La banca si trasforma per coprire il rischio cyber. Cambiano rapidamente anche gli interlocutori e si attiva il circolo virtuoso “più sicurezza uguale più qualità dell’offerta”. Dal punto di vista organizzativo, l’evoluzione è verso la “cyber physical security” cioè la sicurezza globale integrata di sistema
La cosiddetta minaccia cyber, per la sua natura diffusa, incontrollata e transnazionale, rappresenta oggi una delle sfide più impegnative per tutte le organizzazioni. I cyberattack sono in grado di produrre – potenzialmente – effetti confrontabili con quelli bellici e di incidere sull’esercizio stesso delle libertà essenziali per i sistemi economici e finanziari. I paesi più esposti sono proprio quelli occidentali, perché hanno infrastrutture critiche sofisticate IT based e di conseguenza più vulnerabili. La distruzione e il danneggiamento anche parziale di una infrastruttura critica come quella della finanza hanno un notevole impatto strategico, umano, economico e sociale: basti pensare alle reti di interscambio e ai sistemi di pagamento che includono effetti intersettoriali e transfrontalieri, con effetto “domino” dovuto alle interdipendenze. Se ciò che è avvenuto a British Airways a giugno scorso, che si è vista obbligata a cancellare tutti i voli da Londra a seguito di un attacco-cyber, si fosse verificato nel sistema bancario si può immaginare cosa sarebbe accaduto.
Osservatori sul Cyber risk
Secondo l’annuale rapporto CLUSIT sulla Sicurezza ICT in Italia, presentato recentemente durante il Security Summit 2017, in relazione a quanto avvenuto nel 2016 e nei primi mesi del 2017, vi sono seri elementi di preoccupazione. «La sempre più ampia adozione di servizi in cloud comporta come conseguenza una apertura verso l’esterno dei sistemi informativi, che tradizionalmente tendevano a essere mantenuti chiusi, o al più aperti a un ecosistema di settore, idealmente controllato» – sottolinea Claudio Telmon del direttivo CLUSIT. «Anche la recente normativa sui sistemi di pagamento – prosegue Telmon – porta con sé una maggiore apertura a soggetti e contesti molto meno controllati. Questa tendenza richiede un approccio che faccia dei principi di security by design e by default un punto cardine, in linea con quelle che sono sempre state le buone pratiche di sicurezza». È anche necessario operare sempre più come sistema, aumentando la cooperazione e lo scambio di informazioni, perché ogni giorno ci viene dimostrato come le minacce diventino sempre più aggressive, efficaci e difficili da contrastare dalle singole aziende o dai singoli paesi. Come riportato nel rapporto CLUSIT, il 2016 si è caratterizzato per un aumento degli attacchi diretti alle banche anziché ai loro clienti, con eventi di grande impatto che sono arrivati ai sistemi più critici, come quelli legati agli scambi interbancari. «In effetti – conclude Telmon – gli incidenti occorsi nel corso del 2016 a sistemi connessi al circuito SWIFT, primo fra tutti quello alla Bangladesh Bank, mostrano come gli attacchi spesso non siano tecnicamente sofisticati, ma utilizzino da una parte canali di attacco relativamente semplici come il phishing, dall’altra approfittino del fatto che le informazioni sul funzionamento interno dei sistemi e dei processi sono più diffuse e facili da ottenere».
Dello stesso tipo è stato l’attacco a UniCredit del luglio scorso, con 400mila clienti di prestiti personali coinvolti, i cui dati sono stati violati da cyber criminali che sono entrati attraverso partner esterni alla banca. Ciò che è accaduto a Unicredit richiama alla memoria quanto accadde nel febbraio 2016 a Deutsche Bank. L’analisi di questi attacchi mostra come sia necessaria una forte integrazione fra processi di gestione degli incidenti IT e processi aziendali, in modo da intercettare e gestire efficacemente i segnali che, come in quel caso, avrebbero permesso di riconoscere e bloccare con maggiore tempestività l’attacco. Dal rapporto CLUSIT si ricava anche che la percentuale di attacchi la cui causa è “sconosciuta”, ovvero di cui non si è riusciti a scoprire la modalità e/o il canale di attacco, è in netto aumento rispetto al 2015, e che il settore bancario è uno dei settori con il maggior tasso di crescita delle violazioni. La stessa tendenza la ritroviamo nel rapporto Cisco. «Il report evidenzia uno dei messaggi chiave sui rischi del malware e ribadisce quanto già anticipato nel documento semestrale Cybersecurity 2016. Nessun settore è al sicuro e il settore finanziario è quello più colpito, con il 19 per cento degli attacchi subiti nel 2016» – afferma con forza Fabio Panada, consulting systems engineer security di Cisco. All’interno del report sono inclusi anche i principali risultati emersi dal terzo Security Benchmark Study in cui Cisco analizza la percezione sullo stato della sicurezza delle aziende e il loro livello di prontezza nel difendersi. Quest’anno, l’analisi ha rivelato il potenziale impatto finanziario degli attacchi sulle aziende. «Ne emerge come oltre il 50 per cento delle aziende abbia dovuto affrontare severi controlli a seguito di una violazione» – prosegue Panada.
«I sistemi più colpiti sono quelli dei dipartimenti Operation & Finance, perdita di reputazione del marchio e della fidelizzazione dei clienti». I dati raccolti e analizzati da Cisco Talos, il Centro di Ricerca per la Sicurezza informatica Cisco, mostrano anche come i criminali stiano riportando “alla ribalta” i vettori di attacco “classici”, come adware e spam email, quest’ultimo con livelli che non si vedevano dal 2010. Lo spam rappresenta quasi i due terzi (65%) delle e-mail, delle quali sono dannose tra l’8 e il 10 per cento. «Oggi, la sicurezza è una priorità di business. La responsabilità della sicurezza deve essere compito del management, che deve, oltre che valorizzarla economicamente come una priorità, farla comprendere a tutti i livelli dell’azienda» – spiega Panada. «Le banche devono testare l’efficacia della sicurezza messa in campo, stabilire metriche chiare e utilizzarle per convalidare e migliorare i criteri di sicurezza». Per Gastone Nencini, country manager di Trend Micro Italia, il sempre maggiore utilizzo del mobile, sia per le funzioni di pagamento che per quelle di controllo, espone sempre di più al furto dei dati, che rimangono un asset importante da salvaguardare. E la salvaguardia del dato, la sicurezza dato-centrica, è sempre fondamentale. Qualsiasi oggetto collegato a un indirizzo IP può essere compromesso e nel caso del settore bancario bisogna prestare attenzione alle interconnessioni dei dati con gli altri istituti, istituzioni o clienti. «Stiamo assistendo a una eccezionale proliferazione dei ransomware, anche su apparati molto differenti rispetto ai pc» – continua Nencini. «Il criterio per lo sviluppo degli attacchi sarà quello di una monetizzazione sempre più rapida e questo include anche il riscatto preventivo. In quest’ottica, saranno utilizzati ransomware ovviamente, ma anche altre tecniche come gli attacchi business email compromise o business process compromise».
Anche le assicurazioni si stanno attrezzando per gestire questo crescente rischio. AON nel suo recente Global Risk Survey 2017 stima in 450 miliardi di dollari le perdite da cyber attack solo negli USA nel 2016 e nella classifica dei rischi il cyber risk è salito dalla nona alla quinta posizione a livello globale, mentre per gli USA è passato in prima posizione. Secondo AON è in atto una vera e propria mutazione e le maggiori compagnie si stanno organizzando per coprire il rischio cyber. I Lloyd’s sono stati i primi a proporre polizze specifiche per i cyberattack a livello globale. E quindi, non solo stanno cambiando radicalmente le modalità di affrontare e gestire il problema sia all’interno che all’esterno dell’azienda, ma anche gli interlocutori di presidio della sicurezza: prima erano i CFO e direttori amministrativi, talvolta il CIO, oggi sono i CEO, gli amministratori delegati e i consigli di amministrazione.
Le nuove norme
«Diventa prioritaria la gestione del rischio informatico come driver delle scelte finalizzate a far collaborare i silos tecnologici» – dichiara Andrea Mattioli, partner e business developer di IKS, Kirey Group. Anche il contesto normativo, in particolare il regolamento (self-executing) GDPR (General Data Protection Regulation – EU 2016/679) per il trattamento e la protezione dei dati, pone l’accento sulla gestione del rischio informatico e porta in primo piano la figura del data protection officer (DPO), che implementerà la “privacy by design/default” nei trattamenti dei dati personali, istituendo processi di gestione del rischio informatico e di data governance focalizzati sui dati personali. «Tra le principali sfide spicca anche l’adempimento alla PSD2 – continua Mattioli – che impatta particolarmente sui processi antifrode, ponendo l’attenzione sui nuovi concetti di third party provider e di open banking che banche e circuiti di carte di credito dovranno adottare nell’implementare nuovi servizi e rivedere gli attuali». In questo scenario, emergeranno nuovi “canali” antifrode da monitorare e saranno fondamentali le soluzioni per garantire la strong customer authentication con l’obiettivo di aumentare il livello di sicurezza basato sul principio di autenticazione forte dell’utente nell’accesso al conto o transaction signing nel pagamento elettronico. La European Banking Authority ha indicato la necessità di dotarsi di tecnologie per il transaction monitoring basate sul principio di analisi comportamentale dell’utente e della sua interazione storica con i sistemi di pagamento. IKS, Kirey Group, è leader in Italia nell’implementazione e gestione di servizi antifrode in ambito bancario per sistemi di pagamento online, coprendo più del 50 per cento degli utenti di internet banking. Con un centro di competenza dedicato a governance, risk and compliance, IKS eroga servizi consulenziali PCI-DSS e GDPR, impiegando standard ISO/IEC 27001, 27005 e 22301.
La Commissione europea poi ha emanato la direttiva NIS (EU 2016/1148) in materia di sicurezza delle reti e dell’informazione, con cinque obiettivi: conseguire la resilienza informatica, ridurre drasticamente la criminalità informatica e sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune. Le implicazioni per le banche sono notevoli. Innanzitutto, si uniformano le regole di protezione per l’intero mercato unico europeo e anche per i paesi extra ue che tratteranno dati personali di cittadini UE. I trattamenti dei dati, inoltre, dovranno essere conformi fin dalla loro progettazione (privacy by design). Se un trattamento ha insito il rischio per i diritti e le libertà delle persone, occorrerà una analisi ex-ante dell’impatto (privacy impact assessment – PIA) qualora fossero violate le misure di protezione. Non vi sono più “misure minime” di sicurezza ma l’adozione di misure che possano garantire il livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento.
Cyber Physical Security
Come ogni rischio, il rischio cyber non può essere eliminato e ha quindi bisogno di un insieme di azioni coordinate per poter essere gestito. Azioni che coinvolgono gli ambiti organizzativi e tecnologici dell’azienda, oltre che di gestione finanziaria, anche attraverso la definizione di una strategia di gestione del rischio residuo, abilitando in tal modo l’adozione di un approccio integrato di prevenzione e di protezione del bilancio dell’impresa. Gestire i rischi in ottica di sicurezza integrata e di sistema vuol dire rispondere a una richiesta precisa e pressante del mercato che impone alla banca di acquisire una complessa visione d’insieme: le criticità della singola filiale e la tutela del dipendente, le esigenze di interlocutori esterni, l’autenticazione robusta, la difesa del patrimonio informativo, la prevenzione rispetto alle minacce. Adottando un processo di governance e risk management, oltre a mantenere nel tempo la conformità a leggi e regolamenti, si ottiene il ritorno degli investimenti e un supporto per l’innovazione. In banca, questo non significa “semplicemente” proteggere il perimetro e l’IT, ma realizzare un’infrastruttura di cyber physical security “resiliente”, considerando la continuità dei processi e delle operazioni di business. Per approcciare il problema, c’è bisogno di un framework come, per esempio, quello definito dal Laboratorio Nazionale di Cyber Security del Consorzio Interuniversitario Nazionale per l’Informatica, a partire dal framework di cyber security del NIST statunitense. è altrettanto importante adottare un approccio di difesa integrato, ponendo l’integrazione e l’automazione in cima alla lista di criteri di valutazione per aumentare la visibilità, ottimizzare l’interoperabilità, ridurre il tempo di rilevamento e bloccare gli attacchi.
«Nell’evoluzione della security – sottolinea Gastone Nencini di Trend Micro – siamo passati dalla messa in sicurezza dei terminali alla sicurezza perimetrale e a quella del dato. La soluzione per ridurre il rischio è condividere le informazioni di intelligence e quindi evitare di utilizzare tecnologie di vendor diversi che non comunicano tra di loro». In un progetto di security ideale, quello che serve sono difese multi-livello, che vanno dal perimetrale, al server, all’endpoint e al mobile, offrendo in quest’ultimo caso una protezione sicura anche al di fuori dell’azienda. Sempre di più, si assottigliano le divisioni tra sicurezza fisica e sicurezza logica, tra mondo reale e mondo digitale. In questo quadro, si evolvono professionalità, approcci, strumenti. Quello che non cambia ma anzi si rafforza è la centralità della governance della sicurezza che coinvolga il tessuto connettivo di tutte le aree di business. Occorre, in sostanza, avere una visione di sistema, collaborando strettamente con il sistema bancario e il sistema nazionale ed europeo di sicurezza per la soluzione di problematiche che riguardano talvolta la stabilità dell’intero sistema finanziario. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca che coinvolga anche le istituzioni (sicurezza di sistema). Serve quindi una nuova strategia e metodologia che realizzi una difesa proattiva e globale con livelli sistemici di comunicazione e informazione sia nazionali che europei e globali. È quindi necessario sviluppare capacità superiori di incident management, una security intelligence e un monitoraggio evoluto delle minacce per la migliore risposta ai cyber threats.
Contromisure
«La natura stessa dell’attività bancaria, come detto, la rende particolarmente appetibile per i cyber criminali. Diventa dunque fondamentale avvalersi di soluzioni all’avanguardia per proteggere l’intero perimetro che potrebbe essere sottoposto ad attacchi, avvalendosi di soluzioni che comunichino tra loro» – sottolinea Marco D’Elia, country manager di Sophos Italia. La crescente complessità delle minacce e la virulenza degli attacchi, sempre più frequenti, rendono necessaria una gestione sincronizzata dei diversi elementi che costituiscono una soluzione complessa di cyber physical security. «L’approccio Sophos – prosegue D’Elia – basato sulla synchronized security, integra in un’unica soluzione gestibile centralmente tutti gli strumenti per la protezione dei singoli dispositivi e agisce in pieno concerto con le soluzioni a tutela dei gateway di interconnessione, i firewall». Un’altra componente imprescindibile per un’efficace strategia di sicurezza è la tempestività nel prevenire e reagire a eventuali attacchi. «Oggi, il malware – evidenzia D’Elia – sfrutta ogni passo falso dell’utente e diventa strategico agire sui livelli profondi del comportamento delle macchine e dei loro sistemi operativi, anticipando le possibili conseguenze negative di un’azione sconsiderata da parte di un utente, indotto – per esempio – ad aprire un file allegato in email o un link sospetto».
La sicurezza delle informazioni è sempre più critica anche per Alberto Carrai, chief sales officer di ARXivar International e direttore marketing di ARXivar Italia. «Basti pensare al recente proliferare di malware, in particolare il caso WannaCry, che ha infettato migliaia di siti aziendali». Pochi secondi possono bastare per perdere documenti riservati ma soprattutto dati sensibili, compromettendo così il patto di fiducia con il cliente e spesso con implicazioni legali. Per garantire l’integrità delle informazioni, al di là delle norme di buona condotta, sono necessari strumenti evoluti. «ARXivar – spiega Carrai – è la piattaforma di Information & Process Management che permette di archiviare dati e informazioni in cartelle protette e accessibili dal solo utente, proteggendo de facto i dati dall’accesso di virus che attaccano i file impadronendosi dei livelli di accesso dell’utente infettato». La sicurezza delle informazioni è garantita anche dalla gerarchia di accesso e disponibilità, temi altrettanto critici, ma verso cui le aziende prestano meno attenzione. Infatti, fino al 7 per cento dei file aziendali risulta mancante e il 20 per cento non sono disponibili quando servono. «ARXivar – conclude Carrai – permette di definire una struttura di accessi alle informazioni riservate, configurabili in base a utenti/gruppi specifici, classi documentali/stati del documento e aree aziendali». Il software permette inoltre la creazione di livelli autorizzativi e di controllo automatici prima della condivisione di dati sensibili. La disponibilità delle informazioni invece è garantita dal potente modulo di workflow.
Le minacce che prendono di mira l’infrastruttura IT delle banche e i conti dei loro clienti sono in crescita e le istituzioni finanziarie sentono sempre più l’esigenza di incrementare la propria sicurezza informatica. Secondo una recente indagine di Kaspersky Lab, il 64 per cento delle banche prevede investimenti per migliorare la propria sicurezza IT, per rispondere alle crescenti richieste degli organi governativi di regolamentazione, del top management e persino dei clienti. Per mettere in atto una strategia di difesa efficace – spiega Morten Lehn, general manager Italy – è necessario che le organizzazioni finanziarie si dotino di una protezione altamente integrata contro gli attacchi mirati, una sicurezza anti-frode multicanale e un’intelligence operativa sulle minacce in evoluzione. «Kaspersky Fraud Prevention offre alle istituzioni finanziarie un nuovo livello di protezione, proteggendo gli account digitali, i computer e i dispositivi mobile degli utenti e i sistemi delle banche. Inoltre, Kaspersky Lab offre una soluzione per proteggere le aziende dagli attacchi mirati avanzati. Si tratta di Kaspersky Anti Targeted Attack Platform, che unisce algoritmi avanzati di machine learning, un’intelligence globale sulle minacce e un’elevata adattabilità all’infrastruttura dei clienti per aiutarli a scoprire anche gli attacchi più sofisticati».
Da un punto di vista metodologico globale, la migliore risposta alla gestione della cyber physical security della banca, oltre a un framework di riferimento, è, comunque, l’adozione della metodologia basata sul “security management maturity model”. Come tutti i “maturity model”, l’approccio si basa sul raggiungimento graduale di livelli di maturità interni, in questo caso quattro, attraverso la misurazione della propria situazione e la conseguente adozione di strumenti e processi che eliminino i punti di debolezza. In questo caso i livelli sono: step1 – threat defense; step2 – compliance and defense in depth; step3 – risk based security; step4 – business oriented. Alle soluzioni si devono affiancare le iniziative volte ad accrescere il livello di conoscenza e familiarità dei dipendenti con i fenomeni fraudolenti con azioni di formazione del personale, delle strutture di help desk e degli operatori di call center. Si manifesta anche la necessità di dover ricercare evidenze informatiche che possano costituire adeguata tutela dei diritti o ragioni delle parti in dibattimento. Si sta quindi affermando la disciplina della digital forensics che si pone proprio l’obiettivo di definire le corrette metodologie per preservare, identificare e studiare le informazioni contenute nei sistemi, al fine di evidenziare l’esistenza di prove utilizzabili in sede processuale.
Conclusioni
L’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” assume importanza strategica nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. Si profilano all’orizzonte rischi crescenti per la sicurezza delle organizzazioni che possono creare veri e propri disastri. La banca si sta, quindi, trasformando e organizzando per coprire tale rischio ed è in atto un mutamento radicale: la realizzazione del modello di “sicurezza integrata e di sistema” o cyber physical security. Stanno anche cambiando rapidamente gli interlocutori di presidio della sicurezza. Tale nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale e di gestire il fenomeno anche all’esterno con i necessari raccordi con il sistema bancario, ma anche con il sistema di sicurezza nazionale ed europeo.