11 minute read
EXECUTIVE ANALYSIS
Il settore dei servizi finanziari in Italia è tra i più colpiti dagli attacchi informatici. Nelle realtà di piccole dimensioni, molto legate al territorio, il problema viene spesso delegato all’esterno.
BANCHE MEDIO-PICCOLE, DIFENDERSI È CRITICO
Itentativi di attacco osservati dalle aziende italiane crescono di anno in anno e, in un numero sempre maggiore di casi, gli incidenti informatici comportano conseguenze gravi. Lo dimostra la recente ricerca "Cyber Risk Management 2020" di The Innovation Group (Tig), che evidenzia come le identità degli utenti e gli endpoint aziendali siano gli ambiti più colpiti, ma i problemi non si limitino al perimetro noto dell’azienda: anche il cloud e l’Internet degli oggetti sono bersagli in forte ascesa. Gli attacchi più osservati sono il phishing, il malware e il ransomware, sperimentati rispettivamente dal 71%, 58% e 43% delle aziende, con percentuali in crescita per le prime due categorie rispetto alla situazione di due anni fa. Oggi l'attenzione dei responsabili dell’information security in azienda si sta concentrando in particolare su alcuni ambiti. La priorità numero uno sembra essere quella di potenziare il consapevolezza di dipendenti e collaboratori, sapendo che il fattore umano resta l'anello più debole della catena di protezione. In parallelo, l’evoluzione delle minacce può trovare una risposta più efficace solo tramite capacità avanzate di detection e di cyber threat intelligence.
Il machine learning diventa una necessità
Nell'ultima edizione del suo rapporto annuale, Clusit (Associazione italiana per la sicurezza informatica) pone ancora il comparto finanziario tra quelli più colpiti nel nostro Paese, accanto alla sanità e alla Pubblica Amministrazione. Le macrocategorie di attacco più utilizzate sono i malware e il social engineering, ricomprendendo in quest'ultima il fenomeno del phishing. In generale, più complessi sono gli attacchi e più è difficile individuarli: l’analista umano fa del suo meglio, ma appare sempre più necessario introdurre tecnologie di automazione basate su machine learning. Ovviamente i malintenzionati tendono a indirizzare le proprie azioni soprattutto verso le banche di grandi dimensioni, ma le problematiche di sicurezza riguardano ogni categoria di istituto. Technopolis, nel suo più recente progetto di ricerca qualitativa, ha concentrato l'attenzione sulle realtà di medie e piccole dimensioni, interpellando una quindicina di soggetti per capire quali si-
ano oggi gli elementi di preoccupazione più sentiti, come venga gestita la questione della sicurezza (se internamente o in outsourcing) e dove si stiano concentrando gli investimenti gestiti in autonomia. Nel campione sono stati inseriti anche alcuni fra i principali fornitori di servizi specializzati operanti in Italia e a cui si affidano molti istituti con connotazione locale, in particolare nel mondo del credito cooperativo e delle casse di risparmio. Gli investimenti messi in campo negli anni hanno consentito in buona misura di raggiungere uno standard considerato elevato sul fronte della protezione perimetrale, mentre piuttosto diffusa è la preoccupazione riferita ai servizi di Internet banking e al conseguente comportamento dei clienti. L'introduzione della normativa PSD2, nell'autunno nel 2019, ha certamente aiutato a imporre criteri di sicurezza più stringenti (soprattutto in termini di strong customer authentication) e si cominciano a sentirne gli effetti, ma quello dei servizi di banca online resta l’ambito che più attira iniziative e investimenti. Ciò non toglie che anche il comportamento del personale interno sia oggetto di costante monitoraggio, per prevenire tentativi di frode che facciano leva su phishing e social engineering. Alcuni istituti hanno iniziato a introdurre sistemi di analisi comportamentale che registrano anomalie nel funzionamento dei sistemi rispetto ai parametri abituali, mentre per altro verso l'adozione di soluzioni Siem (Security Information and Event Management) consente di avere un maggior controllo sugli accessi.
L'evoluzione dei metodi
In qualunque contesto aziendale, un'efficace sicurezza informatica non può prescindere da una completa visibilità sull’insieme delle componenti infrastrutturali. Nel caso delle banche medie e piccole della nostra indagine, ci sono alcune peculiarità da considerare: la maggior parte di esse lavora in modo completo o parziale con fornitori esterni di servizi, tramite contratti di outsourcing. E questo vale in alcuni casi anche per le attività di core banking. La normativa di settore impone una stretta catalogazione degli asset (ciascuno di essi è un potenziale punto di esposizione) e un continuo processo di valutazione del rischio informatico (Ict risk assessment), ma solo nei rari casi di mantenimento di una componente infrastrutturale interna la responsabilità compete alla figura aziendale di riferimento, si tratti di un Cio, Ciso o altro ruolo assimilabile. Nella maggioranza delle realtà analizzate, invece, il controllo viene lasciato perlopiù al provider esterno e solo alcune di queste richiedono una visibilità diretta, con la possibilità anche di intervenire nelle scelte sulle tecnologie di monitoraggio. Va detto, inoltre, che alcuni dei soggetti interpellati appartengono a gruppi bancari più complessi, in cui quindi tali aspetti competono al dipartimento IT della capogruppo. Diversa è la situazione per quanto riguarda policy di sicurezza e strategie: qui anche le realtà più dipendenti dall’outsourcing assumono responsabilità dirette nel definire le scelte complessive. Nella maggior parte dei casi analizzati c'è una tradizione costruita sulla presenza di un sistema informativo interno e basata sulla protezione del perimetro in ottica preventiva. Ma l'evoluzione delle minacce e le esperienze maturate hanno spinto diversi istituti ad affiancare all’approccio tradizionale un approccio reattivo, incentrato sulla risposta agli incidenti. Conservare perfettamente e costantemente integri i sistemi Ict di fronte agli attacchi è impossibile, e questa consapevolezza ha convinto le banche a dotarsi di strumenti di rilevazione delle intrusioni (soprattutto sugli endpoint) o di analisi comportamentale, per poter individuare rapidamente eventuali anomalie, verificarne la natura e reagire prontamente. Poiché nessuno oggi può considerarsi immune agli attacchi informatici, il Security Operation Center (Soc) rappresenta un asset critico che va gestito e implementato con particolare cura e professionalità. Per le aziende del campione che propendono in generale per l'esternalizzazione anche il Soc ha seguito lo stesso destino, ma solitamente è sentita la necessità di avere piena visibilità sull'operato delle risorse dedicate e non è infrequente l'affiancamento di attività di monitoraggio su reti e sistemi eseguite in proprio. Talvolta la gestione interna del Soc, inevitabilmente assegnata a un numero ristretto di persone, porta a concentrare l'attenzione su alcune singole aree, come la gestione delle frodi.
Il fattore umano è il primo pensiero
Il fattore umano è in assoluto la principale preoccupazione per i responsabili della cybersicurezza delle banche. Ancora troppo spesso le vulnerabilità nascono da comportamenti poco accorti di personale interno (spesso anche rivestito di ruoli rilevanti) che si fa ingannare da messaggi ben congegnati. Per questo motivo, una quota significativa di investimenti è indirizzata su iniziative di sensibilizzazione, tanto più accurate quanto più diretto è l'appoggio di un management consapevole della criticità delle problematiche di sicurezza, anche in ragione delle recenti normative e sanzioni. Piuttosto diversificate sono le indicazioni di investimento sulla sicurezza per il 2020. Alcune realtà mettono in cima alle priorità le nuove sfide imposte dall'open banking e, quindi, hanno indirizzato parte del budget specifico verso la modernizzazione dei sistemi di pagamento e verso la mobility. Sempre in quest'ottica, il potenziamento delle soluzioni anti frode e anti intrusione è al centro delle pianificazioni di molti istituti, in particolar modo per rafforzare la protezione delle attività legate all'Internet banking.
Roberto Bonino
DIVERSITÀ A CONFRONTO
Insieme ai fornitori dei quali ci avvaliamo, realizziamo costantemente attività di penetration test e audit per verificare l’affidabilità delle procedure di sicurezza adottate. Certamente è più facile controllare gli aspetti tecnologici, sui quali abbiamo costruito la nostra solidità, mentre stiamo lavorando per rafforzare la consapevolezza delle persone. Riccardo Renna, chief operating officer di Banca Generali
I nostri sviluppi più recenti sono ispirati ai processi di trasformazione digitale, per definizione molto più rapidi oggi rispetto a un tempo. Questo riguarda anche l'aggiornamento delle soluzioni che servono a proteggere da esposizione a potenziali rischi. Guardiamo con estrema attenzione alle intrusioni, ma soprattutto alla fuga di dati. Giuseppe Coiro, responsabile sviluppo IT sistemi direzionali di Banca Popolare di Bari
Pratiche consolidate negli anni e certificazioni come ISO 27000 ci rendono ben strutturati di fronte alle principali sfide della cybersecurity. Le maggiori preoccupazioni derivano dal comportamento dei clienti che accedono all’Internet banking, ma confidiamo che normative come la PSD2 aiutino a migliorare la situazione. Giampiero Raschetti, Ciso di Banca Popolare di Sondrio
L’approccio alla sicurezza non può che essere globale e legato sia alle misure di prevenzione, atte a ridurre i rischi di incorrere in situazioni indesiderabili, sia a quelle di tipo reattivo, attraverso la predisposizione di meccanismi di risposta a eventi non prevedibili o straordinari. Antifrode e analisi del rischio si sommano per noi alla gestione della continuità operativa, presidiata attraverso specifici piani d’azione, regole di funzionamento e risorse dedicate. Vittorio Sorge, vice direttore generale di Banca Popolare di Puglia e Basilicata
Oltre ad aver avviato un’opera di monitoraggio puntuale degli alert di sicurezza in chiave reattiva, siamo passati a una programmazione triennale degli investimenti, una sorta di piano strategico che porta a cercare di anticipare come si evolverà il nostro business e quindi, di conseguenza, anche le architetture. Massimo Barazzetta, responsabile organizzazione e sistemi informativi di Banco di Desio e della Brianza
Il controllo interno sulla sicurezza è solido, mentre l’operato dei clienti crea maggiori preoccupazioni. Per questo, abbia
mo sviluppato internamente un motore antifrode. Grazie ai meccanismi integrati di machine learning abbiamo potuto via via raffinare il livello di scoring su ogni operazione. Marco Lafauci, responsabile architettura e sicurezza IT di Gruppo Banca Carige
Dopo il focus degli ultimi anni su investimenti connessi alla protezione perimetrale e applicativa, oggi stiamo assistendo a un cambio di paradigma, ormai compreso anche dalle figure apicali, in base al quale occorre dare importanza anche alla cultura della sicurezza in azienda. Stefano Vaccaneo, responsabile ufficio Ict di Cassa di Risparmio di Asti
Forniamo servizi a circa sessanta banche, svolgendo anche le funzioni di un vero e proprio security operation center. Il nostro piano industriale prevede di rafforzare questa componente, per poter aiutare
i nostri clienti in modo più integrato. Abbiamo la percezione che il livello di sicurezza interno di ogni banca possa sicuramente essere migliorato e quindi vogliamo poter fare di più. Michele Rivieri, Ciso di Cedacri
Seguiamo un approccio di tipo olistico, che si estende dalla vecchia logica del presidio dei confini aziendali ai più innovativi concetti di security e privacy by design, con un modello che si applica a tutti gli stakeholder della componente organizzativa, compresi i clienti. Andrea Berneri, responsabile information security e business continuity di Fideuram – Ispb
Stiamo standardizzando un processo di gestione della cybersecurity attraverso la certificazione Nis, legata all'omonima direttiva che indica un insieme di procedure da attivare per gestire tutti i fenomeni rilevati e produce una valutazione annuale sul livello di maturità della banca. Egis Ligorio, responsabile governance e sicurezza IT di Findomestic Banca
Una parte maggioritaria dell’infrastruttura e delle applicazioni è gestita on premise, in modo totalmente controllato da noi. La parte residente sul cloud (di diversi provider) viene anch’essa gestita dal personale Ict. Questo ci fornisce un’elevata visibilità sul comportamento e sullo stato della nostra tecnologia. Rappresentiamo un’anomalia rispetto al resto delle banche medio-piccole in Italia, ma riteniamo il nostro modello più affidabile. Gianluca Martinuz, Cio di Fineco Bank
ll profondo assessment che abbiamo fatto sulla nostra infrastruttura e sulle politiche di sviluppo software, oltre che sull'architettura di rete e sulla visibilità dei nostri server, ci ha portati ad adottare un approccio “misto” alla sicurezza, modulando una componente preventiva con una di tipo reattivo. Daniele Cericola, servizio Ict management & innovation di Ibl Banca
Siamo passati da un approccio di tipo “red team”, nel quale un gruppo di specialisti tiene sotto controllo i Siem e rileva i problemi, all'estremo opposto, rappresentato dal “blue team”, in cui l'approccio è più proattivo. Qui, anche grazie a strumenti di intelligence sul deep Web, si intercettano tutte le informazioni potenzialmente utili per prevenire i rischi anche più recenti.
Marco Palazzesi, responsabile Ict & Security di Iccrea Banca
Il nostro focus sulla sicurezza è testimoniato dal fatto che nel 2019 abbiamo iniziato un percorso graduale di implementazione di soluzioni perimetrali con tutti i layer di firewall verso l'esterno. Lo scorso anno abbiamo anche introdotto un nuovo Soc, che sarà potenziato in questo periodo, con funzioni soprattutto di monitoraggio. Infine, abbiamo introdotto nuovi sistemi di intrusion detection. Alberto Prior, Cio di Sparkasse – Cassa di Risparmio di Bolzano
LA PREVENZIONE PASSA PER LA VISIBILITÀ
I cyberattacchi rappresentano un pericolo costante per il settore finanziario e sugli investimenti fatti pesano in modo notevole anche le stringenti normative intervenute sul tema della sicurezza. Le soluzioni evolvono verso concetti di intelligenza artificiale, machine learning e analisi del comportamento degli utenti. La vera sfida, per chi gestisce la sicurezza, è avere tutto sotto controllo. Adottare diverse soluzioni crea difficoltà nella gestione delle risorse e del personale, poiché implica una conoscenza approfondita delle tecnologie e dei prodotti utilizzati. Spesso non esiste una gestione unica e centralizzata in termini di console e diventa difficile proteggere l’intera infrastruttura estesa e avanzata. La disomogeneità delle soluzioni adottate incide sulle performance, sulla capacità di deployment, controllo e semplicità d'uso di ambienti articolati. Il comportamento degli utenti è un fattore di preoccupazione e le falle create per comportamenti errati possono essere corrette solo con formazione e consapevolezza, in base all'approccio “zero trust, trust no one”. Un aspetto non negoziabile, su cui Panda Security è da sempre molto attenta, riguarda la rapidità di detection e remediation: la tecnologia in caso di attacco dev’essere a supporto dell’azienda, suggerendo immediate ed efficaci azioni di intervento e successivi comportamenti da adottare. Il nostro team di supporto, interamente italiano, fornisce assistenza totale 24/7, mentre gli esperti dei PandaLabs intercettano minacce sconosciute e con attività di hunting prevengono attacchi imminenti. Panda Security considera l'assoluta visibilità fondamentale per monitorare ciò che accade nell’ambiente IT. Le informazioni, sotto forma di reportistica immediata e dettagliata, sono una ricchezza che ogni cliente può analizzare in termini di sicurezza e non solo. Nicola D’Ottavio, country manager Italia e Svizzera di Panda Security
