L’evoluzione tecnologica in atto rende lo scenario in cui la banca opera molto complesso e sfidante: occorre conciliare le esigenze di protezione, riservatezza e sicurezza con quelle di apertura al cliente e velocità dei flussi. La sicurezza ICT nel settore dei servizi finanziari è un aspetto strategico che incide direttamente sul core business. Fare le scelte giuste può fare la differenza
Strategie di difesa e nuove minacceLa diffusione dell’ICT ha incrementato la possibilità di sfruttare la tecnologia a fini invasivi e terroristici, aumentando le vulnerabilità dei sistemi e ampliando il bacino di soggetti potenzialmente esposti. Tale minaccia grava su tutte le piattaforme, dai sistemi complessi delle grandi aziende, delle banche e della PA, ai dispositivi dei singoli cittadini. La cosiddetta minaccia cibernetica, per la sua natura diffusa, incontrollata e transnazionale, rappresenta – oggi – una delle sfide più impegnative. I cyber attack sono in grado di produrre effetti confrontabili con quelli ipotizzabili in attacchi bellici convenzionali e di incidere sull’esercizio stesso delle libertà essenziali per i sistemi economici e democratici.
La guerra, il terrorismo e il crimine non si svolgono più o solo nel modo tradizionale ma anche nel cyber-space. Gli obiettivi privilegiati sono le cosiddette infrastrutture critiche (IC), lo Stato, l’economia, le singole aziende e, quindi, le banche e i sistemi della finanza. La distruzione e il danneggiamento – anche parziale – di una IC hanno un notevole impatto economico e sociale. Basti pensare alle reti della finanza e dei sistemi di pagamento che includono effetti intersettoriali e transfrontalieri, con effetto “domino” dovuto alle interdipendenze e interconnessioni.
In particolare, si profilano all’orizzonte gli advanced persistent threat, le cosiddette APT, che sono attacchi prolungati nel tempo e focalizzati su specifici obiettivi economici o strategici. Nelle varie fasi dell’APT, che possono anche durare anni, sono utilizzate non solo tecniche di hacking tradizionali, ma anche tools dedicati. In sostanza, vere e proprie azioni di spionaggio e sabotaggio via Internet e canali tradizionali.
Il rischio APT nella finanza è confermato dall’autorevole Global Risks Report del World Economic Forum (www.weforum.org) che – analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità – pone il cyber attack ai primi posti. Il successivo livello di escalation può quindi essere una seria minaccia per il sistema bancario e finanziario di uno o più paesi. Non bisogna, infatti, dimenticare che a livello di competitività industriale gli obiettivi di gruppi – anche piccoli ma ben organizzati, con una copertura istituzionale da parte di eventuali paesi ostili – non sono solo i singoli conti dei clienti ma le informazioni strategiche di una banca o di grandi manovre finanziarie, economiche e industriali. Anche le mafie si stanno evolvendo: hanno fatto un up-grade delle competenze e cominciato a rubare, riciclare e a far transitare soldi attraverso i sistemi informatici, usando i sistemi della finanza.
L’evento più importante dell’ultimo anno, in questo ambito, è stato Eurograbber, una colossale operazione criminale condotta nei confronti di 30mila conti correnti europei, che ha sottratto agli ignari correntisti oltre 36 milioni di euro con prelievi illeciti e ai singoli malcapitati, somme tra i 500 e 250mila euro. L’operazione, condotta con l’ennesima variante per piattaforme mobile del malware Zeus (ZitMo), è partita proprio dal nostro Paese e ha coinvolto 16 istituti bancari solo in Italia, oltre agli 11mila utenti complessivi a livello europeo. Il New York Stock Exchance (NYSE) ha recentemente imposto a banche, broker e gestori di asset di dimostrare praticamente la propria resilienza di business continuity anche sotto cyber attack. L’esercitazione – che ha il nome in codice di Quantum Down 2 ed è coordinata dalla Securities Industry and Financial Markets Association (Sifma), l’associazione che rappresenta le aziende del settore finanziario – coinvolge circa 50 istituti finanziari e istituzioni federali, oltre al dipartimento del Tesoro, l’FBI e il dipartimento per la sicurezza nazionale USA.
Bill Michael, responsabile dei servizi finanziari di Kpmg (www.kpmg.com), nel recente rapporto sul settore bancario inglese afferma che il maggiore rischio attuale non è quello di una crisi di liquidità, ma di un cyber attack che paralizzi le attività delle banche. «I cyber attack – sostiene Michael – potrebbero essere il prossimo shock sistemico. Ci sono sempre maggiori dubbi sulla capacità delle banche di combattere future minacce alla sicurezza. Dopo anni di miglioramento, le banche britanniche hanno subìto, lo scorso anno, un aumento del 12% delle frodi online».
ANALISI AUTOREVOLI
A livello governativo, la conferma dell’aumento delle minacce arriva dall’ultima relazione del DIS (Dipartimento di Informazione per la Sicurezza) della Presidenza del Consiglio sulla Politica dell’informazione per la sicurezza e dalla relazione del COPASIR (Comitato Parlamentare per la Sicurezza della Repubblica). L’accresciuta rilevanza della cyber security è testimoniata anche dalla relazione annuale del Sistema di Informazione per la Sicurezza della Repubblica (l’insieme delle istituzioni e agenzie nazionali preposte alle attività di intelligence). Lo stesso governo considera la minaccia cyber non più come mero problema di criminalità, ma come questione di sicurezza nazionale. Cruciale in tal senso è la protezione delle infrastrutture critiche informatizzate (CIIP). Nell’ultimo rapporto dell’osservatorio dell’Istituto Affari Internazionali (IAI – www.iai.it) dal titolo Cyber-security: Europa e Italia, si ribadisce che l’interesse del cybercrime è particolarmente elevato per le frodi bancarie, il furto di identità e di informazioni (come lo spionaggio industriale) che sono causa di ingenti danni economici. Secondo l’annuale rapporto Clusit (www.clusit.it) sulla Sicurezza ICT in Italia, presentato a Roma lo scorso giugno durante il Security Summit 2013, in relazione a quanto avvenuto nel 2012 e nei primi mesi del 2013, la situazione è in netto peggioramento e vi sono elementi di forte preoccupazione tra gli addetti ai lavori. Ci troviamo di fronte a una vera e propria emergenza nella quale nessuno può più ritenersi al sicuro, dove tutti sono in qualche modo e – a vario titolo – minacciati. La frequenza degli incidenti è aumentata del 250% in un solo anno. Il cybercrime è diventato la causa del 54% degli attacchi (era il 36% nel 2012), con una crescita anno su anno del numero di attacchi di oltre il 370%. Lo studio Clusit si riferisce a un campione di oltre mille e 600 incidenti significativi avvenuti negli ultimi due anni e al confronto con le informazioni che emergono dai report di molti vendor (Cisco, IBM, Kaspersky, McAfee e Trend Micro).
AZIONI E CONTROMISURE
Per affrontare e dibattere il tema, i principali attori della sicurezza in banca e nella finanza si sono incontrati a Roma poco prima dell’estate per l’annuale summit Banche e Sicurezza 2013. L’evento – organizzato e ospitato dall’associazione bancaria italiana (ABI – www.abi.it), in collaborazione con l’osservatorio in materia di sicurezza (OSSIF – www.ossif.it) e ABI Lab (www.abilab.it) – è la sede più importante e qualificata per fare il punto sulle prospettive future e sulle più innovative metodologie e tecnologie per la sicurezza nella finanza. L’incontro annuale è unico nel suo genere, sia per la visione privilegiata sul settore sia per il coinvolgimento istituzionale.
Le vaste implicazioni della minaccia cibernetica sono state all’origine delle norme introdotte, prima con la legge n. 133/2012 e poi con il DPCM del 19/3/2013 n. 66. L’Italia ha oggi la sua strategia per la cyber security. Il decreto 66, in particolare, definisce “l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle IC materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente e i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”.
ARCHITETTURA A TRE LIVELLI
L’architettura si articola su tre distinti livelli d’intervento. Il primo è di indirizzo politico e coordinamento strategico per l’elaborazione di un Piano nazionale per la sicurezza dello spazio cibernetico. Il secondo è di supporto con funzioni di raccordo nei confronti di tutte le amministrazioni ed enti competenti per l’attuazione degli obiettivi, delle linee di azione indicate dalla pianificazione nazionale e che provvede a programmare l’attività operativa a livello interministeriale e ad attivare le procedure di allertamento in caso di crisi. Il terzo livello è di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate. La legge attribuisce al Comitato interministeriale per la sicurezza della Repubblica (CISR) compiti di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza, nonché di elaborazione degli indirizzi generali e degli obiettivi fondamentali da perseguire nel quadro della politica dell’informazione per la sicurezza. Un’ulteriore e specifica esigenza di coordinamento si pone con riguardo alla gestione operativa delle crisi e all’adozione delle misure necessarie al ripristino della funzionalità dei sistemi. Tale coordinamento è individuato nel Tavolo interministeriale di crisi cibernetica che – per gli aspetti tecnici di computer emergency response – si avvale del CERT nazionale istituito presso il ministero dello Sviluppo economico ai sensi del decreto legislativo n. 259/2003. Anche la Commissione europea ha finalmente reso nota la sua direttiva in materia di sicurezza delle reti e dell’informazione. Il piano nasce per tutelare l’apertura, la libertà e le opportunità della rete. Nello specifico le priorità sono cinque: conseguire la resilienza informatica, ridurre drasticamente la criminalità informatica e sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune. DIS e COPASIR, commentando il nuovo impianto normativo, sottolineano che «oggi la sicurezza del Paese passa per la sicurezza delle sue aziende e la sicurezza delle aziende non può prescindere dalla sicurezza del Paese». In altre parole, l’intelligence si pone a supporto della sicurezza aziendale (infrastrutture critiche e cybercrime in particolare). Esistono dunque le premesse normative e fattuali affinché il rapporto pubblico-privato possa esprimere tutte le sue potenzialità positive, realizzando una sicurezza globale e di sistema quale base fondamentale di contrasto ai cyber attack. Da un punto di vista operativo, l’ABI e la Convenzione interbancaria per i problemi dell’automazione (CIPA) hanno emesso l’annuale Piano delle attività in materia di automazione interbancaria (per il periodo 2013 – metà 2014), che raccoglie le principali attività progettuali e quelle di analisi e studio promosse dalla Banca d’Italia (BI), dalla stessa CIPA, dall’ABI, dai consorzi BANCOMAT, CBI e ABI Lab, da OSSIF e dai centri applicativi. Il piano è sempre più orientato a una forte integrazione europea delle infrastrutture, dei mercati e degli strumenti della finanza e dei sistemi di pagamento e fotografa anche i fenomeni della sicurezza informatica in termini di utilizzo dell’ICT, di investimenti, di progetti e di priorità dell’intero sistema bancario. In materia di continuità operativa e sicurezza delle IC del sistema finanziario, proseguono le attività del CODISE (gruppo di lavoro sulla continuità operativa del sistema finanziario coordinato da BI), attraverso lo svolgimento di esercitazioni annuali e lo sviluppo di nuove metodologie per l’analisi dei rischi. Il comitato ha approfondito i rischi cyber per le infrastrutture di mercato, con particolare riferimento agli aspetti di continuità operativa e ha mostrato l’importanza di sviluppare nuove metodologie e metriche per l’analisi dei rischi.
PIù’ INTELLIGENCE PER LA SICUREZZA
La Banca d’Italia partecipa ai lavori dell’European Forum on the Security of Retail Payments (SecurePay Forum). Nel mese di febbraio 2013 la Banca Centrale Europea (BCE) ha pubblicato il rapporto Recommendations for the security of internet payments, che contiene le raccomandazioni in materia di sicurezza per i pagamenti via Internet. Queste linee guida dovranno essere trasferite nelle regolamentazioni nazionali entro il primo febbraio 2015. I principali aspetti riguardano la fase di inizializzazione del pagamento (metodi di “autenticazione forte” dell’utente, vincoli sulla sessione transattiva, presidi di monitoraggio sulla fase di inoltro della transazione), l’implementazione di misure di sicurezza per mitigare i rischi di utilizzo fraudolento e la fase di assistenza del consumatore (con appositi sistemi di alert e la verifica dei movimenti effettuati). In parallelo, la BCE ha emesso anche le Recommendations for payment account access services, che riguardano la sicurezza dei servizi Internet forniti da soggetti terzi che, interponendosi tra l’utente e la banca (o altro prestatore di servizi di pagamento), consentono al cliente di effettuare pagamenti accedendo al proprio conto. La BI, nel ruolo di ente titolare del trattamento dei dati della Centrale di Allarme Interbancaria (CAI), svolge anche una costante azione di controllo sulle segnalazioni trasmesse dagli intermediari e sulla gestione dell’archivio da parte della SIA (www.sia.eu). Inoltre, è in corso il progetto per la realizzazione di un data warehouse finalizzato a rendere più efficaci i processi di analisi delle segnalazioni di operazioni sospette attraverso l’integrazione di tutte le fonti informative interne all’Unità di informazione finanziaria (UIF), di quelle della BI e delle fonti esterne. ABI Lab, con il suo osservatorio su Sicurezza e frodi informatiche – cui partecipano attivamente le banche, gli outsourcer interbancari, i partner ICT, i referenti istituzionali e della Polizia Postale e delle Comunicazioni – è costantemente attivo nell’area della prevenzione e del contrasto dei cyber attack e mantiene il presidio dei rapporti con le principali istituzioni europee e con i centri di studio nazionali e internazionali attivi in materia. In particolare, ABI Lab fa parte dell’European Electronic Crime Task Force, le cui attività si concentrano sul contrasto alle frodi online e il fenomeno del crimine informatico. Sono seguite con particolare attenzione le attività del Progetto europeo OF2CEN (On-Line Fraud Cyber Centre and Expert Network), finanziato dalla Commissione europea e coordinato dalla Polizia Postale. Tra gli obiettivi del progetto risalta l’istituzione di un Cyber Frauds Centre nazionale per la raccolta e lo scambio di informazioni inerenti ad attacchi sospetti o perpetrati sul canale Internet nei confronti di banche e la creazione di una piattaforma per lo scambio di informazioni con la Polizia Postale e delle Comunicazioni a supporto delle attività investigative delle forze dell’ordine e delle iniziative di information sharing del Cyber Frauds Centre. Al fine di massimizzare le azioni di contrasto e prevenzione interviene ancora il rapporto Sicurezza e frodi informatiche in banca di ABI Lab a mettere in luce come è sempre più importante e strategico dotarsi di strumenti evoluti e continuamente aggiornati, in grado di effettuare un presidio costante degli accessi, delle operazioni e della rete. Per quanto riguarda l’organizzazione, la tecnologia e le azioni principali da mettere in campo all’interno della banca ci sono:
• accurato risk assessment che contempli anche il rischio APT
• adozione di sistemi di cifratura e data loss prevention (DLP)
• continuo pathcing dei sistemi operativi
• adozione di framework di sicurezza nello sviluppo software
• segmentazione delle reti e separazione delle funzioni aziendali
• adozione di sistemi di strong authentication
• monitoraggio del traffico entrante e uscente
• analisi anomalie utilizzo dei sistemi informativi
• costituzione del CIRT(computer incident response team)
• attività di cyber intelligence al fine di predire possibili minacce.
L’adeguata verifica della identità è un aspetto rilevante dell’azione preventiva di contrasto. Essa richiede l’identificazione e l’autenticazione dei dati acquisiti e la verifica nei confronti del beneficiario – titolare effettivo – quando il cliente è una persona giuridica o effettua un’operazione per conto di altri soggetti. Il presidio migliore per la prevenzione del rischio è quello dell’autenticazione “a due fattori”, basata, per esempio, su smart card contenenti certificati digitali e codice PIN o su token e PIN.
Alle soluzioni tecnologiche si affiancano le iniziative di sistema e delle singole banche volte ad accrescere il livello di conoscenza e familiarità dei dipendenti e dei clienti con i fenomeni fraudolenti e che si concretizzano in azioni di formazione destinate a: personale di filiale, strutture di help desk, operatori di call center. Nel medesimo quadro si pone la diffusione di una cultura della prevenzione cibernetica e della cybersecurity, secondo un approccio integrato e multidisciplinare che non manchi di includere iniziative volte a sensibilizzare la collettività, nonché a promuovere la formazione tecnico-specialistica, lo sviluppo della ricerca, il coordinato raccordo tra pubblico e privato. Secondo il rapporto Clusit è anche auspicabile che “dalla crescente copertura dedicata dai media ai cyber attack parta quel movimento di sensibilizzazione necessario a instaurare la prima forma di difesa della identità digitale costituita dall’accortezza e dalla diffidenza”.
SICUREZZA GLOBALE
Gestire i rischi in ottica di sicurezza integrata globale e di sistema, nella logica PPP, vuol dire rispondere a una richiesta precisa e pressante che impone di acquisire una complessa e globale visione d’insieme e di fare le scelte giuste instaurando anche specifiche relazioni a tutto campo. Occorre quindi pianificare e implementare un’organizzazione di sicurezza, come già previsto peraltro dalla normativa PCI (Payment Card Industry), che sia in grado di far funzionare il sistema in modo adeguato a raggiungere gli obiettivi di business e di sicurezza insieme. A tal fine è fondamentale rivedere il modello di approccio trasformandolo come elemento centrale di una strategia maggiormente focalizzata. In questo senso, la governance della sicurezza deve essere inserita all’interno di un processo direzionale. Lo scenario delineato configura, infatti, la sicurezza come un’attività sempre più trasversale e globale, che coinvolge all’interno della banca strutture differenti e personale non sempre consapevole delle necessarie accortezze. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi in grado di coinvolgere in maniera trasversale tutte le strutture interessate: sicurezza logica, business continuity, sicurezza fisica, business intelligence. In sostanza, serve una visione globale e di sistema, collaborando strettamente con il sistema bancario, il sistema nazionale ed europeo di sicurezza – nella logica PPP – per la soluzione di problematiche che riguardano talvolta anche la stabilità dell’intero sistema finanziario. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca e coinvolgere anche le istituzioni (sicurezza di sistema) nel senso auspicato dal DIS e COPASIR.
La migliore risposta organizzativa interna alla gestione della sicurezza nel senso auspicato è l’adozione della metodologia basata sull’information security management maturity model”. Come tutti i modelli “maturity model”, l’approccio si basa sul raggiungimento graduale dei quattro livelli di maturità interni, attraverso la misurazione della propria situazione attuale e la conseguente adozione di strumenti e processi che eliminino i punti di debolezza. E’ quindi evidente che il tema della sicurezza costituisce una questione di competenza dell’alta direzione in quanto richiede necessariamente di conciliare l’efficacia della prevenzione, delle contromisure con l’ottimizzazione delle risorse da impiegare e la collaborazione con le istituzioni e il sistema Paese. Adottando un processo di governance e risk management, oltre a mantenere nel tempo la conformità a leggi e regolamenti, si ottiene un rapido ritorno degli investimenti e un supporto per l’innovazione. I vantaggi maggiori – però – si ottengono con una sicurezza “by design” (come indicato dalla Unione europea e come da sempre sostenuto dagli esperti IBM, che a differenza di altri player, ne hanno fatto una vera dottrina), cioè progettata sin dall’inizio in tutti i processi aziendali, nello sviluppo di prodotti e servizi, nelle attività quotidiane. In azienda, questo non significa semplicemente proteggere l’ICT, ma realizzare una organizzazione e un’infrastruttura sicura e “resiliente”, considerando quindi anche la continuità dei processi e delle operazioni di business.
CONCLUSIONI
Maggiore sicurezza significa più qualità dell’offerta e maggiore fiducia della clientela. Si profilano all’orizzonte importanti e crescenti rischi per la banca che vanno sotto il nome di cyber attack alle IC. Questi, infatti, non sono più rappresentati dal singolo haker dilettante ma da vere e proprie organizzazioni criminali che stanno abbandonando la rapina e la frode tradizionale per dedicarsi alla frode informatica. Nelle banche è necessario un mutamento radicale nella concezione della sicurezza per la realizzazione del modello di “sicurezza integrata globale e di sistema”. Tale nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo al più alto livello manageriale e di gestire il fenomeno anche all’esterno con i necessari collegamenti con il sistema bancario e con il sistema di sicurezza nazionale ed europeo nella logica PPP. In sostanza, si sta passando dalla “Info security” alla “Cyber security”.
