8 minute read
Fintech: Asset management, cinque best practices contro gli attacchi informatici
ASSET MANAGEMENT CINQUE BEST PRACTICES CONTRO GLI ATTACCHI INFORMATICI
L’emergenza sanitaria ha cambiato il modo di lavorare dell’industria del risparmio gestito, con nuovi modelli operativi basati su piattaforme online. Anche se le difese informatiche di un asset manager sono robuste, le vulnerabilità possono essere sempre dientro l’angolo.
La pandemia ha radicalmente cambiato il modo di lavorare: sono stati utilizzati nuovi metodi operativi di lavoro quali per esempio strumenti di collaborazione online, soluzioni di video conferencing, strumenti ed applicazioni sul cloud che purtroppo hanno favorito molteplici nuovi attacchi informatici o
“cyberattacchi”. Durante la prima fase del COVID gli asset managers hanno giustamente dato la priorità al mantenimento del servizio, tuttavia, gli investitori devono ora considerare se l’infrastruttura che ha permesso la continuità operativa sia sufficientementerobusta per il futuro. L’Operational Due Diligence (ODD) dimostra che anche gli asset managers più affermati, a volte, non seguono i principi cardine come l’autenticazione multipla, non eseguono dei test di attacchi simulati e non applicano le restrizioni sui media rimovibili. Anche se le difese informatiche di un asset manager sono robuste, le vulnerabilità possono essere introdotte attraverso, ad esempio, l’uso di servizi cloud o la miriade di fornitori che supportano i processi interni.
CYBER RISK IN AGGUATO
Una serie di incidenti ha fatto notizia negli ultimi tempi. C’è stato l’attacco all’hedge fund Levitas Capital tramite un falso invito ad una riunione Zoom. I criminali informatici hanno avuto accesso ai computer e al sistema di posta elettronica del fondo e successivamente sono avvenute molteplici autorizzazioni di pagamento fraudolente ed il denaro è stato rubato. La violazione delle e-mail aziendali è stata a lungo una delle fonti più comuni di rischio informatico e probabilmente continuerà ad esserlo. Una buona formazione sul cyber risk, in aggiunta all’implementazione di processi disciplinati per quanto riguarda i bonificitelematici, può aiutare a mitigare gli errori generati dal phishing. Tra le vulnerabilità prese di mira c’è l’enorme numero di dispositivi in rete che si collegano ormai alle reti aziendali. Pensate alle stampanti, ai telefoni ma anche all’hardware per le videoconferenze. Se questi dispositivi non sono adeguatamente protetti, costituiscono un punto d’ingresso per i criminali informatici, con tutte le conseguenze associate. Quando si tratta di dispositivi di proprietà dei dipendenti che possono ancora connettersi alla rete, i rischi sono ancora maggiori.
I cybercriminali stanno prendendo di mira organizzazioni di tutte le dimensioni. Tra i più vulnerabili, ci sono gli asset managers che eseguono diverse operazioni manuali, come accade di solito nei mercati privati, perché trasferiscono abitualmente grandi somme di denaro durante le loro attività quotidiane. Purtroppo, il costo e la complessità di costruire forti difese informatiche possono essere particolarmente impegnativi per le piccole società. Secondo Accenture il numero di cyber-attacchi è aumentato di oltre il 30% nel 2021, evidenziando così quanto il COVID-19 abbia creato terreno fertile per la criminalità infor-
matica. Tuttavia, il rischio non merita solo l’attenzione del dipartimento IT. Gli stessi gestori di portafoglio devono capire le vulnerabilità informatiche dei loro investimenti in quanto il valore di un investimento attraente può essere completamente eroso dalle conseguenze di una violazione dei dati, conseguenze che possono portare a multe, furto di proprietà intellettuale, paralisi del business, danni alla reputazione e persino la svalutazione degli assets.
LE SOLUZIONI
In un mondo che cambia è fondamentale che gli investitori pretendano maggiore attenzione ed impegno da parte dei loro gestori alle best practices:
Scansione delle ‘vulnerabilità’
La scansione delle vulnerabilità è il processo di identificazionedi potenziali fragilità nei dispositivi di rete come firewall,router, switch, server, stampanti e applicazioni. Le scansioni delle vulnerabilità possono essere eseguite frequentemente (per esempio, giornalmente, settimanalmente, mensilmente) su qualsiasi numero di risorse di rete per accertare che le vulnerabilità conosciute siano rilevate e riparate. La gestione delle vulnerabilità può essere inserita nella gestione delle patch o correzioni per un patching efficace
Gestione delle ‘patch’
La gestione delle patch è il processo di distribuzione e applicazione degli aggiornamenti al software e ai dispositivi di rete per ridurre il rischio di compromissione. I cyber criminali possono approfittar delle vulnerabilità conosciute nei sistemi operativi, nei dispositivi e nelle applicazioni se non sono adeguatamente riparati o aggiornati. L’applicazione tempestiva di patch o correzioni è una componente integrale di un efficaceprogramma di sicurezza informatica. I gestori dovrebbero avere una struttura per aggiornare le patch con una frequenza stabilita, ad esempio, settimanale o mensile. Tuttavia, è probabile che le vulnerabilità legate a determinate patch siano significativ e quindi tali toppe/correzioni debbano essere applicate in modo tempestivo per mitigare i rischi correlati.
Test di infiltrazion
Un test di infiltrazioneè un esercizio in cui un esperto di sicurezza informatica (a volte indicato come un hacker etico) tenta di trovare e sfruttare le vulnerabilità in un sistema informatico per valutarne l’integrità. La pratica migliore per un gestore è quella di incaricare una controparte specializzata a svolgere, almeno annualmente, un test di infiltrazioneinterno ed esterno. Con un test esterno, gli esperti di sicurezza informatica si concentreranno sulla tecnologia esterna dell’azienda, come il sito web e i server di rete esterni, mentre con un test interno l’esercizio viene eseguito dall’interno del perimetro della rete aziendale.
Configurazionedi sicurezza
Una verifica della configurazione di sicurezza del cloud è una prova che
UN’INFRASTRUTTURA CLOUD MAL CONFIGURATA POTREBBE ESPORRE SISTEMI, APPLICAZIONI E DATI DI UN GESTORE AD ATTACCHI CYBERCRIMINALI
esamina e analizza l’infrastruttura cloud di un’organizzazione per garantire che sia protetta da una varietà di rischi e minacce alla sicurezza. Un’infrastruttura cloud mal configuratapotrebbe esporre i sistemi, le applicazioni e i dati di un gestore a manipolazioni da parte dei cybercriminali. Tale verificadovrebbe stimare l’implementazione del cloud di una società rispetto al quadro di riferimento del CIS (Center for Internet Security) che incorporano più di cento linee guida di configurazione
Controllo dell’accesso remoto
Storicamente le case di gestione hanno sanzionato la possibilità per i dipendenti di lavorare in remoto principalmente per scopi di continuità aziendale. Tuttavia, la pandemia ha portato intere forze lavoro ad operare da casa in modo permanente o su base periodica secondo un modello di lavoro ibrido. Questa transizione ha potenzialmente esposto le infrastrutture di rete delle società di gestione ad una gamma più ampia di rischi informatici, in quanto la definizionetradizionale del perimetro di rete è stata ampliata, aumentando così le dimensioni della superficiedi attacco che può essere presa di mira dai criminali informatici.
Il metodo più utilizzato dagli asset managers per facilitare l’accesso alla rete è tramite una rete privata virtuale (“VPN”) che, se associata a protocolli di autenticazione a più fattori, può consentire a un gestore di ridurre il rischio che un cyber-criminale possa accedere all’infrastruttura di rete qualora le credenziali di un dipendente vengano compromesse. Tuttavia, se i dipendenti utilizzano i propri computer (endpoint) per lavorare in remoto, la società di gestione avrà maggiori limiti nella sua capacità di imporre l’irrigidimento della sicurezza dell’endpoint di connessione, per esempio assicurando che tutte le patch di vulnerabilità del sistema operativo e gli aggiornamenti antivirus siano stati applicati. In aggiunta, le implementazioni VPN, in assenza di adeguati protocolli di prevenzione della perdita di dati, possono esporre le società di gestione al rischio di violazioni dei dati, in quanto i dipendenti possono potenzialmente avere la possibilità di copiare le informazioni della società o dei clienti sui dispositivi di proprietà dell’utente. Inoltre, se il disco rigido del dispositivo non è stato criptato, qualsiasi informazione copiata su di esso sarebbe a rischio in caso di perdita o furto del dispositivo.
In risposta all’evoluzione della pandemia, abbiamo osservato che alcune società di gestione hanno dotato tutti i dipendenti di computer portatili aziendali, dando così all’azienda la possibilità di implementare controlli per mitigare i rischi di cui sopra. Un approccio alternativo è quello di implementare un’architettura VDI (Virtual Desktop Infrastructure). Con le VDI, i dipendenti si collegano direttamente all’infrastruttura IT aziendale tramite una macchina virtuale realizzata dai data center della società di gestione. Ciò significache le società possono imporre specificirequisiti di sicurezza e impedire che le informazioni escano dal perimetro della rete aziendale.
Nel contesto attuale, costruirsi una solida posizione rispetto ai nuovi rischi informatici non è una questione di formalità né un lusso, ma è diventata una priorità.
L’OPINIONE DI
ALEX GOLD Portfolio Manager FF Global Health Care Fund, Fidelity International
Solo negli ultimi 5 anni, il mercato ha assorbito il Taper Tantrum del 2018 (Q4), la recessione da COVID nel marzo 2020 e ora la crisi ucraina. Durante i periodi di incertezza, può essere difficilfare un passo indietro e pensare al lungo termine. Tuttavia, quando si tratta di investire è importante cercare di avere una prospettiva più ampia e guardare a settori i cui driver sono strutturali, indipendenti dagli eventi macro-economici. Uno di questi è il settore dell’healthcare che, a livello globale, in ognuno di questi periodi di elevata incertezza, è stato in grado di sovraperformare il mercato più ampio, a dimostrazione del carattere storicamente difensivo del comparto. Questo perché molte delle società che operano in questo settore realizzato farmaci o prodotti che aiutano le persone a gestire malattie croniche e per cercare di migliorare la loro vita. È dunque facilmente intuibile come la domanda e le necessità di tali beni rimangano invariate. Al contrario, guidata dal trend di lungo periodo strutturale e prevedibile dell’invecchiamento della popolazione, la domanda di prodotti e servizi sanitari è strutturalmente in aumento. È dunque fondamentale rimanere concentrati sul lungo termine, cercando di identifiare le opportunità che l’incertezza di breve termine può offrie agli investitori.
