Da sempre, gli operatori finanziari sono tra i bersagli prediletti del cyber crime. I motivi sono diversi, ma tutti riconducibili all’enorme valore dei dati che custodiscono: transazioni e dati sensibili dei clienti, ma senza dimenticare tutte quelle informazioni che possono abilitare operazioni finanziarie fraudolente o rientrare in piani malevoli più ampi e sofisticati.
Di fatto, gli operatori finanziari si muovono costantemente tra diversi fuochi: per prima cosa, devono proteggere i loro dati da attacchi esterni e minacce interne, una sfida resa ancor più complessa dalla nascita di ecosistemi connessi di servizi e di player, secondo i paradigmi dell’Open Banking e dell’Open Finance.
Inoltre, gli operatori finanziari devono – in senso lato – proteggere i loro clienti, che sono bersagliati da malware e attacchi di phishing ogni giorno più pericolosi ed efficaci. Non dimentichiamo, infatti, che una delle applicazioni più promettenti di AI nel cyber crime è proprio quella del potenziamento e della personalizzazione delle campagne di phishing, che diventno sempre più mirate (spear phishing) e aumentano la loro efficacia nella “cattura” delle credenziali e dei dati delle carte di credito.
Tutto ciò rende estremamente ampia la superficie da proteggere e moltiplica le sfide cui gli operatori finanziari sono soggetti, dovendo inoltre gestire anche tutte quelle dello smart working, cui le banche, le assicurazioni e gli altri player non sono certamente esenti.
Indice degli argomenti
Finance, un settore fortemente soggetto alle minacce cyber
Per i motivi di cui sopra, e altri ancora, qualsiasi ricerca sulla sicurezza informatica e sul cyber crime identifica sempre il finance come uno dei settori più bersagliati in assoluto.
Nell’ultimo anno, poi, la sua posizione si è ulteriormente rafforzata a causa del fortissimo incremento degli attacchi di phishing (+73%, secondo la HM Revenue and Customs britannica) e di una vera e propria concentrazione di questi attacchi, che nella maggior parte dei casi sono stati indirizzati alle istituzioni finanziarie: secondo il più recente Phishing Activity Trends Report di APWG, quella finanziaria è stata in assoluto la industry più bersagliata dalle campagne di phishing dell’ultimo trimestre 2020, con un 22,5% di tutti i casi rilevati.
Le campagne di phishing (o della sua versione più evoluta e intelligente, spear phishing) sono solitamente rivolte all’acquisizione di credenziali per l’accesso ai sistemi bancari: il target più comune sono quindi i clienti, ma possono esserlo anche ai dipendenti dell’istituto finanziario, soprattutto quando al phishing viene associato l’inganno tipico del social engineering.
In questo ambito, trova ampio spazio di applicazione la Business e-mail Compromise (BEC), ovvero la cosiddetta truffa del CEO, che a tutti gli effetti è una forma di phishing che ha causato (secondo FBI) 12 miliardi di dollari di danni in 5 anni. Infine, per quando concerne gli impatti viene in soccorso l’edizione 2020 del Cost of a Data Breach report di IBM, che quantifica in 5,85 milioni di dollari il costo medio di un data breach subito dai player di questo ecosistema, contro i 3,86 milioni della media globale.
Di fronte a tutte queste minacce, l’approccio vincente non può che essere olistico: bisogna sensibilizzare i clienti con campagne ad hoc, formare adeguatamente i dipendenti facendo in modo che siano la prima linea di difesa, implementare sistemi di monitoraggio e antifrode sempre più sofisticati e in grado di interpretare i comportamenti e le attività poste in essere assegnando loro un certo livello di rischio, nonché adottare tutte le misure necessarie per la compliance con la normativa in essere, come per esempio l’autenticazione a più fattori di PSD2.
Il ruolo centrale della cultura della sicurezza
In quanto pilastro dell’intero sistema economico, l’ecosistema finanziario è soggetto a una regolamentazione stringente.
Le esigenze di protezione del patrimonio informativo, dei dati, delle transazioni e della sicurezza in senso lato sono prioritarie da sempre, e questo rende gli operatori finanziari, pur bersagliati da minacce in continua evoluzione e alle prese con sfide inedite, mediamente solidi sotto il profilo degli strumenti di monitoraggio, protezione e risposta.
Non si deve però abbassare la guardia, perché la sicurezza informatica è diventata negli ultimi anni una sfida always on tra chi attacca e chi si difende, da cui una spinta innovativa molto più forte e rapida rispetto a tanti altri segmenti dell’IT.
Come anticipato, oggi anche l’AI ha un ruolo centrale in questo mondo, essendo in grado di trasformare campagne di phishing “generaliste” in attività ad alto tasso di personalizzazione, e quindi di successo.
Per far fronte alle sfide poste dalle nuove dinamiche dei mercati, il 92% delle istituzioni finanziarie ha incrementato i propri investimenti in security. Una parte di questi va indirizzata verso quella che dovrebbe essere la prima linea di difesa ma che spesso diventa l’anello debole dell’intera architettura: quello umano.
Quando il discorso cade sul phishing o lo spear phishing, l’inganno è in grado di bypassare le misure tecniche di difesa o di richiedere all’azienda un effort particolarmente gravoso per proteggersi dagli errori, dalla mancanza di consapevolezza e di conoscenza delle misure e degli strumenti di sicurezza. Non dimentichiamo, a tal proposito, che secondo Forrester il 36% dei lost data è la conseguenza di un’esposizione accidentale (via: infosec).
A tal proposito, lo scopo dell’azienda non deve essere un semplice investimento in formazione, bensì in cultura della sicurezza.
L’obiettivo, infatti, non è fornire nozioni tecniche a una platea più o meno interessata all’argomento, ma far sì che ogni giorno i vari layer di sicurezza (compreso quello umano) lavorino sinergicamente per proteggere il patrimonio aziendale.
È quindi sconsigliabile approcciare il tema con una visione tradizionale, limitata alla formazione e all’Assessment periodico, in quanto poco efficace; meglio affidarsi a strumenti che prediligano un approccio pratico, facciano largo uso di simulazioni e, magari, delle tecniche di Gamification per massimizzare la partecipazione e l’engagement.
Infatti, al di là di percorsi di formazione personalizzati – che non possono mancare -, poter vivere esperienze di phishing e di BEC estremamente realistiche durante le proprie routine quotidiane è fondamentale per acquisire consapevolezza dei rischi cui si è soggetti, per sviluppare un po’ di “sana diffidenza” (che di per sé potrebbe sventare buona parte delle campagne di phishing) e per ottenere padronanza degli strumenti tecnici di protezione.
Soprattutto, in questo modo è possibile generare un vero cambiamento e instaurare quella cultura della sicurezza che migliora la security posture aziendale e le permette di vincere le sfide di oggi e di domani.
Contributo editoriale sviluppato in collaborazione con Wiit
