L’uso strategico delle sanzioni economiche per ottenere il rispetto del diritto internazionale accresce il rischio delle banche – al pari di altre aziende che gestiscono infrastrutture critiche – di finire nel mirino degli attacchi di cyberwar.
Un rischio che si aggiunge a quello sempre crescente del cybercrime e che rende urgente rafforzare la resilienza digitale degli Istituti: una premura che vediamo rappresentata dai riferimenti alla sicurezza contenuti nelle normative che, da Basilea II/MiFID, ci conducono al nuovo Digital Operational Resilience Act (DORA).
Per difendersi da vecchie nuove minacce e riuscire a rispondere a normative sempre più stringenti serve adottare un approccio strategico, sia per la governance della security sia per quella del rischio informatico. Un obiettivo che si raggiunge utilizzando metodologie e strumenti efficaci, come discusso in un recente Webinar di Digital360, con la partecipazione degli esperti di P4I e Augeos.
Indice degli argomenti
Cos’è cambiato nello scenario della cyber security
La sicurezza si conferma un problema centrale per la resilienza delle imprese. I dati presentati dall’osservatorio Clusit in occasione del Security Summit 2022 del marzo scorso hanno mostrato una crescita del 20% degli attacchi informatici più gravi. Attacchi realizzati per il 43% attraverso malware (categoria dove ricadono i famigerati ransomware), con una quota significativa (16%) realizzati attraverso vulnerabilità già note: eventualità che non avrebbe ragion d’essere in ambiti di sicurezza ben gestita. Segue quindi un 9% di attacchi basato sul social engineering, come il phishing che va a colpire i clienti finali di molti servizi, tra cui l’home banking.
Passando dal dato generale alle rilevazioni fatte nel mondo bancario social engineering e malware sono i responsabili del 50% degli attacchi che hanno colpito l’ambito retail (fonte CERTFin). Sul fronte interno degli Istituti vengono invece denunciati problemi con data breach, attacchi DDoS e di ransomware. “Anche se meglio difese rispetto ad altre realtà, le banche restano un target significativo per il cyber crime – ha spiegato Luca Bechelli, partner information & cyber security P4I -. Pur risultando al sesto posto tra i target, sono al secondo (dopo l’ambito governativo-militare) per gli attacchi critici (34%) portati avanti con le tecnologie più sofisticate”.
Dallo scorso anno CERTFin ha registrato un aumento di otto volte delle transazioni anomale e dell’65% degli attacchi con tecniche miste, eventi che nell’83% dei casi sono stati individuati e bloccati dai sistemi antifrode. Nell’ambito bancario ha inciso positivamente l’attenzione del legislatore sui temi di security e resilienza nell’evoluzione normativa che comprende Basilea, Mifid, PSD2, GDPR oltre alle circolari EBA e BCE. Normative a cui si è aggiunto il nuovo regolamento DORA, “che ha lo scopo di armonizzare il quadro, facilitare la condivisione di informazioni e il coordinamento delle difese per una migliore gestione dei rischi e resilienza”, precisa Bechelli.
Affrontare i rischi di un business sempre più interconnesso
Banche e altre istituzioni finanziarie sono vulnerabili a rischi diversi, talvolta esterni ai perimetri classici della sicurezza informatica e di rete. Claudio Ruffini, amministratore delegato di Augeos, società di software & servizi con ventennale esperienza negli ambiti banking e finance ricorda il caso verificatosi nell’aprile del 2015 quando una fake news sulle dimissioni del CEO di Banca Intesa (per problemi di bilancio) creò un crollo del titolo in Borsa, fino alla smentita.
“Un attacco portato con false comunicazioni e-mail ai giornalisti, quindi con un DDoS capace di bloccare il sito ufficiale della banca e un sito finto a conferma della fake news – spiega Ruffini -. Un ciclone durato in tutto 20 minuti, tempo impiegato dalla Banca per diffondere la smentita, ma non abbastanza per evitare danni speculativi”. Un esempio d’attacco informatico condotto senza alcuna violazione dei sistemi della banca, che dimostra l’impossibilità di chiudere tutte le potenziali falle nei sistemi interconnessi.
“Non c’è più un confine da difendere, ma aree concentriche da proteggere con cura crescente – precisa Ruffini -. La superficie d’attacco si estende alle terze parti, fornitori, partner, clienti”.
Per questo, secondo Ruffini, è importante aumentare la resilienza dell’intera catena attraverso metodologie rigorose, riferimenti come 27001, NIST e tool per disporre dei dati utili per prendere decisioni veloci e condivise. “Serve fare dell’IT risk governance un elemento chiave della corporate governance”, conclude Ruffini.
Esperienza e metodo al servizio della security e della resilienza
Nell’esperienza ventennale di Augeos nei campi del risk management, della compliance e dei reference data per i settori banking e finance, la resilienza è il risultato di una roadmap di cambiamento che migliora la governance dei rischi, attraverso le capacità di valutare asset, processi e fissare gli obiettivi. “Con l’analisi iniziale si crea una mappa logica dell’azienda per navigarne le informazioni – spiega Ruffini -. Con i dati si ricavano gli indicatori per valutare le situazioni, per fare analisi prospettiche di rischio e quindi decidere le priorità d’intervento su sistemi di controllo, allarme, mitigazione e gestione”.
L’analisi di probabilità sugli attacchi (che lascia il tempo che trova con i cybercriminali più determinati) va integrata con le analisi su vulnerabilità e linee di difesa, sfruttando controlli decentrati/centralizzati e moderne tecnologie d’intelligenza artificiale. Un aspetto chiave per la resilienza è l’accessibilità delle informazioni che riguardano rischi e sicurezza.
“I dati devono essere sempre disponibili a supporto delle azioni da intraprendere, all’occorrenza, utilizzabili per giustificarle di fronte alle autorità – precisa Ruffini -. Una condizione che non è gestibile con un foglio elettronico”. Oltre che ai dati serve prestare attenzione al fattore umano: “Alla formazione, che è alla base dell’attenzione e della consapevolezza delle persone. Un aspetto sul quale Augeos dà massima attenzione nei progetti con i clienti”, conclude Ruffini.
Strumenti e funzionalità per governare il rischio e la risposta agli attacchi
Ottenere la resilienza agli attacchi cyber richiede metodologia, strumenti e formazione: “Solo questi fattori insieme possono contrastare attacchi in evoluzione e in ambiti aziendali che mutano nel tempo – spiega nel proprio intervento Andrea Violato, product owner di Augeos -. Senza strumenti di governo e adeguamenti nelle conoscenze, ogni cambiamento aziendale aggiunge nuove vulnerabilità”. I supporti informatici devono garantire il governo dei dati e delle azioni che permettono ai team di analizzare i rischi, alzare barriere, o rimediare agli attacchi nei tempi che minimizzano le perdite economiche.
“Servono tool per gestire tutte le informazioni, gli asset IT, le valutazioni, i processi – continua Violato -, nel rispetto delle conformità e delle best practice”. Tra le prerogative della suite Augeos per la governance del rischio cyber ci sono la flessibilità e la facilità d’uso. “A cominciare da assessment, mappatura dei rischi, aggiornamenti anagrafici, acquisizioni di dati da fonti esterne, visioni storicizzate, report, audit e analisi delle dipendenze”, precisa Violato.
Le capacità analitiche permettono di valutare il rischio con differenti attori, logiche e punti di vista, permettendo di studiare lo stesso oggetto sia con approccio top-down sia bottom-up.
La tecnologia permette sia l’individuazione real-time delle minacce basate su vulnerabilità note sia lo studio degli incidenti IT, dei data breach. Consente l’uso delle informazioni a scopi predittivi, per esempio, per sapere verso quali scenari di rischio si va incontro nel breve o nel medio periodo, avvalendosi degli indici appropriati. Gli strumenti garantiscono infine il presidio e il controllo delle azioni necessarie per ridurre le esposizioni e per rispondere agli attacchi in corso.
Il supporto metodologico copre la gestione degli attacchi oltre alle azioni proattive per predisporre piani di ripristino, automatizzare i processi, creare reportistica o gestire i follow-up verso le authority interne o le autorità competenti. L’utilizzo di strumenti che hanno una solida base metodologica facilita la crescita culturale delle persone: “Questo è forse l’elemento più importante ai fini della resilienza. Il supporto della suite Augeos al training on-the-job è funzionale a uno scenario (sicurezza cyber, ndr) che evolve nel tempo”.
Il sondaggio interattivo e le risposte ai partecipanti
Nel sondaggio interattivo realizzato durante il Webinar, alla domanda – “Cos’è più critico per migliorare la resilienza? – i partecipanti hanno scelto con decisione (57%) il cambiamento culturale e organizzativo, seguito un 26% che ritiene necessario dotarsi di strategia e strumenti per la gestione del rischio e il 16% che ha votato per l’adattamento dei processi a criteri di security (16%). Un responso che conferma le attese dell’analista Bechelli, che auspica l’adozione di approcci decisionali sempre più basati sui dati e risk based. Per Violato e Ruffini il fattore umano va sempre messo al centro delle valutazioni riguardanti il rischio cyber.
Tra le domande dei partecipanti è emersa curiosità su come siano applicabili gli strumenti di governo del rischio cyber nei diversi contesti che caratterizzano le banche.
“È una condizione che affrontiamo con tre approcci – ha spiegato Ruffini -. Quello plug & play, se il cliente vuole limitare al minimo i tempi e i costi adattandosi ad usare la suite standard. C’è poi l’approccio di configurazione, adattamento a dati e workflow della banca che possiamo realizzare in collaborazione con il personale interno o consulenti esterni. Infine, quello custom, che ci permette di sviluppare nuove idee e aggiungere moduli ad hoc alla suite, grazie alle risorse della software factory Augeos, basata in Italia”.
Contributo editoriale sviluppato in collaborazione con Augeos
