La guerra, il terrorismo e il crimine non si svolgono più solo nel mondo fisico ma, da alcuni anni, anche nel cyberspazio. La tendenza è in forte crescita e gli obiettivi privilegiati sono le cosiddette infrastrutture critiche: lo stato, l’economia, le reti, le banche e i sistemi della finanza
La distruzione e il danneggiamento, anche parziale, di una infrastruttura critica (IC) hanno un notevole impatto strategico, umano, economico e sociale. Nella finanza e nei sistemi di pagamento, vi sono relazioni intersettoriali e transfrontaliere che possono creare un “effetto domino” a livello continentale.
Il settore della finanza è talmente strategico per un paese europeo che molti governi lo classificano come uno dei settori prioritari dal punto di vista delle IC. Sotto l’etichetta “finance”, infatti, si trovano normalmente sottosettori quali: markets e retail banking, investment banking, asset management, financial facilities, assurance, payments systems.
L’evoluzione tecnologica caratterizzata dai drivers CAMS (cloud, analytics, mobile e social) e l’avvento dei nuovi processi – come l’esecuzione di contratti da remoto, la dematerializzazione, le connessione di dispositivi intelligenti e infine l’evoluzione della banca verso nuovi modelli organizzativi e di business – hanno incrementato sensibilmente la possibilità di attacchi invasivi e terroristici, aumentando le vulnerabilità dei sistemi e ampliando il bacino dei soggetti potenzialmente esposti.
La minaccia cibernetica, per la sua natura diffusa, incontrollata e transnazionale, rappresenta una delle sfide più impegnative per gli stati, le organizzazioni sovranazionali, le banche, le aziende e i cittadini.
I cyber attack sono in grado di produrre effetti confrontabili con quelli ipotizzabili in attacchi bellici convenzionali e possono incidere sull’esercizio stesso delle libertà essenziali per i sistemi economici e democratici. Il rilievo particolare del crimine finanziario digitale è dovuto anche al fatto che questo amplifica notevolmente le modalità di riciclaggio del denaro. A livello di competitività industriale, gli obiettivi di gruppi – anche piccoli ma ben organizzati, con una copertura istituzionale da parte di eventuali paesi ostili – non sono solo i singoli conti dei clienti, ma le informazioni strategiche di una banca o di grandi manovre finanziarie, economiche e industriali. Tecnicamente si profilano all’orizzonte importanti e crescenti rischi che vanno sotto il nome di advanced persistent threat (APT), cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi economici o d’intelligence. Nelle varie fasi dell’APT, che può anche durare anni, vengono utilizzate tecniche e tools di hacking tradizionali ma anche di tools dedicati. In sostanza, sono vere e proprie azioni di spionaggio multicanale. Di conseguenza, nel prossimo futuro, le banche potrebbero essere uno dei bersagli principali di attività di spionaggio, di violazione dei sistemi informativi. Il rischio cyber nella finanza è confermato dall’autorevole “Global Risks Report 2014” del World Economic Forum che – classificando le principali minacce globali per impatto e probabilità – pone tra i primi posti i cyber attack.
Rapporto Clusit 2014
Anche secondo l’annuale rapporto CLUSIT sulla “Sicurezza ICT in Italia”, presentato a Roma lo scorso giugno durante il Security Summit 2014, in relazione a quanto avvenuto nel 2013 e nei primi mesi del 2014, la situazione è in evidente peggioramento e vi sono elementi di forte preoccupazione. Gli attacchi informatici crescono sensibilmente, sia come numerosità sia come gravità, mentre i difensori incontrano serie difficoltà a mitigare tali rischi, e di conseguenza gli scenari che si possono ipotizzare per il breve-medio termine non sono affatto confortanti. Ci troviamo di fronte a una vera e propria emergenza nella quale nessuno può più ritenersi al sicuro e dove tutti sono in qualche modo – e a vario titolo – minacciati. Il numero di attacchi gravi di pubblico dominio è cresciuto nel 2013 del 245%. Lo studio Clusit si riferisce, in particolare, a un campione di oltre 1.152 incidenti significativi avvenuti negli ultimi due anni e al confronto con le informazioni che emergono dai report di molti vendor (tra i quali Cisco, IBM, Kaspersky Lab, McAfee e Trend Micro).
Da un lato vi è l’elevato rischio di furto delle informazioni e di denaro e dall’altro le aziende tendono a sottovalutare la minaccia riponendo un’eccessiva fiducia nelle proprie risorse. Non bisogna infatti dimenticare che una compromissione come una frode in ambito bancario può richiedere anche 18 mesi per essere scoperta. Inoltre, è difficile che le vittime e gli istituti coinvolti pubblicizzino gli eventi e gli attacchi fraudolenti. È auspicabile – secondo CLUSIT – che dalla crescente copertura dedicata dai media, parta quel movimento di sensibilizzazione necessario a instaurare la prima forma di difesa costituita dall’accortezza e dalla diffidenza.
La strategia europea
La strategia definita dalla Commissione europea nel documento di impostazione strategica “Uno spazio informatico aperto e sicuro” si articola in una serie di azioni concrete e in una direttiva per la sicurezza informatica. Il documento definisce la cyber strategy europea come “la sicurezza del cyberspazio comunitario che è prerequisito imprescindibile per lo sviluppo dell’Europa”. Non a caso, il terzo dei sette pilastri sui quali si articola l’Agenda Digitale Europea si chiama proprio “Trust & Security”. Tale pilastro consta di 17 azioni mirate a rafforzare i prerequisiti fondamentali di sicurezza e fiducia delle infrastrutture tecnologiche e di comunicazione. Il Parlamento europeo ha recentemente rinnovato a ENISA (Agenzia europea per la sicurezza delle reti e delle informazioni – www.enisa.europa.eu) il mandato, dotandola di un nuovo e più efficace statuto che ne amplia in modo importante la missione e la responsabilità: e ciò proprio in funzione del ruolo cruciale che essa gioca nell’implementazione della strategia europea per la cyber security. L’iniziativa europea – forse – più importante e visibile è l’organizzazione periodica di regolari esercitazioni paneuropee nelle quali, simulando svariati realistici scenari di attacco, gli stati membri e le strutture comunitarie verificano la propria readiness e la capacità di fronteggiare le minacce. Sino a oggi – con il coordinamento di ENISA – si sono già tenute tre esercitazioni (Cyber Europe 2010, CE2012 e CE2014) e un’altra esercitazione congiunta EU-USA (Cyber Atlantic 2011). Alla CE2014, per la prima volta, hanno partecipato anche i paesi europei aderenti all’EFTA ma non alla UE. Oltre a raccomandare a tutti gli stati membri che non l’abbiano ancora fatto di ratificare al più presto la Convenzione di Budapest, la strategia UE prevede poi iniziative sul piano dell’armonizzazione a livello europeo delle singole legislazioni nazionali e dei relativi strumenti di contrasto. In particolare, il Centro Europeo per il Cyber Crime (EC3), recentemente fondato all’interno di EUROPOL, collabora per supportare gli stati membri in tale allineamento sia sul piano normativo sia su quello tecnico. Inoltre, il CEPOL (Accademia Europea di Polizia) sviluppa specifici piani di formazione per fornire a tutte le forze di polizia nazionali le adeguate conoscenze e competenze per fronteggiare al meglio la lotta al crimine informatico. Oltre a ciò, è operativa la costituzione della rete europea di CERT nazionali e del CERT europeo. La direttiva europea per le IC impone la predisposizione di un PSO (Piano di Sicurezza Operativo) specifico per ogni infrastruttura critica e – su questo punto – le banche sono già avanti in quanto soggette alle normative più stringenti della BCE e delle istituzioni finanziarie europee che avevano già previsto tale misura.
La strategia italiana
Le vaste implicazioni della minaccia cibernetica sono state all’origine delle norme introdotte, prima con la legge n. 133/2012 e poi con il DPCM del 19/3/2013 n. 66. L’Italia ha oggi la sua strategia per la cyber security. Il decreto definisce “l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle IC materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente e i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”. La norma si articola su tre distinti livelli d’intervento, di cui il primo di indirizzo politico e coordinamento strategico al quale è affidata l’elaborazione di un piano nazionale per la sicurezza dello spazio cibernetico. E in effetti, il 18 dicembre 2013, il Governo ha approvato tale piano (pubblicato sulla Gazzetta Ufficiale n.41 del 19 febbraio 2014). Il secondo livello d’intervento prevede il supporto con funzioni di raccordo nei confronti di tutte le amministrazioni ed enti competenti per l’attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione nazionale. Il terzo livello è quello di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate. Infine, un’ulteriore e specifica esigenza di coordinamento si pone riguardo alla gestione operativa delle crisi e all’adozione delle misure necessarie al ripristino della funzionalità dei sistemi. Tale coordinamento è individuato nel “Tavolo interministeriale di crisi cibernetica” che, per gli aspetti tecnici di computer emergency response, si avvale del CERT nazionale istituito presso il ministero dello Sviluppo economico ai sensi del decreto legislativo n. 259/2003.
La sicurezza in banca
Per affrontare e dibattere il tema, i principali attori della sicurezza in banca e nella finanza si sono incontrati a Milano poco prima dell’estate per l’annuale summit Banche e Sicurezza 2014. L’evento – organizzato e ospitato dall’Associazione bancaria italiana (ABI -www.abi.it), in collaborazione con l’Osservatorio in materia di sicurezza (www.ossif.it) e ABI Lab (www.abilab.it) – è la sede più importante e qualificata per fare il punto sullo stato dell’arte, sulle prospettive future e sulle più innovative metodologie e tecnologie per la sicurezza nella finanza. L’incontro annuale è unico nel suo genere, sia per la visione privilegiata sul settore sia per il coinvolgimento istituzionale. L’obiettivo, anche quest’anno, è stato quello di rispondere alla crescente attenzione verso tutte le problematiche della protezione del patrimonio aziendale da eventi di natura accidentale e non, potenzialmente in grado di colpire le risorse umane, finanziarie, informatiche e strumentali della banca.
L’ABI e la Convenzione Interbancaria per i problemi dell’automazione (CIPA) hanno emesso l’annuale “Piano delle attività in materia di automazione interbancaria e sistema dei pagamenti” (per il periodo 2014-metà 2015), che raccoglie le principali attività progettuali e quelle di analisi e studio promosse dalla Banca d’Italia, dalla stessa CIPA, dall’ABI, dai Consorzi BANCOMAT, CBI e ABI Lab, da OSSIF e dai centri applicativi. Il piano è orientato a una forte integrazione europea delle infrastrutture, dei mercati e degli strumenti della finanza e dei sistemi di pagamento e fotografa anche i fenomeni della sicurezza informatica in termini di: utilizzo dell’ICT, investimenti, progetti e priorità dell’intero sistema bancario. In ambito BRI (Banca dei Regolamenti Internazionali), il Committee on Payment and Settlement Systems (CPSS) sta monitorando la rilevanza delle minacce cyber per le infrastrutture di mercato e per gli overseer. Ai lavori partecipano l’Organizzazione internazionale delle autorità di controllo dei mercati finanziari (IOSCO), il Comitato di Basilea per gli standard bancari (BCBS), operatori ed esperti esterni alle banche centrali. In materia di business continuity e sicurezza proseguono le iniziative del CODISE (Gruppo di Lavoro sulla continuità operativa del sistema finanziario coordinato da BI), attraverso lo svolgimento di esercitazioni annuali e lo sviluppo di nuove metodologie per l’analisi dei rischi. L’Osservatorio sicurezza e frodi informatiche, costituito da banche, outsourcer interbancari, partner ICT, referenti Istituzionali e della polizia postale e delle comunicazioni, prosegue il percorso di approfondimento intrapreso nell’ottica di promuovere un presidio di ricerca continuo e completo sulla sicurezza e sulla gestione delle frodi informatiche. Continua inoltre la focalizzazione sull’evoluzione normativa e saranno realizzati approfondimenti sugli impatti derivanti dal recepimento delle raccomandazioni BCE sulla sicurezza degli Internet Payments, dalla revisione della PSD – Payment services directive – e dalle nuove disposizioni della BI in materia di vigilanza prudenziale. La Banca d’ItaIia partecipa ai lavori dello “European Forum on the Security of Retail Payments” (SecurePay Forum). Nel febbraio 2013, la BCE ha pubblicato il rapporto “Recommendations for the security of internet payments”, che contiene le raccomandazioni in materia di sicurezza per i pagamenti via Internet; esse dovranno essere trasposte nelle regolamentazioni nazionali entro il primo febbraio 2015. I principali aspetti riguardano la fase di inizializzazione del pagamento (metodi di “autenticazione forte” dell’utente, vincoli sulla sessione transattiva, presidi di monitoraggio sulla fase di inoltro della transazione), l’implementazione di misure di sicurezza per mitigare i rischi di utilizzo fraudolento e la fase di assistenza del consumatore (con appositi sistemi di alerte la verifica dei movimenti effettuati). In parallelo, la BCE ha emesso le “Recommendations for payment account access services” che riguardano la sicurezza dei servizi Internet forniti da soggetti terzi che – interponendosi tra l’utente e la banca (o altro prestatore di servizi di pagamento) – consentono al cliente di effettuare pagamenti, accedendo al proprio conto. La Banca d’Italia, nel ruolo di ente titolare del trattamento dei dati della Centrale di Allarme Interbancaria (CAI), svolge – infine – una costante azione di controllo sulle segnalazioni trasmesse dagli intermediari e sulla gestione dell’archivio da parte della SIA. Inoltre, è in corso il progetto per la realizzazione di un data warehouse, finalizzato a rendere più efficaci i processi di analisi delle segnalazioni di operazioni sospette attraverso l’integrazione di tutte le fonti informative interne all’Unità di informazione finanziaria (UIF), di quelle della Banca d’Italia e delle fonti esterne.
La sicurezza integrata
Lo scenario delineato fino a questo punto configura la sicurezza come un’attività sempre più trasversale, che coinvolge all’interno della banca strutture differenti e personale non sempre consapevole dei possibili rischi. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi in grado di coinvolgere in maniera trasversale tutte le strutture interessate: sicurezza logica, business continuity, sicurezza fisica, business intelligence. Occorre, in sostanza, avere una visione di sistema, collaborando strettamente con il sistema bancario, il sistema nazionale ed europeo di sicurezza. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca e coinvolgere anche le istituzioni (sicurezza di sistema). La valenza strategica della sicurezza nell’attuale contesto competitivo è fuor di dubbio, ma gestire i rischi in ottica di sicurezza integrata vuol dire rispondere a una richiesta precisa e pressante che impone di acquisire una complessa visione d’insieme e di fare le scelte giuste. Occorre quindi pianificare e implementare un’organizzazione di sicurezza, come previsto dalla normativa PCI (Payment Card Industry), che sia in grado di far “girare” il sistema in modo adeguato per raggiungere al tempo stesso sia gli obiettivi di business sia di sicurezza.
A tal fine è fondamentale rivedere il modello di approccio, trasformandolo come elemento centrale di una strategia maggiormente focalizzata. In questo senso, la governance della sicurezza deve essere inserita all’interno di un processo direzionale. La BCE ha emesso linee guida, riprese poi da CIPA, che mettono in evidenza i cinque processi fondamentali: 1) gestione del rischio informatico; 2) controllo dell’attività di change management; 3) controllo delle fasi di test e accettazione in produzione; 4) gestione degli incidenti; 5) business continuity management, che caratterizzano la gestione della cyber security.
La migliore risposta alla gestione della sicurezza della banca è, comunque, l’adozione della metodologia basata sul “security management maturity model”. Come tutti i modelli “maturity model”, l’approccio si basa sul raggiungimento graduale di livelli di maturità interni, in questo caso quattro, attraverso la misurazione della propria situazione attuale e la conseguente adozione di strumenti e processi che eliminino i punti di debolezza. Per esempio, nel caso dell’ISM3 (Information Security Management Maturity Model consortium) i livelli prevedono quattro step: threat defense; compliance and defense in depth; risk based security; business oriented. È quindi evidente che oggi il tema della sicurezza costituisce una questione di competenza dell’alta direzione in quanto richiede necessariamente di conciliare l’efficacia della prevenzione e delle contromisure con l’ottimizzazione delle risorse da impiegare. Gestire i rischi in ottica di sicurezza integrata e di sistema vuol dire rispondere a una richiesta precisa e pressante del mercato che impone alla banca di acquisire una complessa visione d’insieme: le criticità della singola filiale e la tutela del dipendente, le esigenze di interlocutori esterni sempre più diversificati, l’autenticazione robusta, la difesa del patrimonio informativo, la prevenzione rispetto alle minacce derivanti dalla escalation verso il cyber attack – sono solo i principali aspetti di questa visione. In azienda, questo non significa “semplicemente” proteggere l’IT, ma realizzare un’infrastruttura sicura e “resiliente”, considerando quindi anche la continuità dei processi e delle operazioni di business. Significa – in altre parole – progettare i servizi IT, a partire dalle applicazioni per esempio, affinché siano intrinsecamente sicuri: una sicurezza by design che si può raggiungere non solo nelle nuove organizzazioni, ma si può impostare come approccio evolutivo dell’IT. Ma significa anche che tutti i processi di business, lo sviluppo dei prodotti e le attività operative quotidiane devono essere progettate per essere sicure.
Contromisure
Al fine di massimizzare le azioni di contrasto e prevenzione, è sempre più importante e strategico dotarsi anche di strumenti evoluti e continuamente aggiornati, in grado di eseguire un presidio costante degli accessi, delle operazioni e della rete. Alle soluzioni tecnologiche si devono affiancare le iniziative internevolte ad accrescere il livello di conoscenza e familiarità dei dipendenti con i fenomeni fraudolenti. Per quanto riguarda l’organizzazione e la tecnologia, le azioni principali da metter in campo all’interno della banca sono:
- Accurato risk assessment che contempli anche il rischio APT.
- Adozione di sistemi di cifratura e data loss prevention (DLP).
- Continuo pathcing dei sistemi operativi.
- Adozione di framework di sicurezza nello sviluppo software.
- Segmentazione delle reti e separazione delle funzioni aziendali.
- Adozione di sistemi di strong authentication.
- Monitoraggio del traffico entrante e uscente.
- Analisi anomalie utilizzo dei sistemi informativi.
- Costituzione del CIRT(computer incident response team).
- Attività di cyber intelligence al fine di predire possibili minacce.
L’adeguata verifica della clientela è un aspetto rilevante dell’azione preventiva di contrasto e richiede l’identificazione e l’autenticazione dei dati acquisiti e la verifica nei confronti del beneficiario sostanziale – titolare effettivo – quando il cliente è una persona giuridica o effettua un’operazione per conto di altri soggetti. Il presidio migliore per la prevenzione del rischio è quello dell’autenticazione a due fattori, basata, ad esempio, su smart card contenenti certificati digitali e codice PIN o su token e PIN.
Conclusioni
La sicurezza nel settore della finanza è da sempre un aspetto strategico che incide, in misura sempre maggiore, sul core business e che può diventare determinante nell’attuale scenario competitivo. L’attivazione del circolo virtuoso – “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” – assume importanza determinante nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. La minaccia cibernetica, per la sua natura diffusa, incontrollata e transnazionale, rappresenta quindi una delle sfide più impegnative per la banca. Si profilano all’orizzonte importanti e crescenti rischi che vanno sotto il nome di APT, cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi, come risultato del processo di evoluzione e sofisticazione degli “attaccanti”. Questi, infatti, non sono più rappresentati dal singolo hacker dilettante, ma da vere e proprie organizzazioni criminali che stanno abbandonando la rapina e la frode tradizionale per dedicarsi alla frode informatica e al cyber attack. In sostanza, si sta passando dalla “info security” alla “cyber security”. Nelle banche – quindi – è in atto un mutamento sostanziale nella concezione della sicurezza: la realizzazione del modello di “sicurezza integrata e di sistema”. Gestire i rischi in ottica di sicurezza integrata, globale e di sistema vuol dire rispondere a una richiesta precisa e pressante del mercato che impone alla banca di acquisire una complessa visione d’insieme: le criticità della singola filiale e la tutela del dipendente, le esigenze di interlocutori esterni sempre più diversificati, l’autenticazione robusta, la difesa del patrimonio informativo, la prevenzione rispetto alle minacce derivanti dalla escalation verso il cyber attack, sono solo alcuni tra i principali aspetti di questa visione. La migliore risposta alla gestione della sicurezza della banca sembra essere l’adozione dell’approccio per processi e della metodologia basata sul “security management maturity model”, oltre agli standard come il PCI. Tale nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale e di gestire il fenomeno anche all’esterno con i necessari raccordi con il sistema bancario ma anche con il sistema di sicurezza nazionale ed europeo. Fare le scelte giuste in questo campo può fare la differenza.
