Più sicurezza, più qualità dell’offerta e maggiore fiducia della clientela. Intanto, all’orizzonte si profilano rischi crescenti di attacchi informatici, focalizzati su specifici obiettivi. La risposta è passare dalla security tradizionale alla cyber-physical security cioè a una sicurezza proattiva globale integrata e di sistema
La sicurezza è una componente fondamentale del settore bancario e finanziario e va di pari passo con il livello di servizio associato. In altre parole: se non c’è sicurezza adeguata il cliente lo percepisce subito, con evidenti ripercussioni sul comportamento di adesione. Il tema va affrontato sin dalle prime fasi di sviluppo dei prodotti-servizi, ma è anche un vincolo dal quale non si può derogare, per via delle normative stringenti a livello nazionale, internazionale ed europeo. La distruzione e il danneggiamento, anche parziale, di una infrastruttura critica, come quelle presenti nella finanza, hanno un notevole impatto strategico, umano, economico e sociale. Basti pensare alle reti di interscambio e ai sistemi di pagamento, che includono effetti intersettoriali e transfrontalieri, con effetto “domino” dovuto alle interdipendenze. La sicurezza è, quindi, da sempre, un asset strategico per la banca, incide in misura sempre maggiore sul core business ed è divenuta determinante nell’attuale scenario competitivo. L’evoluzione tecnologica in atto, infatti, è caratterizzata da: accesso in mobilità, social network, nuovi servizi mobile, esecuzione di contratti da remoto, dematerializzazione dei processi, connessione di dispositivi intelligenti alla rete IP e, infine, dal cloud computing, big data e analytics, che consentono lo sviluppo di sevizi sempre più innovativi, aperti e diffusi. InfoCert, società del gruppo Tecnoinvestimenti, per esempio, ha sviluppato recentemente TOP (Trusting OnBoarding Platform), una piattaforma omnicanale – brevettata nel 2014 e già adottata da 20 banche di livello internazionale – che, sfruttando le numerose modalità di riconoscimento certificate, consente di acquisire nuovi clienti completamente da remoto via Internet, in pochi minuti e senza la necessità di spedire fisicamente alcuna documentazione né di doversi recare personalmente in filiale per la sottoscrizione. L’identità certa dell’utente viene rilevata da TOP in una sola sessione online – anche mediante il riconoscimento via webcam – e consente di siglare contratti con piena validità legale, mediante l’emissione di certificati qualificati di firma digitale, anche monouso. «In pratica, i clienti della banca possono essere rapidamente “on board”, beneficiando della riduzione dei tempi di finalizzazione delle pratiche di acquisto di prodotti e servizi» – sottolinea Massimo Michelotti, sales director di InfoCert. «E questo per la banca si traduce in un minore tasso di abbandono. Inoltre, la possibilità di effettuare tutte le operazioni da qualsiasi dispositivo, garantisce un’esperienza d’acquisto coerente con le abitudini sempre di più digitali, “mobile first” e in sicurezza degli utenti bancari».
La minaccia cibernetica
La trasformazione digitale ha incrementato la possibilità di sfruttamento dell’evoluzione dei processi a fini invasivi e terroristici, aumentando le vulnerabilità dei sistemi e ampliando il bacino di soggetti potenzialmente esposti. La cosiddetta minaccia cibernetica, per sua natura diffusa, incontrollata e transnazionale, rappresenta, quindi, una delle sfide più impegnative per gli Stati, le organizzazioni sovra nazionali, le banche, le aziende e i cittadini. Gli attacchi informatici sono in grado di produrre effetti confrontabili con quelli ipotizzabili in attacchi bellici convenzionali e di incidere sull’esercizio stesso delle libertà essenziali per i sistemi economici e democratici. Gli obiettivi privilegiati possono essere proprio le infrastrutture critiche di un paese, tra cui i sistemi della finanza e delle banche. I maggiori esperti ritengono che i paesi più esposti siano proprio quelli occidentali ed europei, proprio perché hanno infrastrutture critiche sofisticate e di conseguenza più vulnerabili. Tutto ciò rende il contesto in cui la banca si trova a operare molto complesso e occorre conciliare le esigenze di protezione, riservatezza e sicurezza con quelle di apertura al cliente e velocità dei flussi informativi. Secondo l’annuale Rapporto Clusit sulla sicurezza ICT in Italia, presentato durante il Security Summit 2016, in relazione a quanto avvenuto nel 2015 e nei primi mesi del 2016, vi sono elementi di preoccupazione tra gli addetti ai lavori. Infatti, il settore banking/finance ha avuto un incremento in termini di vittime del 28% rispetto al 2014.
La vicenda specifica del piano di penetrazione nelle banche, denominato Carbanak ed esaminata nel rapporto, è stata forse la più grande cyber-rapina del 2015, e probabilmente di tutti i tempi, ed è stata compiuta ai danni di oltre 100 istituti bancari appartenenti a più di 30 paesi, Italia inclusa, con un danno stimato di almeno un miliardo di dollari. «Carbanak mostra come gli attacchi diventino sempre più sofisticati e importanti» – afferma Claudio Telmon, membro del comitato direttivo di CLUSIT. «Per l’intero settore dei pagamenti online – prosegue Telmon – è un periodo di grande fermento, con nuovi strumenti che si portano inevitabilmente dietro anche nuovi rischi da gestire». Attenzione particolare è anche rivolta agli attacchi, sempre più sofisticati, verso gli ATM (bancomat) e le transazioni online. L’European ATM Security Team ha recentemente confermato che sono stati registrati crescenti attacchi agli ATM di dieci paesi dell’area SEPA (Single Euro Payments Area) e ha indicato diversi fattori che hanno favorito l’utilizzo di hacking toolkit contro gli ATM, il principale dei quali è la mancata sostituzione di Windows XP. Parallelamente, l’European Cybercrime Centre di Europol (EC3), nel suo rapporto, ha segnalato un incremento del 15% degli attacchi agli ATM dal 2014 al 2015, per un danno complessivo di oltre 150 milioni di euro.
La risposta delle banche
«Le banche italiane hanno introdotto e rafforzato presidi strutturati di cyber security a protezione del cliente e dei propri asset informatici. Ne sono una dimostrazione i livelli di spesa, sempre costanti o in aumento, che le banche hanno definito per l’introduzione e l’aggiornamento delle soluzioni tecnologiche e delle procedure di contrasto e prevenzione delle frodi» – sottolinea Pierfrancesco Gaggi, presidente del Consorzio ABI Lab. Il centro di ricerca e innovazione per la banca, all’interno dell’ABI – Associazione Bancaria Italiana -, è un’importante e qualificata organizzazione per fare il punto sullo stato dell’arte, sulle prospettive future e sulle più innovative metodologie e tecnologie per la sicurezza nella finanza, coinvolgendo tutti gli stakeholder. «È oramai sempre più radicata tra le banche –
continua Gaggi – la consapevolezza della necessità di fare sistema, per massimizzare l’efficacia delle azioni di contrasto e prevenzione. In questo contesto, il Consorzio ABI Lab da tempo supporta le banche italiane nell’analisi del fenomeno del cybercrime, nella condivisione delle informazioni rilevanti per il settore, prefiggendosi di rafforzare tale presidio nei mesi a venire, e nella collaborazione con le istituzioni di riferimento». Fra tutte, risaltano le collaborazioni operative, oramai consolidate, con la Polizia Postale e delle Comunicazioni e con il CERT Nazionale. «Non da ultimo – conclude Gaggi – il carattere transnazionale delle frodi informatiche e dei cyber-attack, spesso realizzati da organizzazioni criminali dislocate in più punti oltre confine, richiede un rafforzamento della cooperazione tra banche, associazioni e forze di polizia anche a livello europeo. È per questo che ABI Lab, in rappresentanza del settore bancario italiano, partecipa attivamente ai tavoli di networking e di information sharing promossi dalla Federazione Bancaria Europea, dallo European Payments Council e dall’ENISA, con l’obiettivo di acquisire una visione d’insieme e un aggiornamento tempestivo dei fenomeni fraudolenti in atto e della loro evoluzione su scala internazionale». Tutto si può migliorare, ma l’impatto effettivo delle frodi sui clienti bancari è, al momento, ritenuto limitato, come testimonia il rapporto ABI Lab.
«Le strategie di difesa di reti e dati adottati nell’ultimo decennio da banche e aziende del comparto finanziario devono adattarsi al nuovo approccio ibrido dell’IT attuale» – sostiene Umberto Pirovano, consulting system engineer global financial services di Fortinet. Gli scenari evoluti di multicanalità, la necessità di aumentare flessibilità ed elasticità delle proprie risorse IT per adattarsi rapidamente alle esigenze di un business più volatile, l’erogazione di nuovi servizi nel retail, hanno definitivamente modificato il concetto di protezione del perimetro. «Infatti – continua Pirovano – il supporto di piattaforme mobili, l’adozione di risorse in cloud, la connessione in rete di sistemi eterogenei fuori dal ciclo di patch and upgrade (sistemi di domotica, sensori, dispositivi basati su sistemi operativi embedded) richiedono la disponibilità e la movimentazione dei dati in modalità molto più complesse e varie rispetto al passato e con volumi aumentati, aprendo nuove opportunità di attacco ai criminali informatici». La sicurezza di rete richiede un nuovo livello di segmentazione interna in grado di fornire una protezione completa continua e uniforme contro le minacce avanzate unita alla compartimentazione di utenti, dispositivi e applicazioni. Gli elementi base richiesti per ottenere un livello di protezione ottimale nell’hybrid IT moderno – spiega Pirovano – sono «una piattaforma unica in grado di fornire alta velocità di processo e alta densità di porte di connessione, capacità di operare su reti ibride e software-defined in private e public cloud con soluzioni fisiche o virtuali, piena integrazione con tecnologie di protezione ATP (Advanced Persistent Threat) con software explosion per la ricerca di zero-day attack e malware, il tutto supportato da una struttura di cyber intelligence con copertura mondiale e da sistemi di log analysis e gestione centralizzata uniforme».
Gli fa eco Federico Riboldi, business program manager di Fujitsu Italia. «Noi interveniamo principalmente a livello di infrastruttura IT, a seconda delle esigenze del cliente. Sul piano applicativo, supportiamo i clienti nella migrazione a piattaforme più moderne, sulle quali poter sviluppare nuovi servizi, in un’ottica cloud-oriented». A livello infrastrutturale, le soluzioni Fujitsu garantiscono la sicurezza completa fino al controllo degli accessi. Su questo tema l’azienda vanta soluzioni di sicurezza biometrica all’avanguardia: attraverso il riconoscimento del volto, dell’impronta digitale e, la più innovativa, del reticolo venoso della mano. «Per poter sfruttare le tecnologie più innovative senza l’incombenza di realizzare progetti internamente – spiega Riboldi – le società ricorrono sempre più a soluzioni cloud based e a servizi erogati in modalità as a Service. In questo quadro, diventa fondamentale implementare soluzioni con un livello di sicurezza intrinseco molto alto, come quelle che consentono il riconoscimento biometrico o quelle che garantiscono la sicurezza nell’utilizzo dei nuovi modelli di interazione omni-canale». Le filiali bancarie, per esempio, stanno evolvendo e cambiando rispetto al passato: non solo un punto di contatto con il territorio, ma facilitatori di un servizio che deve essere erogato e fruito in un ambiente protetto. Non si tratta più solo di una sicurezza applicativa ma anche fisica. «In Italia, siamo coinvolti in diversi progetti sperimentali – conclude Riboldi.
Possiamo citare Papillon realizzato da UniCredit e basato sull’utilizzo della nostra tecnologia PalmSecure: il passaggio del palmo sullo scanner comprova l’unicità dell’identità di chi sta compiendo l’operazione». A livello internazionale, in Brasile, Banca Bradesco ha inserito la tecnologia PalmSecure nei propri ATM con l’obiettivo di riconoscere l’utente ed evitare le frodi. «Gli impatti principali delle nuove modalità di attacco, come i crypto ransomware, richiedono una protezione maggiore della infrastruttura stessa» – sottolinea Maurizio Martinozzi, manager sales engineering di Trend Micro. «Bisogna procedere, quindi, in parallelo e sviluppare sia i processi, che la governance e le certificazioni nonché gli aspetti tecnologici». Nell’attuale contesto, occorre proteggere le nuove tecnologie, per esempio il cloud, nel momento in cui viene adottato e pensare a una diversa implementazione di sicurezza visto che l’infrastruttura è esterna. «L’IT manager che ha deciso di implementare un servizio nel cloud – conclude Martinozzi – deve chiedere all’abilitatore dei servizi una sicurezza maggiore, che in area finance deve praticamente essere interamente customizzata e riguardare l’integrità e disponibilità dei dati, nonché gli accessi privilegiati con cifratura». Le infrastrutture che offrono servizi e sono abilitanti in questo segmento di mercato possono essere virtualizzate o portate in cloud ed è lì che si devono implementare le soluzioni di sicurezza.
«Gli strumenti attuali a disposizione dei centri operativi di sicurezza non sono sufficienti a proteggere i dati di un mondo ultraconnesso e non sono in grado di gestire attacchi di cyber criminali sempre più preparati» – afferma Romain Picard, regional director di Cloudera South EMEA. «In questo scenario, le sfide che l’organizzazione deve affrontare riguardano principalmente l’impossibilità di accedere ai dati e i tempi lunghi per risolvere le minacce». Per scoprire un comportamento atipico, il volume di informazioni da monitorare e analizzare è sempre maggiore e le imprese devono, quindi, bilanciare e gestire in modo corretto la massiccia proliferazione di dati. «Un hub di dati per la cyber security, come la piattaforma Cloudera Enterprise Data Hub – continua Picard – rappresenta la soluzione più adatta a rilevare le minacce nelle prime fasi del processo di attacco ed è in grado di acquisire, memorizzare e analizzare qualsiasi volume di dati relativi alla sicurezza». Basato sulla tecnologia Apache Hadoop, l’hub è in grado di rilevare anche i più piccoli cambiamenti comportamentali di un utente o di un sistema, che sono tradizionalmente gli indicatori di violazione più affidabili. «Gli istituti finanziari più lungimiranti – conclude Picard – hanno optato per lo sviluppo di tali soluzioni, le sole in grado di rilevare, gestire e risolvere le minacce più sofisticate».
La cyber physical security
Tutto ciò sta trasformando drasticamente la strategia di gestione della sicurezza in banca. Sempre di più si assottigliano le divisioni tra sicurezza fisica e sicurezza logica, tra mondo reale e mondo digitale. Quello che non cambia, ma anzi si rafforza è la centralità, a livello di governance, della gestione della sicurezza come tessuto connettivo di tutte le aree di business. Il presidio e la difesa del patrimonio della banca (umano, informativo, economico), nonché la tutela della continuità operativa, richiedono aggiornamenti continui, investimenti, innovazione, per rispondere prontamente alle nuove minacce. Si profila, quindi, la cyber-physical security che unisce insieme tutti gli aspetti di sicurezza in modo proattivo e che va oltre la prevenzione. La sicurezza diviene, così, un’attività sempre più trasversale, che coinvolge strutture differenti. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi che coinvolga in maniera orizzontale le strutture interessate: sicurezza logica, business continuity, sicurezza fisica, business intelligence. Vi è poi la necessità, sempre più indispensabile, di interconnessione a livello globale.
Con questa consapevolezza l’ABI, in collaborazione con OSSIF e Security Brokers, ha organizzato “Banche e Sicurezza 2016”, il convegno annuale sulla sicurezza in banca. Un evento unico in Italia, aperto dal presidente di ABI Lab, Pierfrancesco Gaggi e svoltosi a Milano il 26 e 27 maggio scorso. Gestire i rischi in ottica di sicurezza integrata vuol dire rispondere a una richiesta precisa e pressante che impone di acquisire una complessa visione d’insieme e di fare le scelte giuste. Occorre quindi pianificare e implementare un’organizzazione di sicurezza che sia in grado di far “girare” il sistema in modo proattivo a raggiungere gli obiettivi di business e di sicurezza insieme. In questo modo, la sicurezza non è più un mero costo ma diviene un elemento di qualità e differenziazione del prodotto. A tal fine, è fondamentale rivedere il modello di approccio trasformandolo come elemento centrale di una strategia maggiormente focalizzata. La governance della sicurezza deve essere inserita all’interno di un processo di alta direzione con una visione sistematica e una collaborazione stretta con il sistema bancario e il sistema nazionale ed europeo di sicurezza. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (integrata) ed esterna alla banca (globale) che, allo stesso tempo, coinvolga anche le istituzioni nazionali preposte. Questo non significa “semplicemente” proteggere la filiale, la sede, le infrastrutture e l’IT, ma realizzare un’infrastruttura di cyber physical security resiliente e proattiva, considerando quindi anche la continuità dei processi e delle operazioni di business. Significa progettare tutti gli asset e i servizi, a partire, per esempio, dalle applicazioni, affinché siano intrinsecamente sicure: una sicurezza by design che si può raggiungere non solo nelle nuove organizzazioni, ma si può impostare come approccio evolutivo per quelle esistenti.
L’attivazione del ciclo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” assume importanza strategica per la banca, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti e i partner fonda da sempre la propria operatività. Il nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale e di proiettare il fenomeno anche all’esterno con un approccio proattivo e globale.
La cyber intelligence secondo BT
Piattaforme, big data ed esperti per ridurre il rischio
I big data e l’intelligence relativa alle minacce stanno diventando una componente chiave della sicurezza, ed avere una rete globale offre la massima visibilità sulle cyber activity. BT raccoglie, analizza e condivide le più aggiornate informazioni per permettere di modificare in tempo reale i controlli e di rispondere in modo più veloce e organico, chiudendo il gap tra rilevazione e risposta. «Con BT Assure Cyber siamo in grado di riunire la mole di dati provenienti dai sistemi di sicurezza con quelli della rete aziendale, analizzandoli insieme con altre informazioni rilevanti» – spiega Mark Hughes, CEO di BT Security. «Per far questo BT ha costruito una propria piattaforma big data in grado di segnalare immediatamente i sistemi potenzialmente minacciati, soppesandone i rischi, e isolare i soli eventi rilevanti». La soluzione è molto efficace anche nella verifica delle minacce persistenti, grazie all’analisi di tutte le anomalie. Inoltre, per dare alle grandi organizzazioni una miglior comprensione dei rischi di sicurezza ai quali sono soggette e per implementare le giuste misure di contrasto, BT ha di recente lanciato il nuovo programma di consulenza Cyber Roadmap Consulting.