Per il delicato core business di cui si occupano, le banche e le entità finanziarie sono sempre nel mirino regolatorio da un lato e al centro di attacchi da parte di truffatori e criminali digitali dall’altro. Questo contesto le obbliga ad una posizione e postura alla sicurezza informatica da “primi della classe”, anche se le difficoltà non mancano per il delicato bilanciamento fra la compliance e l’effettiva resilienza operativa.
Ne abbiamo parlato con due Responsabili di Security, Fabio Ugoste, Direzione Cybersecurity and Business Continuity Management di Intesa San Paolo e Giampiero Raschetti CISO di Banca Popolare di Sondrio, che hanno rispettivamente chiarito elementi della roadmap di Security del contesto bancario, caratterizzati da un approccio strutturato e condiviso, necessario a gestire le potenziali criticità.
Xenomorph: il malware per Android che ruba dati bancari, anche in Italia
Indice degli argomenti
Il contesto regolatorio e le conseguenze operative
Le minacce informatiche non sono per loro natura, limitate a un settore specifico di mercato ed hanno anzi, il potenziale di colpire ed espandersi in qualsiasi campo di attività economica, con possibili significative ripercussioni per le organizzazioni e le persone vittima di attacco. Di conseguenza, l’adozione di misure di sicurezza informatica per tutti i settori e per tutti i fornitori di servizi ICT è fondamentale.
L’ambito bancario non fa eccezione e poiché il core business è proprio “il quid” tanto desiderato dalla criminalità informatica, non dovrebbe stupire che rappresenti l’ambito di mercato più regolamentato, controllato e strutturato, quando paragonato a tutti gli altri.
Infatti, alcuni dei settori inclusi nel campo di applicazione della Direttiva (UE) 2022/2555 (nota come Direttiva NIS2), pubblicata a dicembre 2022 e operativa nei successivi 24 mesi, era già in parte coperti anche da norme settoriali specifiche del settore finanziario, come le linee guida dell’EBA sulla gestione dei rischi per la sicurezza ICT.
In aggiunta invece la Commissione Europea ha introdotto il nuovo Regolamento 2022/2554, Digital Operational Resilience Act, ovvero il Regolamento DORA, finalizzato alla impostazione e attuazione della resilienza operativa per ogni entità del settore finanziario.
La DORA contiene disposizioni sul rischio ICT, gestione, segnalazione degli incidenti informatici, test di resilienza operativa digitale, modalità di condivisione delle informazioni e gestione del rischio di terze parti ICT.
A questo proposito L’European Banking Federation (EBF) già a giugno 2021, si era espressa a commento della direttiva NIS2 (allora in versione di proposta soggetta a pubblica revisione n.d.r.) chiarendo come, fosse accolta con favore la sua funzione di “lex specialis” per la NIS2 per la certezza del diritto alle banche in termini di obblighi e richiedendo alcuni chiarimenti sulla NIS2, fornendo contemporaneamente suggerimenti di modifica migliorativi, per garantire ulteriormente tale certezza.
Gestione dei fornitori in ambito finanziario: come realizzare una strategia e un piano di uscita
In funzione dei commenti ricevuti il Consiglio Europeo ha allineato il testo alla normativa settoriale specifica, sia la DORA, sia la direttiva sulla resilienza delle entità critiche, la CER, per fornire chiarezza giuridica e garantire la coerenza tra NIS2 e questi atti.
Gli Stati membri hanno due anni dall’entrata in vigore della direttiva, per recepire le disposizioni nella loro legislazione nazionale. Le organizzazioni finanziarie che rientrano nell’ambito della DORA non dovranno rispettare i requisiti di sicurezza informatica NIS2 (Fonte Taylor Wessing company).
Tuttavia, alcuni fornitori terzi considerati critici per i servizi ICT (ad esempio fornitori di cloud computing designati nell’ambito di DORA) potrebbero essere soggetti sia a DORA che a NIS2, sebbene i legislatori abbiano cercato di ridurre al minimo l’impatto delle incoerenze e delle duplicazioni tra i due regimi.
Il ritocco alla roadmap di cybersecurity delle banche
Le direttive e regolamenti europei pubblicati a dicembre 2022 non hanno trovato impreparate le organizzazioni bancarie, proprio in funzione delle direttive preesistenti emesse dall’European Banking authority (EBA), dalla Banca d’Italia con il gruppo specializzato Gruppo di coordinamento sulla sicurezza cibernetica (GCSC), dalle indicazioni del CERTFIN (Il CERT Finanziario Italiano è un’iniziativa cooperativa pubblico-privata finalizzata a innalzare la capacità di gestione del rischio informatico degli operatori finanziari e la cyber resilience del sistema finanziario italiano attraverso il supporto operativo e strategico alle attività di prevenzione, preparazione e risposta agli attacchi informatici e agli incidenti di sicurezza).
Lo conferma parlando della sua organizzazione Fabio Ugoste, Direzione Cybersecurity and Business Continuity Management di Intesa San Paolo, che spiega la strategia di Cyber security e Business Continuity.
Intesa San Paolo aveva previsto già da tempo un intervento nelle aree impattate dall’evoluzione normativa, anticipando l’implementazione delle azioni laddove possibile, grazie all’attività di “strategic intelligence” e alla partecipazione attiva nei gruppi lavoro nati a livello europeo per supportare il Regolatore nella stesura del testo normativo.
L’esperto chiarisce in aggiunta, che “ovviamente molti altri interventi in futuro dipenderanno nello specifico dai requisiti tecnici di adozione della norma che verranno definiti nei prossimi 12-18 mesi relativamente alle aree dedicate alla segnalazione degli incidenti, ai test avanzati dei livelli di sicurezza e alla gestione del rischio ICT e delle terze parti”.
Anche Giampiero Raschetto CISO in Banca Popolare di Sondrio conferma l’esistenza di una roadmap già avviata nella sua organizzazione e caratterizzata da “binari solidi” e da una DNA votato alla riservatezza delle informazioni come base fondante impostato sulle indicazioni di BCE e Banca d’Italia.
Il mondo bancario è altamente normato con controlli stringenti in cui il “rischio”, nella sua accezione più ampia, è da tempo sotto osservazione. I controlli sono costanti e periodici in un ristretto lasso temporale di osservazione.
Per questo motivo le banche devono strutturarsi per gestire il rischio e questo richiede anche adeguamenti organizzativi che nelle grandi banche sono già in essere, ma che nelle banche minori possono richiedere un certo effort, perché si tratta di un’attività invasiva che tocca tutti i processi.
Infatti, le misure di protezione dai rischi operativi comprensivi quelli legati alla sicurezza informativa, secondo le normative EBA, “scandiscono” la strada da fare e degli investimenti da prevedere.
In questo contesto i Consigli di Amministrazione dovrebbe includere persone competenti nella materia della sicurezza informatica per poter contribuire alle decisioni in modo appropriato.
Le normative come la DORA impongono alcune impostazioni in modo preciso e non c’è spazio per l’improvvisazione; tuttavia, per la corretta interpretazione la Banca di Sondrio, con l’ABI e con il CERTFIN si è organizzata in modalità consortile per sviluppare una attività di information sharing, di valutazione e interpretazione delle norme, così da rispondere in modo coordinato con gli altri attori bancari, considerando anche il necessario confronto interno aziendale.
A questo proposito, infatti, si ha l’esigenza di coordinare chi nell’organizzazione si occupa di audit, chi gestisce i rischi, chi è operativo e così via.
La DORA impone alcune prassi per arrivare alla resilienza, ma ad esempio è dal 2004 che alle banche è imposta la business continuity; quindi, la DORA segue e casomai rinforza questo approccio, che era già preesistente. La resilienza comporta anche la capacità di reazione e di riorganizzazione per reagire: non solo processi per agire, ma anche per riorganizzarsi velocemente.
Anche il tema della supply chain è uno dei pilastri della DORA e quindi chiunque si proponga come fornitore per effettuare analisi di vulnerabilità, deve dimostrare di essere affidabile esso stesso ed essere sufficientemente al sicuro, tanto da rappresentare un “rischio accettabile” in qualità di fornitore per una banca.
Money Message, la nuova minaccia ransomware che chiede riscatti milionari: come proteggersi
Il fronte di attacco dei ransomware
La diffusione dei ransomware, mostra una tendenza di crescita costante negli ultimi cinque anni legata perdite economiche altrettanto crescenti e il 2023 non fa eccezione, anzi secondo il Security report 2023 di Check Point e il Rapporto Clusit 2023 i ransomware stanno diventando sempre più difficili da identificare e tracciare e i meccanismi di protezione esistenti basati sul rilevamento delle attività di crittografia potrebbero diventare meno efficaci.
Dal rapporto Clusit si apprende che “La tendenza alla specializzazione degli autori di campagne di ransomware sta diventando sempre più̀ consolidata, così come l’utilizzo della “double extorsion” da parte degli attaccanti. In queste campagne, i dati vengono esfiltrati prima di essere crittografati dal malware, e il riscatto viene chiesto non solo per ottenere la chiave per decifrare i dati, ma anche per evitare la pubblicazione dei dati esfiltrati. Ciò significa che le vittime sono costrette a pagare il riscatto per proteggere la privacy dei propri dati e prevenire conseguenze negative per la propria reputazione”.
Anche l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), nel suo Threat Landscape 2022, pone il ransomware come il principale veicolo di minaccia del 2022, seguito dagli altri tipi di malware.
Nella prima metà del 2022 sono stati identificati oltre 10 .000 nuovi ceppi ransomware unici, quasi il doppio di quelli individuati nel semestre precedente. In un contesto crescente di minaccia. I dati arrivano dal FortiGuard Labs Threat Report secondo cui, questo tipo di minaccia continuerà a crescere per sofisticatezza e aggressività̀.
In questo contesto di minaccia crescente l’esigenza di introdurre contromisure appropriate apparirebbe come una urgenza. Ma l’intervento chiarificatore di Fabio Ugoste in questo caso fa capire come sia sufficiente migliorare una azione di difesa già avviata. Ci spiega infatti che “gli attacchi ransomware hanno l’obiettivo di rendere indisponibili i sistemi informatici e di colpire l’integrità dei dati necessaria all’erogazione dei servizi primari delle aziende. Consapevole dello scenario di rischio, Intesa Sanpaolo continua nel suo percorso avviato già da qualche anno, di continua evoluzione e miglioramento delle proprie capacità di prevenzione ed eventuale risposta a queste tipologie di attacco, con l’obiettivo di garantire la resilienza della Banca e l’erogazione dei servizi vitali alla clientela”.
Ma per coloro che hanno bisogno di capire come procedere Giamnpiero Raschetti spiega che l’ENISA ha emesso una pubblicazione specifica sui ransomware, l’ENISA Threat Landscape for Ransomware Attacks, che racconta le varie classificazioni degli effetti del ransomware e chiarisce come affrontare la difesa.
Usando quella come guida, è possibile intervenire in modo preventivo sui sistemi e impostare le appropriate difese, anche in ambito Cloud. Semmai, fa notare il CISO, il problema principale avviene negli ambienti operativi e applicativi dei fornitori. Sono loro a dover essere aiutati a volta anche dalla banca stessa, per capire gli scenari di rischio e reimpostare le basi delle buone prassi di security.
Alcuni tipi di ransomware sono invece pericolosi in termini di impatto, perché si appropriano di credenziali di sistemi, esfiltrano i dati e le pubblicano sul dark web e poi chiedono riscatto per toglierle. In questi casi, spiega l’esperto, è difficile capire il tipo di dato pubblicato e le sue implicazioni.
Le dimensioni ricattatorie sono sempre crescenti e se guardiamo l’ultimo anno o anni da pandemia e guerra gli scenari di rischio si sono estesi conseguenze rovinose.
Si rende quindi necessario, come buona prassi, aggiornare continuamente gli scenari di rischio, classificare le diverse campagne di attacco per prioritizzare e pianificare gli interventi di prevenzione.
L’early warning con i bollettini di avviso come quelli emessi periodicamente dall’ACN sono di ulteriore utilità ma ad esempio per una banca, spiega Giampiero Raschetti, è più utile la condivisione degli iban usati per le frodi, per metterli in black list (ad esempio i criminali reclutano money mules per riciclare i proventi derivanti da truffe e frodi online o crimini come la tratta di esseri umani e il traffico di droga. I money mule usano i loro iban personali e rendono quindi più difficile per le forze dell’ordine tracciare con precisione i vari passaggi del denaro nei conti correnti di appoggio. n.d.r.).
Anche le informazioni sulle vulnerabilità sono utili ma per quelle esistono anche strumenti tecnologici specifici che le classificano, prioritizzano e ne pianificano il patching. Infine, chiude l’esperto, “auspico un sistema di Difesa nazionale Cyber così come oggi avviene per gli altri domini della conflittualità, perché sarebbe utile sia essere difesi dalle Forze Armate e dalle forze di polizia per il contrasto del crimine statuale o digitale, ma anche avere tutto il sistema della giustizia adeguatamente preparato su questi temi, in modo tale che rimanendo aggiornati sui diversi crimini digitali possano giudicarli in modo appropriato”.
Regolamento DORA: le novità nella gestione degli incidenti e nei test di resilienza
L’opportunità del miglioramento continuo
Implementare le indicazioni della NIS2 o della direttiva DORA garantisce la compliance normativa, ma la prontezza operativa forse richiede misure aggiuntive?
Alla domanda Fabio Ugoste illustra come l’adozione dei requisiti previsti dalla NIS2 e dalla DORA sia sicuramente una leva per aumentare la capacità di resilienza delle aziende, ma rappresenta anche un’opportunità, se sfruttata adeguatamente, per dotarsi di strumenti organizzativi e tecnologici in grado di poter gestire le eventuali evoluzioni future degli scenari di rischio.
È a suo parere quindi necessario affrontare il percorso di recepimento della normativa con l’obiettivo non solo di raggiungere la conformità, ma anche di costruire a livello di Gruppo, un sistema in grado di individuare, presidiare e mitigare le nuove minacce.
In particolare, il Regolamento DORA offre alle Istituzioni finanziare la possibilità di creare una cultura di resilienza che coinvolga tutti gli stakeholders della Banca: dai vertici aziendali alle terze parti fino ai clienti finali. Dello stesso parere anche Giampiero Raschetti che vede nella diffusione di una cultura alla sicurezza e negli interventi a livello organizzativo i principali impatti.
Le misure tecniche sono invece considerate “normale amministrazione” da gestire anche in termini di costi e investimenti, ma anche con l’eventuale introduzione di risorse esterne; un elemento quest’ultimo che introduce rischi di supply chain ed accresce la complessità del sistema da tenere sotto controllo con periodiche analisi di gap.
Avendo due anni davanti, chiude l’esperto, si passerà il primo anno verso le richieste di chiarimenti e il perfezionamento, mentre il 2024 sarà dedicato all’adeguamento per permettere di essere pronti per l’entrata in vigore del 2025.
