LE BANCHE NEL MIRINO DEL CYBERCRIMINE RISPONDONO CON INVESTIMENTI IN RICERCA E CAPITALE UMANO
Intervita VIP a Romano Stasi
Banche e sicurezza un binomio strategico sempre più sotto osservazione a causa del susseguirsi di attacchi sempre più sofisticati che vengono portati a reti e sistemi. “Quello finanziario –spiega nell’intervista Romano Stasi, Segretario generale del Centro di Ricerca e Innovazione ABI Lab, è da sempre tra i settori maggiormente presi di mira. Per tale ragione le banche seguono con pari attenzione i cambiamenti tecnologici e di business e l’evoluzione del panorama delle minacce, al fine di rispondere al meglio alle esigenze della clientela e mantenere livelli di sicurezza adeguati in termini di protezione non solo del denaro ma anche delle informazioni. Elemento centrale nella lotta al crimine informatico è rappresentato dalla capacità di agire in maniera strutturata e coordinata, facendo tesoro non dell’esperienza limitata del singolo ma piuttosto della continua condivisione delle esperienze da parte di tutti. Su questa base, opera dal 2017 il CERTFin – CERT Finanziario Italiano, un’iniziativa nata dalla cooperazione pubblico – privato che ha l’obiettivo di innalzare la capacità di gestione dei rischi cibernetici degli operatori bancari e finanziari”.
Ing. Stasi, la tutela degli asset ha bisogno di investimenti. I nostri istituti di credito come si stanno muovendo su questo delicato ambito?
L’elevata attenzione verso i temi della sicurezza trova conferma proprio negli investimenti dedicati: dallo studio del CERTFin “Sicurezza e frodi informatiche in banca – Come prevenire e contrastare attacchi informatici e frodi sui canali digitali” emerge che la maggior parte delle realtà ha previsto per il 2023 un aumento o comunque un generale mantenimento dei livelli della spesa destinata sia alla si
curezza dei canali remoti, sia al rafforzamento dei sistemi di monitoraggio e protezione interni a ciascuna banca. Entrando più nel dettaglio: il 55% delle risorse stanziate dalle realtà rispondenti per progetti/interventi legati al contrasto e alla prevenzione delle frodiinformatiche sarà destinato a interventi volti a incrementare i livelli di sicurezza dei servizi, mentre il 26% sarà destinato all’evoluzione sicura dei servizi per la clientela anche in ottica business (servizi che mirano a migliorare l’esperienza del cliente e che al contempo facilitano la promozione di ulteriori servizi non ancora sottoscritti dal cliente). La quota di budget destinata a interventi per l’adeguamento ai requisiti previsti dalla normativa resta stabile al 19%.
Prevention, detection, response: come si affrontano queste fasi quando si ha a che fare con la minaccia che in questo momento più impensierisce aziende e istituzioni?
Nel tempo gli attacchi ransomware si sono evoluti, oggi i nuovi attacchi anziché limitarsi a crittografare semplicemente i dati su alcune unità disco spesso prendono di mira l’infrastruttura, cifrano anche i backup ed esfiltrano informazioni sensibili
minacciando di divulgarle al contesto esterno. Significa che si rendono necessari giorni, quando non settimane per recuperare i dati, risolvere i problemi di sicurezza e riavviare tutte le attività. Le aziende per rispondere devono focalizzarsi sui tre momenti chiave, che caratterizzano la gestione di un attacco ransomware: preparazione, risposta, ripristino. Facciamo un esempio per capirci: un’organizzazione che investe per potenziare la propria resilience rispetto a un attacco ransomware può significativamente mitigarne gli impatti intraprendendo azioni preventive, tramite la realizzazione di backup periodici dei dati critici e sviluppando e testando un piano di risposta degli incidenti ransomware.
Quali azioni vanno intraprese e quali vanno evitate per attuare una corretta tutela degli asset strategici del settore bancario?
Una preparazione adeguata serve a prevenire dolorosi insuccessi, è dunque fondamentale che l’azienda investa nello sviluppo di un Ransomware Recovery Plan che funzioni in condizioni reali e in ambiente che si caratterizzano per elevati livelli di stress. Un ransomware recovery plan non può anticipare tutte le circostanze che devono affrontare i decisori ma la preparazione stessa del piano offre all’organizzazione l’opportunità di considerare attentamente le alternative e definire policy e procedure in atmosfere sufficientemente “tranquille”, piuttosto che in contesti attraversati da tensione e stress, tipicamente alimentati dagli attacchi in corso.
Il piano di difesa come si articola?
Il piano garantisce che vengano presi in giusta considerazione gli aspetti di compliance, che vengano definite opportune politiche aziendali e che sia valutato il coinvolgimento di terze parti, come il fornitore dei servizi di cyber insurance o una società di consulenza specializzata. Quando si è colpiti da un attacco ransomware, dovrebbe essere già disponibile un piano
di risposta e gestione della crisi e la presenza di alcune risorse essenziali, quali: il Backup dei dati effettuati prima dell’attacco in infrastrutture segregate e sicure; gli Strumenti per analizzare la portata e l’impatto degli attacchi; un’area di ripristino sicura (Recovery Zone) dove riavviare dati e applicazioni.
La resilienza: definizione difficile
In caso di attacco ransomware che misure vanno adottate perché si possa definire resiliente un’istituzione o un’impresa?
Se non si è dedicato tempo sufficiente alla fase di Preparazione, difficilmente la Risposta si rivelerà pienamente efficace. La risposta a un attacco ransomware dovrebbe prevedere il coinvolgimento di diverse figure chiave, idealmente quelle che dovrebbero comporre il Ransomware Response Team. Tra i passaggi più tecnici vale la pena citare l’importanza della fase di contenimento che resta senza dubbio una parte fondamentale del piano di risposta agli incidenti. L’impossibilità di isolare rapidamente dalla rete i sistemi infetti (negli stadi iniziali dell’attacco) può contribuire ad aggravare l’incidente, permettendo al malware di diffondersi ulteriormente all’interno dell’infrastruttura. Una metodologia di analisi basata sull’individuazione delle Tattiche, Tecniche e Procedure (TTP), favorita e supportata dalla Threat Intelligence (TI), può agevolare le azioni di mitigazione, permettendo un’identificazione proattiva delle minacce e una risposta tempestiva ed efficace. Alla luce di queste considerazioni possiamo immaginare di poter definire davvero “Resiliente” un’azienda quando quest’ultima si è dotata di una Recovery Zone, corredata di tutte le procedure (magari anche testate) per il suo corretto utilizzo.
Ricorro sempre a un esempio per essere più chiaro: avviare il ripristino direttamente sull’infrastruttura che è stata compromessa da un attacco ransomware non è una buona idea. Si dovrebbe invece lavorare in una Recovery Zone con una rete segregata e server, strumenti e software “puliti”. La zona di ripristino dovrebbe, in particolare disporre di strutture di backup complete. Sebbene le applicazioni risiederanno lì solo temporaneamente, dovranno essere in grado, per un certo periodo di tempo, di generare dati di produzione in tempo reale. Come best practice si suggerisce di configurare una recovery zone con hardware e software dedicati in standby, per poter rispondere rapidamente ad attacchi ransomware e ad altre minacce alla business continuity. Le organizzazioni possono anche valutare di configurare parte della recovery zone su piattaforma cloud.
Proviamo ad allargare lo sguardo. Oggi esiste un fitto intreccio tra cyber security, geopolitica, economia e diritto, lo stiamo vedendo ogni giorno basta sfogliare i giornali. L’adozione del digital services act che scenari potrà aprire?
Tra le varie aree toccate dal DSA evidenzio tre punti che, nelle aspettative della CE, dovrebbero produrre gli effetti più macroscopici. La prima stabilisce norme più chiare sulla Responsabilità delle piattaforme online per i contenuti ospitati sui loro servizi. Le piattaforme possono essere tenute responsabili per la rimozione tempestiva dei contenuti illegali o dannosi, il che produrrà principalmente due effetti: un maggiore controllo di sicurezza dei contenuti, anche attraverso l’implementazione di sistemi di segnalazione più efficaci, una più alta capacità di contrastare la diffusione di disinformazione e fake news online, ad esempio obbligando le piattaforme a processi per la rimozione tempestiva di contenuti falsi o inattendibili. Secondo aspetto importante è la Protezione dei consumatori: il DSA mira a rafforzare i diritti dei consumatori online, garantendo la sicurezza dei prodotti e dei servizi digitali. Questo migliorerà la fiducia dei consumatori nell’ecosistema digitale. Come terzo aspetto troviamo la Cooperazione internazionale: il DSA potrebbe aprire la strada a una maggiore cooperazione tra l’UE e altre giurisdizioni nel regolamentare le piattaforme digitali, poiché molte di queste piattaforme operano a livello globale. Lo dimostra il fatto che l’estensione del DSA a paesi extra-UE appare già nell’agenda del G7.
Il digital service Act: passo importante
In una recente intervista l’ex direttore di ACN Roberto Baldoni ha osservato: “con il DSA potremo avere un web più sicuro anche se si impone un bilanciamento tra la proliferazione e il coordinamento delle norme”. ABI Lab ha nell’innovazione il suo epicentro. Quale deve essere il rapporto tra lo sviluppo della tecno-scienza e la ricerca di strumenti giuridici atti a garantire la sicurezza di reti e sistemi?
Questo rapporto dovrebbe essere dinamico, interconnesso e in costante evoluzione. Risulterà decisiva una collaborazione interdisciplinare e multisettoriale. La sicurezza informatica è un campo multidisciplinare che richiede la collaborazione tra esperti tecnici, giuristi, economisti e altre figure professionali. Per questo la ricerca di strumenti giuridici dovrebbe coinvolgere esperti in diversi campi per sviluppare soluzioni complete ed efficaci a valenza anche su più settori produttivi. Molta attenzione bisognerà rivolgere al Principio di proporzionalità: le leggi e i regolamenti sulla sicurezza informatica dovrebbero rispettare il principio di proporzionalità. Ciò significa che le misure devono essere adeguate alla minaccia e non eccessivamente restrittive per l’innovazione tecnologica. In altre parole, dovrebbero essere bilanciate e mirate. Centralità va poi riconosciuta agli Standard e alle norme generali che regolano la sicurezza, sviluppate da organizzazioni internazionali e settoriali che dovrebbero essere incorporati nei requisiti legali, consentendo alle imprese di avere riferimenti chiari e di adottare approcci basati su best practice. Non trascurerei, poi, la definizione degli Incentivi per la sicurezza. Gli strumenti giuridici dovrebbero essere utilizzati per promuovere l’adozione di una postura di sicurezza migliore e potrebbero prevedere incentivi per investimenti in sicurezza informatica.
In conclusione, mi soffermerei sulla riconosciuta fragilità del fattore umano.La sua esperienza la induce a pensare che su questo delicato terreno si siano fatti passi avanti apprezzabili?
Si tratta di una grande sfida per la sicurezza, motivo per il quale le iniziative di cybersecurity awareness giocano un ruolo centrale nel nostro mondo mobile e interconnesso. Le banche sono da sempre fortemente impegnate in iniziative di sensibilizzazione indirizzate alla propria clientela, comunicando in particolare sull’utilizzo sicuro degli strumenti di pagamento e dei dispositivi mobili e sulla gestione sicura dell’identità attraverso diversi canali: portali di internet banking, mobile app, e-mail e/o sms, filiali e social network. Un ulteriore ambito di impegno è quello delle iniziative di sensibilizzazione sui temi della sicurezza informatica condotte in collaborazione dalle istituzioni e dalle singole banche. Penso alla campagna di informazione “I Navigati – Informati e Sicuri” (www.inavigati.it) realizzata dal CERTFin per favorire l’uso sicuro e consapevole dei canali e degli strumenti digitali e sensibilizzare i clienti sui rischi di attacchi e frodi online nella fruizione di servizi finanziari. A tale iniziativa si aggiunge l’iniziativa “CyberSicuri” a cui il CERTFin sta lavorando in questi mesi: una campagna di cybersecurity awareness destinata alle piccole e medie imprese che punta attraverso video e materiale interattivo ad aumentare la sensibilità di manager e dipendenti di fronte ai rischi informatici che presentano impatti molto forti sugli asset aziendali.
Autore: Massimiliano Cannata
