Il caso Equifax è l’ennesimo campanello d’allarme. La strategia di prevenzione deve essere costruita oggi: per evitare che domani un singolo attacco possa mandare a gambe all’aria un intero business
Banche e istituti finanziari hanno sempre fatto gola ai criminali: e quelli di tipo informatico non sono da meno. Campagne di phishing, di ransomware e anche attacchi targetizzati sono sistematicamente effettuati verso queste realtà nel tentativo ultimo di estorcere denaro. La cronologia degli attacchi è ingente e ulteriormente arricchita dall’imponente sottrazione di dati alla statunitense Equifax.
La reazione del sistema bancario ha portato alla costituzione della Cyber Defence Alliance, in Italia è attivo il CERTFIN, ed entro maggio 2018 GDPR e direttiva NIS dovranno trovare piena attuazione: ancora oggi il concetto di sicurezza informatica non è ancora pienamente integrato nei processi di business delle organizzazioni bancarie e finanziarie. Eppure la corsa alle nuove tecnologie non si arresta e accelerare verso la loro implementazione non potrà prescindere dall’inclusione della cybersecurity nei processi di questo ambito.
Gli attacchi al settore bancario
In aggiunta agli attacchi che hanno caratterizzato i primi sei mesi del 2017 e di cui l’incidente Equifax costituisce l’ultimo episodio, una rassegna sugli attacchi del settore finanziario è stato inserito nel più ampio Verizon DBIR 2017 (Data Breach Investigations Report), che giunto alla decima edizione ha fotografato la situazione degli attacchi ai danni di 65 organizzazioni situate in diversi paesi durante tutto il 2016.
Secondo l’analisi, che comprende anche il settore assicurativo oltre a quello finanziario, il numero degli incidenti in materia di sicurezza è stato pari a 998, di cui 471 casi in cui è stata confermata la successiva divulgazione dei dati sottratti. Denial of Service, attacchi alle applicazioni Web e il più tradizionale skimming hanno rappresentato l’88 per cento di tutti gli incidenti di sicurezza di questo comparto, con una incidenza di attaccanti esterni del 94 per cento e il restante 6 per cento legato a insider (quelli che un tempo avremmo chiamato “basisti”). Le violazioni dei dati confermate sono state associate all’utilizzo di trojan bancari per il furto e riutilizzo delle password dei clienti, ed alle operazioni di manomissione dei bancomat.
I tipi di dato compromessi sono stati principalmente quelli attinenti alle credenziali (71 per cento), seguiti da dati sui pagamenti (12 per cento) e da quelli di tipo personale (9 per cento). Eliminando dalla classifica gli attacchi principali legati agli ATM, agli attacchi DoS e alle botnet, restano gli abusi di accesso a fini fraudolenti (furti o sottrazioni da parte di dipendenti), seguiti da mix di altre tipologie di attacchi e da categorie miste d’incidenti. Di minore entità quelli perpetrati verso le web application, seguiti dagli episodi di cyber-spionaggio, fino ad incidenti specifici nelle singole sedi come le rapine.
Cyber Defence Alliance e CERTFIN
Dal 2011 la crescente minaccia informatica ha sollecitato la reazione del settore bancario, che si è concretizzata con la fondazione della Cyber Defence Alliance (CDA) oggi guidata da Maria Vello: una specialista di sicurezza informatica proveniente dal vertice della National Cyber-Forensics & Training Alliance. Due anni fa le banche fondatrici Barclay, Standard Chartered, Deutsche Bank e Banco Santander, hanno costituito il nucleo centrale poi allargato a Bank of Ireland, Allied Irish Banks, Lloyds Banking Group e Metro Bank. Tutte si sono accordate per lavorare congiuntamente agli investigatori, con tecniche basate soprattutto sul software, in modo tale da favorire le indagini eventualmente rallentando dei servizi o istituendo controlli congiunti prima di grossi trasferimenti di fondi considerati potenzialmente fraudolenti.
L’accordo fra le aderenti è soprattutto una alleanza di cooperazione internazionale che, come nel caso della NATO, considera un attacco a tutta l’organizzazione se anche solo uno dei componenti viene attaccato, e comporta il coinvolgimento di tutti in supporto della vittima. Oltre ad eventi annuali i cui report ed atti sono sempre disponibili per i soci, CDA propone studi sui principali temi di sicurezza informatica ed anche esercitazioni per i decisori, unitamente alla collaborazione con il NIST per elaborare una vision per l’ambito bancario per il prossimo futuro, così da produrre le opportune raccomandazioni per tutti i soci.
Fra le iniziative ABI si ricorda l’accordo siglato fra il Consorzio ABI Lab e la Banca di Italia, che da gennaio 2017 ha permesso la nascita del Computer Emergency Response Team, meglio noto come CERTFin finalizzato ad “innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari e la cyber resilience del sistema finanziario italiano attraverso il supporto operativo e strategico alle attività di prevenzione, preparazione e risposta agli attacchi informatici e agli incidenti di sicurezza” come riportato nel suo manifesto di costituzione.
Tutti gli operatori del comparto bancario e finanziario sono invitati a partecipare anche se, è stato spiegato durante l’evento Clusit (edizione di Roma 2017), saranno i principali gruppi bancari italiani ad effettuare alcune delle maggiori azioni di avviso e divulgazione di bollettini di sicurezza essendo dotate di opportune infrastrutture che le piccole realtà ancora non possono vantare (e a cui non possono tendere per ovvi motivi di budget). L’obiettivo principale è però partire con una importante azione di sensibilizzazione, finalizzata alla comprensione del rischio e progressivamente permettere a tutte le realtà grandi e piccole di cooperare. Il CERTFin si propone di svolgere analisi e condivisione delle informazioni, di operare come Osservatorio per la Cyber Knowledge e la Security Awareness e come centrale operativa per la gestione delle emergenze, nonché rappresentare un punto di raccordo del settore finanziario con gli altri settori strategici in tema di cyber-security.
Coniugare il futuro prossimo bancario fra accelerazione e cybersecurity
Come molte altre realtà, anche le banche devono evolvere i propri processi e le proprie infrastrutture verso tecnologie digitali capaci di ottimizzare le performance e di migliorare il rapporto con la propria clientela aumentando i servizi offerti. All’interno dell’Accenture Banking Technology Vision 2017 si sottolineano diverse priorità: la formazione dei talenti, la centralità degli utenti per la progettazione di servizi ad-hoc, la creazione di network e partnership per l’innovazione. Per realizzare questa Vision la Accenture top 10 challenges per le banche di investimento individua le sfide tecnologiche in cui le banche si misureranno per tutto il 2017: cloud computing, tecnologie open source di blockchain, piattaforme proprietarie e verticali, intelligenza artificiale e automazione.
Ma se la parola chiave è accelerare in favore della “technology for people”, della semplificazione, dell’innovazione e della digitalizzazione è necessario che questa roadmap sia opportunamente corredata della componente di cyber-security, che deve essere considerata non più una componente di costo ma un fattore di investimento in favore della capacità di sopravvivenza del business rispetto ai rischi di attacco, e della maggiore capacità di competizione anche sui mercati internazionali proprio là dove gli attacchi spesso si scatenano. Se la security by design non avrà luogo, la corsa all’accelerazione può essere considerata, in una calzante analogia, la costruzione di una potente macchina sportiva e veloce ma sprovvista di freni, sensori di pericolo, cinture dei passeggeri, specchietti retrovisori ed airbag: con la conseguenza potenziale di non poter sopravvivere al minimo incidente.