, ancora, di cambiare le coordinate di pagamento. In tutto questo, però, l’elemento che ha contribuito e che contribuisce maggiormente al successo di questo tipo di attacchi rimane, come è stato detto, la compartecipazione e collaborazione della vittima come elemento imprescindibile.

GESTIONE DEL RISCHIO

Come ogni rischio, il rischio operativo cyber non può essere eliminato del tutto e la sua riduzione e gestione ha quindi bisogno di un insieme di azioni coordinate per poter essere controllato. Azioni che coinvolgono gli ambiti manageriali, organizzativi e tecnologici (la triade: persone, processi e strumenti), oltre che di policy e di governance attraverso la definizione di una strategia di risk management e un approccio integrato di prevenzione e di protezione del bilancio e di gestione del rischio residuo. Gestire i rischi in ottica di sicurezza integrata e di sistema vuol dire rispondere a una richiesta precisa del mercato che impone alla banca di acquisire una complessa visione d’insieme. Adottando un processo di governance e risk management, oltre a mantenere nel tempo la conformità a leggi e regolamenti, si ottiene anche un rapido ritorno degli investimenti e un supporto per l’innovazione. È indispensabile innalzare il processo di sicurezza sin nelle fasi iniziali di sviluppo dei prodotti e servizi, realizzando la cosiddetta “security by design” e adottando modelli e metodologie globali e integrati, in grado di garantire la costante collaborazione con gli altri attori di mercato, con le istituzioni finanziarie e di sicurezza nazionali europee e globali. Vi è poi il mercato della cyber insurance per il rischio residuo. In Italia, il settore specifico è ancora in fase di sviluppo ma si registra già una crescita delle aziende che hanno introdotto polizze assicurative, sintomo di una maggiore consapevolezza delle opportunità offerte da tali strumenti.

CONTRASTO E PREVENZIONE

Al fine di massimizzare le azioni di contrasto e prevenzione diviene sempre più importante dotarsi di strumenti evoluti e continuamente aggiornati, in grado di effettuare un presidio costante degli accessi, delle operazioni e della rete. Alle soluzioni tecnologiche si affiancano le iniziative interne volte ad accrescere il livello di conoscenza e familiarità dei dipendenti con i fenomeni fraudolenti e che si concretizzano in azioni di formazione destinate a: personale di filiale, strutture di help desk, operatori di call center e clienti. L’uso dell’intelligenza artificiale nelle soluzioni di sicurezza si sta orientando su più linee principali. Anzitutto nella ricerca di pattern su una grossa mole di flussi informativi interni ed esterni, per identificare autonomamente nuove frodi. C’è poi l’area della intelligence consolidation che sfrutta le capacità di interpretazione del linguaggio naturale, analizzando e apprendendo dall’enorme quantità di informazioni, per lo più in forma non strutturata, prodotte continuamente nel campo della sicurezza.

Altra misura fondamentale che il mondo bancario ha iniziato ad attuare da settembre 2019, con effetti su tutta la filiera, è quella della strong customer authentication (SCA) o multi-factor authentication (MFA), prevista dalla direttiva PSD2. Con la MFA si combinano più elementi di autenticazione, appositamente scelti e coniugati per rendere la compromissione del sistema più complessa. I malware che nel corso del 2019 hanno implementato la cattura degli SMS come fattore di autenticazione (2FA) basato sulla messaggistica, assieme ai tool e librerie sviluppate appositamente per questa attività, invitano ad abbandonare quanto prima i messaggi come fattore di autenticazione. Fortunatamente sull’MFA è possibile costruire sistemi di autenticazione più robusti e difficili da infrangere. Tra questi, il password-less login basato sulla scansione di un QR code con un dispositivo precedentemente associato, oppure l’uso delle numerose app authenticator, con PIN di autenticazione che cambia continuamente, associato al dispositivo biometrico dello smartphone, sia esso il lettore di impronte digitali o il riconoscimento facciale.  Gli esperti sottolineano l’importanza della app authenticator (UBA) o analisi comportamentale dell’utente, perché aggiunge un ulteriore elemento per il calcolo del valore di rischio della singola transazione, e mira a individuare prontamente le azioni anomale dei cyber criminali che cercano di impersonificare la vittima, autenticandosi con le sue credenziali. La UBA analizza una grande quantità di elementi sul comportamento dell’utente, finora ignorati, e dovrebbe essere la naturale evoluzione di ciascun sistema SIEM.

Leggi anche:  Cambiamento climatico. La prossima sfida per l’ICT

Un ulteriore elemento fondamentale per il contrasto è anche il security operation center (SOC) soprattutto per la velocità con cui gli attacchi prendono di mira le organizzazioni, per la crescente complessità e le tecniche di offuscamento che lasciano pochissimo tempo per analizzare il singolo evento, valutarlo e prendere una decisione ponderata. Una piattaforma di threat intelligence, infine, è lo strumento fondamentale per l’investigazione degli eventi perché consente di verificare velocemente alert, log, file binari, con gli IOC (indicator of compromise) su una fonte autorevole e aggiornata, per confermare o escludere una potenziale minaccia. Questa deve essere unita a una piattaforma di collaborazione come fonte primaria per essere informati su ciò che accade a livello globale e per condividere real time, in maniera protetta, le informazioni sulle investigazioni.

DIFESA ONNICOMPRENSIVA

Nella sicurezza sempre di più si assottigliano le divisioni tra sicurezza fisica e cybersecurity, tra mondo reale e mondo digitale. In questo quadro, si evolvono professionalità, approcci e strumenti che coinvolgono persone, processi e tecnologie. Quello che non cambia ma anzi si rafforza è la centralità, anche a livello di governance, della gestione della sicurezza come tessuto connettivo di tutte le aree di business. Il presidio e la difesa del patrimonio della banca (umano, informativo, economico), nonché la tutela della continuità operativa, richiedono aggiornamenti continui, investimenti, innovazione, per rispondere prontamente alle nuove minacce del cybercrime, delle frodi materiali e digitali, del crimine fisico. Lo scenario delineato configura, quindi, la sicurezza come un’attività sempre più trasversale, che coinvolge all’interno della banca strutture differenti e personale non sempre consapevole delle necessarie accortezze. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi che coinvolge in maniera trasversale tutte le strutture interessate: sicurezza logica, business continuity, sicurezza fisica, business intelligence, realizzando quella funzione che taluni hanno definito cyber physical security. Occorre, in sostanza, avere una visione globale, collaborando strettamente con il sistema bancario, nazionale ed europeo, per la soluzione di problematiche che riguardano talvolta la stabilità dell’intero sistema finanziario. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca in grado di coinvolgere anche le istituzioni. In sostanza, serve una nuova strategia e metodologia per realizzare una difesa proattiva e globale con livelli sistemici di comunicazione e informazione sia nazionali che europei e globali. Di fatto, questo nuovo approccio viene stimolato e promosso, oltre che dai fatti anche dalle norme europee GDPR e NIS. Una ulteriore e specifica esigenza di coordinamento si pone con riguardo alla gestione operativa delle crisi e all’adozione delle misure necessarie al ripristino della funzionalità dei sistemi.

CONCLUSIONI

L’attivazione del circolo virtuoso “più sicurezza, uguale più qualità dell’offerta e maggiore fiducia della clientela” assume importanza strategica nell’attività finanziaria, che nella valorizzazione delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività e la propria reputazione. Si profilano all’orizzonte importanti rischi cyber che possono creare veri e propri disastri.

La banca si sta trasformando e organizzando per coprire tale rischio con logiche di risk management ed è in atto un mutamento radicale: la realizzazione del modello di difesa onnicomprensiva e globale o cyber physical security. Per favorire tale evoluzione, l’implementazione completa delle norme europee come PSD2, GDPR e NIS può consentire un salto di qualità nella cybersecurity della finanza. Tale nuovo approccio consente di concentrare la responsabilità in un unico punto di raccordo centralizzato e di gestione al più alto livello manageriale, e di governare il fenomeno anche all’esterno con i necessari raccordi con il sistema bancario ma anche con il sistema di sicurezza nazionale ed europeo.