Il 17 gennaio 2024, al termine della consultazione, è stato pubblicato il report finale dello “Standard Tecnico di Regolamentazione” (RTS), avente lo scopo, come recita il titolo, di “Specificare il contenuto dettagliato della politica relativa agli accordi contrattuali sull’uso dei servizi ICT che supportano funzioni critiche o importanti fornite da terzi service provider ICT, come prescritto dal Regolamento (UE) 2022/2554”, noto anche come Regolamento DORA.
L’Iter è stato avviato a giugno del 2023 dalle AEV (Autorità di Vigilanza Europee, ossia, in comitato: ABE, Autorità Bancaria Europea, ESMA, Autorità Europea Strumenti Finanziari e Mercati ed EIOPA, Autorità Europea Assicurazioni e Pensioni Occupazionali) a seguito della richiesta del parere tecnico da parte della Commissione Europea, allo scopo di fornire le prescrizioni tecniche e organizzative che le Entità Finanziarie (EF) europee saranno tenute a rispettare in fase di selezione e successiva contrattualizzazione dei fornitori di servizi informatici necessari all’operatività delle medesime e definiti critici o importanti.
L’entrata in vigore del Regolamento è gennaio 2025.
Regolamento DORA, gestione dei rischi ICT pietra angolare della resilienza operativa digitale
Indice degli argomenti
Gli ambiti di applicazione del Regolamento DORA
L’obiettivo principale del Regolamento DORA, giova ricordare, è quello di stabilire in ambito europeo, obblighi uniformi per il raggiungimento comune di elevati livelli di resilienza digitale operativa nel settore finanziario europeo.
Per resilienza digitale si intende la capacità dei sistemi e dei sottostanti servizi informatici (servizi ICT) di continuare ad operare o comunque riprendersi rapidamente dopo una serie di eventi avversi, come attacchi sferrati dagli hacker o altri incidenti, che possono minacciare la continuità dell’erogazione del servizio ICT.
Detti obblighi, elencati a sommario nell’Oggetto (articolo 1) del Regolamento, riguardano sostanzialmente due ambiti di applicazione, organizzativo/amministrativo e tecnico.
L’ambito organizzativo/amministrativo ricopre le tematiche di:
- segnalazioni alle autorità competenti di incidenti gravi e notifiche di minacce informatiche rilevanti;
- condivisione di dati e informazioni relative alla sicurezza quali minacce e vulnerabilità rilevate;
- norme relative alla sorveglianza da parte delle autorità competenti sulla sorveglianza dei fornitori dei servizi ICT, sull’applicazione del Regolamento, la vigilanza e cooperazione con dette autorità.
L’ambito tecnico ricopre le tematiche di:
- gestione dei rischi delle tecnologie ICT;
- test di resilienza operativa (a titolo non esaustivo: scansioni CVE, indagini OSINT, analisi di sicurezza reti, controlli sicurezza fisica, scansioni del software e analisi codice sorgente, test di penetrazione basati su scenari di minaccia o TLPT, test di compatibilità, test di prestazione e test di connessione e via dicendo);
- gestione del rischio posto da fornitori terzi, soprattutto CSP (Cloud Service Provider) come anche contemplato dalla Direttiva 2022/2555 NIS2, di servizi ICT e relative policy interne e loro riflesso nelle clausole contrattuali.
L’RTS in oggetto, richiamato al Capo IV Sezione I, Artt. 28-30, affronta precisamente quest’ultima tematica, il rischio soprattutto informatico dei fornitori di servizi ICT, e i recenti casi di attacchi ransomware a Westpole e l’impatto sui servizi della Pubblica Amministrazione Italiana e dell’analogo attacco alla finlandese Tietoevry mettono in luce in modo drammatico tutta la rilevanza del tema.
Le strategie da adottare nella valutazione dei fornitori
L’attuale stato di avanzamento della digitalizzazione e soprattutto l’affidamento dei servizi informatici al cloud computing, determinano la necessità di adottare particolari strategie consapevoli nella valutazione dei fornitori, con enfasi prioritaria sulla sicurezza.
Ciò implica da parte delle EF di condurre un approfondito processo di due diligence nei confronti dei fornitori, che include “ex-ante” una valutazione del rischio esaustiva, che prenda in considerazione vari aspetti, tra i quali:
- rischio operativo, legale, informatico, reputazionale;
- protezione dati personali e informazioni;
- continuità del servizio;
- ubicazione dei server e degli archivi;
- concentrazione dei fornitori.
Devono, inoltre, svolgere un esame approfondito del fornitore che includa:
- reputazione, capacità e competenze;
- organizzazione interna e adeguatezza delle risorse umane, tecniche e finanziarie;
- standard di sicurezza adottati;
- controlli interni per la mitigazione del rischio;
- impiego di subfornitori e valutazione della filiera;
- assicurazione sulla possibilità di effettuare audit di seconda parte anche presso le sedi fisiche;
- esistenza di certificazioni o autorizzazioni;
- esistenza di un piano di continuità del business.
Quanto sopra evidenzia un processo di due diligence di non poco impegno e difficoltà d’implementazione, soprattutto per i risvolti tecnici ed in considerazione del fatto che la rapida evoluzione delle tecnologie e le dinamiche degli scenari informatici sono tali da rendere inefficaci i controlli su base periodica.
Monitoraggio del profilo di rischio del fornitore: le soluzioni
È dunque richiesto, ai fini della sicurezza, un monitoraggio frequente, se non continuo, del profilo di rischio del fornitore che, per quanto riguarda il rischio cyber, risulta estremamente oneroso per le risorse richieste di tempo ed elevate competenze tecniche richieste ad auditor e consulenti.
Sono sicuramente di aiuto in tal senso specifiche applicazioni software denominate TPCRM (Third Party Cyber Risk Management), progettate per eseguire processi di valutazioni automatizzati del profilo di rischio cyber dei fornitori.
Detto profilo viene determinato e monitorizzato svolgendo analisi sulla postura di sicurezza prendendo in considerazione tre aspetti del perimetro di attacco:
- organizzativo del fornitore con riferimento alle politiche ed agli standard di sicurezza adottati, il personale dedicato alla cyber security, le certificazioni di sicurezza, anche tramite questionari interattivi e collaborativi;
- tecnologico ICT effettuando la mappatura dettagliata della infrastruttura ICT esposta in internet, le soluzioni cloud, i web server, le applicazioni web, i server DNS, i servizi CMS, i servizi WAF, la presenza o meno di certificati TLS, le CVE (Common Vulnerability&Exposures). Ottenendo, grazie alle medesime tecniche di scansione utilizzate dagli hacker, la superficie di attacco digitale in dettaglio, per poi valutarne le eventuali vulnerabilità e la postura cyber tramite centinaia di attacchi white hat non invasivi;
- fattore umano, notoriamente l’elemento più debole della superficie di attacco, analizzandone il così detto footprint digitale, l’esposizione nei social networks web e l’eventuale presenza nei repository del dark web, dove si possono trovare credenziali compromesse ed altri dati esfiltrati, in vendita per exploit.
Automazione del processo di valutazione dei fornitori di servizi ICT
L’esecuzione della valutazione organizzativa combina metodi di auditing tradizionali, ancorché automatizzati in piattaforme collaborative e interattive, basati su questionari di compliance e richieste di evidenze documentali.
Tali sistemi sono in grado di eseguire un cross check delle dichiarazioni riportate nei questionari, con un numero sbalorditivo di informazioni esposte nel web o ricavabili tramite test, ottenendo spesso anche informazioni di configurazioni interne, senza la necessità di condurre test intrusivi.
Per ciascun fornitore in poche ore, alla fine del processo di valutazione, viene definito un rating di rischio cyber basato sui vari fattori analizzati e le tipologie di dati e informazioni scambiati, proponendo un workflow di attività prioritizzate per affrontare l’eventuale mitigazione in maniera interattiva e monitorata.
La visibilità del cyber rischio viene inoltre estesa a tutta la filiera, analizzando la postura cyber della catena della subfornitura, aspetto estremamente importante in quanto la sicurezza di un fornitore potrebbe risultare compromessa da vulnerabilità di suoi fornitori, così dette quarte parti.
Il rating del fornitore è riesaminato con continuità in automatico con relativo allarme in caso di deterioramento del rating di rischio, dando la possibilità di mitigazione tempestiva e interattiva ed eliminando possibili finestre temporali di esposizione, come avviene con attività svolte in maniera saltuaria e con tempi di esecuzione molto più ampi ed inadeguati ai repentini cambi di scenario, come quando, ad esempio, nuove vulnerabilità vengono pubblicate con relativa esposizione agli attacchi.
Allo stato attuale tali strumenti non possono sostituire completamente altre attività di audit in presenza, quale ad esempio le verifiche fisiche delle cosiddette “aree sicure” e degli asset di trattamento non esposti in internet, ma di sicuro le presenti e soprattutto le future versioni, grazie anche all’integrazione di algoritmi di AI, offrono una soluzione praticabile ed affidabile per perseguire la conformità ai regolamenti sulla sicurezza informatica delle terze parti.