La sicurezza sta evolvendo verso la pervasive security integrata. Il Governatore Banca d’Italia Visco: «La trasformazione digitale rappresenta una leva di crescita imprescindibile per sostenere la ripresa. Ma i benefici saranno diffusi solo se sapremo governare i rischi»
«La transizione digitale nel credito è irreversibile e coinvolge tutte le fasi della gestione dei finanziamenti dalla concessione al rimborso, inclusi gli interventi sui prestiti problematici. L’innovazione tecnologica consente di ridurre i costi di ingresso sul mercato in segmenti specifici dell’offerta di credito, dai mutui al factoring e ai prestiti personali, e di sviluppare forme di finanziamento disintermediate, quali quelle del crowdfunding». Con queste parole il governatore della Banca d’Italia, Ignazio Visco, apre il suo intervento “La transizione digitale nel credito”, il 22 aprile scorso, in occasione della inaugurazione del Fintech-Milano Hub: il nuovo polo di innovazione realizzato dalla Banca d’Italia per sostenere l’evoluzione digitale del mercato finanziario italiano. «Quello che sta coinvolgendo il mondo del credito e della finanza – sostiene Visco – è un cambiamento rapido, trainato dal digitale, in cui per le aziende del settore sarà fondamentale sviluppare e consolidare la capacità di innovare per mantenere la competitività in un momento in cui i mercati stanno dando vita a una robusta riorganizzazione».
Le nuove tecnologie ridefiniscono anche l’organizzazione dei perimetri aziendali, con un crescente ricorso all’esternalizzazione di fasi rilevanti dei processi produttivi, dalla conservazione dei dati ai sistemi informatici. Ne consegue una nuova configurazione dei rischi operativi, più articolata e più complessa, che interessa la pianificazione della business continuity, la cybersecurity, la protezione delle informazioni e la resilienza operativa. «La digitalizzazione della finanza – ha concluso Visco – rappresenta solo una parte, pur rilevante, del più generale processo di transizione digitale della nostra società. Questo costituisce una leva di crescita oramai imprescindibile per sostenere la ripresa delle economie, così duramente colpite dalla crisi pandemica. Ma i benefici saranno diffusi solo se sapremo governare i rischi». Sulla stessa lunghezza d’onda sono state anche le conclusioni dell’annuale convegno ABI su Banche e sicurezza svoltosi dal 25 al 26 maggio. «L’emergenza sanitaria ci ha proiettati in un mondo drasticamente digitalizzato che genera grandi opportunità ma rende al contempo il cyber risk uno dei punti di maggior attenzione sui tavoli dei board bancari». Le banche si trovano, quindi, a gestire una mole enorme di dati dovendo assicurare alla clientela protezione da utilizzi malevoli, stabilità operativa e velocità d’esecuzione. Questo rende essenziale ragionare in ottica di security e resilience by design tramite strategie mirate per ognuno dei tre fattori critici: persone, tecnologie, fornitori e terze parti.
INVESTIRE E RIPROGETTARE
«Per le istituzioni finanziarie europee l’ultimo anno e mezzo ha rappresentato un periodo di sfide enormi che le stesse aziende non vivevano dai tempi della crisi finanziaria ed economica del 2008» – afferma Diego Pandolfi, research & consulting manager di IDC. Nel clima di incertezza globale, segnato dalla pandemia e dalla recessione economica, le aziende del settore si sono trovate a dover garantire la continuità operativa, ad abilitare tempestivamente il lavoro da remoto e allo stesso tempo a rispettare e implementare le normative sui temi della protezione dei dati, privacy e pagamenti digitali.
«Gli sforzi indirizzati a ottimizzare il business digitale hanno richiesto, inoltre, continui investimenti in innovazione anche durante il 2020 e il 2021 – prosegue Pandolfi – con l’obiettivo di abilitare la resilienza e rispondere in modo adeguato alle nuove esigenze dei clienti». In pochi mesi, le istituzioni finanziarie hanno dovuto intraprendere strategie di trasformazione digitale che forse avrebbero impiegato anni prima di essere implementate: tra queste, spicca la progressiva adozione del cloud (anche in Italia) ambito sul quale le banche hanno sempre mostrato in passato una certa ritrosia. In base ai dati di IDC, il settore finanziario tradizionalmente mostra una certa maturità nell’ambito della cybersecurity con i livelli di spesa tecnologica più alta rispetto ad altri settori, questo a causa sia di una forte pressione normativa sia per la maggiore presenza di dati e informazioni sensibili da proteggere che sono parte integrante del business. «Tuttavia, dal 2020 – spiega Pandolfi – le aziende del settore hanno dovuto riprogettare in parte i propri perimetri di sicurezza per proteggere operations, dati, accessi e garantire la continuità operativa nel nuovo scenario». Oltre il 40% delle istituzioni finanziarie europee ha dichiarato, infatti, che gli investimenti in sicurezza hanno subito un’accelerazione e sono stati guidati dalle nuove esigenze operative. In base ai dati IDC, le priorità sulle quali oggi le istituzioni finanziarie europee si stanno focalizzando sono: la gestione degli utenti, identità e accessi (per oltre il 35% delle realtà), il miglioramento della visibilità dell’IT aziendale (34% delle aziende) e la compensazione della carenza di competenze (per oltre il 30%). In base alle previsioni IDC, gli investimenti complessivi in cybersecurity da parte delle banche europee cresceranno nel 2021 del 7% e nel 2022 addirittura del 9%, a dimostrazione della necessità di rispondere alle nuove esigenze di protezione del business digitale. Nel dettaglio, le aree tecnologiche che secondo IDC conosceranno la maggiore espansione sono quelle della business-to-consumer (B2C) identity management, la cloud security, advanced threat detection/endpoint detection and response e l’ambito security analytics (incluso behavior analysis e anomaly detection).
Dalle ultime ricerche di IDC emerge, infine, che tra le principali sfide ancora aperte in ambito sicurezza per il settore – oltre alla necessità di continue attività di formazione, awareness e gestione delle competenze interne – spiccano in molti casi team di security sotto-staffati e con poco tempo da dedicare ad attività di security investigations, la difficoltà di bilanciare le priorità di security con quelle di business e la complessità di utilizzo di diverse soluzioni e dashboard spesso non integrate tra loro. «Nei prossimi mesi – conclude Pandolfi – gli sforzi che le aziende dovranno indirizzare per raggiungere adeguati livelli di cyber resilienza necessiteranno di essere condivisi tra tutti i dirigenti e i manager aziendali (incluso il board e il top management). Il chief information security officer (CISO) sarà chiamato a svolgere un ruolo di leadership più diretto nell’ambito della resilienza informatica e sarà estremamente importante che coinvolga gli altri leader tecnologici e di business».
SICUREZZA IN CINQUE MOSSE
La pandemia ha messo in evidenza l’estrema fragilità delle aziende e delle Istituzioni rispetto alle tematiche di cybersecurity – «soprattutto quando un evento straordinario amplia in maniera esponenziale la superfice di attacco sfruttabile dai cyber criminali» – spiega Garibaldi Conte, membro del comitato scientifico CLUSIT. Il Rapporto CLUSIT 2021 registra, infatti, nel 2020 un aumento degli attacchi cyber a livello globale pari al 12% rispetto al 2019. Tale trend è comunque costante negli ultimi 4 anni, considerando che gli attacchi cyber dal 2017 sono aumentati del 66%. Specificamente per il settore banking/finance il rapporto evidenzia un trend costante (-3% rispetto all’anno precedente), ma, se si osserva la severity degli attacchi sferrati e andati a buon fine, si può notare come gli attacchi classificati come “gravi” siano aumentati dell’8% rispetto all’anno precedente. «Da questi dati – continua Conte – si può evincere che le numerose iniziative e normative in ambito cybersecurity (PSD2, PCI/DSS, etc.) hanno reso i servizi finanziari più sicuri soprattutto dal lato utilizzatori, ma indicano anche che i cyber criminali stanno sviluppando e utilizzando tecniche di attacco sempre più mirate e sofisticate (le tecniche catalogate come “unknown” sono aumentate del 17,4% e quelle catalogate come multiple techniques/ATP del 46,2%) che sono in grado di produrre impatti molto elevati». Anche CLUSIT osserva, comunque, che il settore banking/finance è uno di quelli maggiormente normati in ambito cybersecurity. Questo da una parte solleva qualche difficoltà agli operatori nel conformarsi a tutte le norme, ma dall’altra rende i servizi finanziari più sicuri rispetto ad altri comparti. Secondo Conte di CLUSIT, gli aspetti su cui gli operatori finanziari dovrebbero lavorare per ottenere un ulteriore livello di maturità della cybersecurity sono cinque: 1) integrazione degli aspetti di cybersecurity in tutti i processi e implementazione di security by design; 2) adozione di soluzioni, tecniche e organizzative, sicure e certificate; 3) implementazione di un servizio di threat intelligence efficace e integrato con gli altri operatori e le autorità operanti nel settore; 4) controllo dei rischi cyber continuo e completo, con particolare attenzione ai rischi delle terze parti; 5) aumento dell’awareness dei propri stakeholders, e in particolare del management, per superare la logica della cybersecurity intesa come obbligo normativo.
NON SOLO MINACCE ESTERNE
«Le banche non devono più preoccuparsi solo delle minacce esterne, ma anche di quelle interne, amplificate dalla recente evoluzione verso il lavoro da remoto» – sottolinea Luca Maiocchi, country manager di Proofpoint Italia. Secondo il report dell’azienda “2020 Cost of Insider Threats: Global”, il settore dei servizi finanziari è stato il più colpito dalle minacce interne, con costi annuali medi più alti pari a 14,5 milioni di dollari e un aumento del 20,3% negli ultimi due anni. Gli attacchi BEC lanciati dall’interno, e quindi difficili da rilevare, e EAC sono sempre più usati dai cyber criminali, motivati finanziariamente, in quanto l’invio di e-mail fraudolente è economico e non richiede la creazione di malware costosi e sofisticati. «In questo momento, per proteggere adeguatamente dipendenti e dati è opportuno che le istituzioni finanziarie diano priorità a un approccio alla sicurezza incentrato sulle persone – continua Maiocchi – e in grado di proteggere tutti: dipendenti, clienti e partner. Raccomandiamo, in particolare, di adottare difese a più livelli su edge di rete, gateway di posta elettronica, cloud ed endpoint, implementando anche strumenti come il DMARC (domain-based message authentication, reporting & conformance) un protocollo di autenticazione per la convalida dei messaggi e-mail e SPF (sender policy framework) che certifica la validità di ogni e-mail inviata da un determinato dominio».
In effetti, per le minacce interne, le banche devono essere in grado di rilevare in tempo reale le eventuali anomalie di comportamento da parte di account specifici, in particolare per quanto riguarda le modalità di accesso e l’esfiltrazione di informazioni sensibili. «È importante – aggiunge Maiocchi – che venga data priorità alla formazione sulla cybersecurity per garantire che dipendenti e fornitori siano consapevoli della loro importanza e aggiornati sulle policy più recenti». Data la complessità delle infrastrutture è fondamentale anche essere in grado di rispondere rapidamente a qualsiasi anomalia rilevata nel cloud, nella posta elettronica e negli endpoint. Oltre all’adozione di sistemi di validazione sul modello DMARC, anche le soluzioni CASB (cloud app security broker) possono fornire i livelli di accesso appropriati in base a fattori di rischio specifici.
Secondo l’Osservatorio Cyber di CRIF, nel secondo semestre 2020 i furti di dati personali sul web sono cresciuti del 56,7%. «Le banche sono da sempre attente alla cybersecurity ma lo scenario è cambiato» – spiega Elisabetta Pancaldi, senior director di CRIF. «Gli attacchi non si rivolgono solo ai sistemi informativi ma sfruttano, per esempio, tecniche quali phishing e social engineering, per cui i clienti devono essere più informati sui rischi e coinvolti nella gestione e protezione dei propri dati personali e account». In quest’ottica, molti istituti si sono già attivati con strumenti di “education” verso famiglie e imprese e nella proposta di servizi a valore aggiunto. «L’accelerazione digitale portata dalla pandemia ha reso impellente la necessità di sicurezza e ha aumentato la sensibilità verso questi temi» – continua Elisabetta Pancaldi. «In particolare, le aziende sono chiamate ad affrontare cyber risk sempre maggiori, che comportano rischi operativi ed economici, oltre che reputazionali». Ricordiamo che il GDPR prevede multe fino al 4% del fatturato globale in caso di data breach. Coerentemente, anche i sistemi per la cybersecurity devono evolvere. Nei servizi a valore aggiunto che CRIF offre ai clienti delle banche partner uno dei fattori abilitanti è rappresentato dall’intelligenza artificiale per scoprire costantemente nuove fonti di dati compromessi, al fine di inviare proattivamente avvisi per un’azione immediata.
NUOVA SUPERFICIE DI ATTACCO
«Le banche stanno adottando i principi di security by design, in cui i controlli di sicurezza personalizzati vengono sviluppati e incorporati nella struttura principale dei nuovi canali tecnologici man mano che sono resi operativi» – afferma Nicola Vanin, chief information security officer di Cedacri. Negli ultimi tre anni, il cloud è stata la principale tecnologia emergente nelle grandi istituzioni finanziarie e molte di queste hanno già una parte significativa della loro infrastruttura IT in cloud. «Il prossimo round di adozione – prosegue Vanin – sarà guidato dalla migrazione delle principali applicazioni aziendali. Molte banche stanno anche sviluppando e distribuendo nuove app per il mondo digitale direttamente sul cloud». Tuttavia, con più dati e applicazioni che si spostano al di fuori del perimetro di sicurezza tradizionale, il rischio di attacchi informatici aumenta. «In ambito AI, l’apprendimento automatico e l’automazione dei processi – spiega Vanin – sono fattori che aiutano le istituzioni finanziarie a trasformare le operazioni e ottenere riduzioni di costi». Sebbene le aziende stiano prendendo precauzioni durante lo sviluppo e la formazione, queste tecnologie sono ancora in evoluzione, con gli utenti che si stanno lentamente abituando a lavorare con soluzioni robotiche e bot. «Ciò significa – continua Vanin – che gli hacker hanno una superficie di attacco completamente nuova che può essere sfruttata per penetrare nei sistemi di un’organizzazione». Una serie di tecnologie in evoluzione sta permettendo di migliorare la sicurezza e contrastare le minacce sempre più dannose e dirompenti nel Finance: AI, machine learning e automated and adaptive networks. «I sistemi informatici che impiegano queste tecnologie – continua Vanin – sono una delle principali aree di interesse e investimento della ricerca sulla cybersecurity in quanto scoprire, classificare e sintetizzare i dati è sicuramente un vantaggio per mitigare le minacce, proteggersi da malware, ransomware e attacchi di ingegneria sociale».
Le reti automatizzate e adattive – come mette in evidenza Vanin – consentono la scansione dell’orizzonte e il monitoraggio delle reti in grado di segnalare deviazioni e anomalie in tempo reale, l’aggiornamento automatico dei livelli del framework di difesa (rete, payload, endpoint, firewall e antivirus) e le analisi diagnostiche e forensi. Cedacri, in effetti, ha investito molto nello sviluppo di un SOC (security operational center) di nuova generazione per identificare, indagare e mitigare le minacce a livello globale e in particolare negli endpoint e nel cloud. «Il SOC Cedacri – spiega Vanin – segue una metodologia che utilizza punti di applicazione della sicurezza e strumenti di ricerca delle minacce che si integrano in modo nativo. L’integrazione nativa dei componenti di sicurezza a livello di rete, endpoint e cloud si traduce in una correlazione più rapida degli eventi e in una risposta automatizzata agli attacchi informatici, aumentando notevolmente la resilienza di tutto lo stack tecnologico. Le organizzazioni finanziarie che hanno adottato la nuova piattaforma come fulcro dell’architettura di sicurezza realizzano una vera riduzione del rischio informatico e molti altri vantaggi rispetto alle architetture tradizionali».
COME RIDURRE IL RISCHIO
«L’evoluzione dei servizi finanziari verso soluzioni più connesse e servizi cloud, da pochi anni presenti nel panorama italiano, implica la necessità di ripensare la cybersecurity per proteggere una superficie di attacco più estesa e meno controllabile» – concorda Luca Mantini, security solution engineering – area manager – di Maticmind. È fondamentale acquisire consapevolezza della propria esposizione e dei rischi connessi nell’adozione di nuove soluzioni e servizi IT. Il primo passo da prevedere è la definizione di una strategia di governance della IT security, che porti a individuare le aree scoperte e implementare le azioni correttive. «Ormai siamo abituati a operare su piattaforme Internet e home banking per mezzo di dispositivi mobili» – prosegue Mantini. «La cybersecurity deve essere integrata nei processi di sviluppo applicativo sempre più rapidi (ovvero la security by design), in modo da consentire di proteggere le aziende e i loro clienti con il minimo impatto sull’usabilità dei servizi. Soluzioni basate su AI, controllo delle identità e analisi comportamentale fanno parte – conclude Mantini – del bagaglio di strumenti di cybersecurity indispensabili per consentire di prevenire attacchi complessi e alla portata di un numero crescente di individui». Maticmind, in effetti, si è strutturata per accompagnare le aziende dalle fasi di assessment (metodologie cybersecurity framework, NIST, ENISA, SANS20), passando per la progettazione e realizzazione delle soluzioni, fino all’erogazione di servizi gestiti (SOC certificato ISO 27001) e attività di VA/PT, con metodologie OSTMM, PTES, OWASP e WAHH e con controlli per PCI-DSS e Bancomat.
«L’utilizzo del mobile sta conquistando sempre più fasce di consumatori sia per quanto riguarda le funzioni di pagamento che per quelle di controllo» – spiega Salvatore Marcis, technical director di Trend Micro Italia. «Ma i dispositivi mobili sono soggetti a compromissioni e al furto dei dati, che sono un asset importante da salvaguardare soprattutto nel settore finanziario. La sicurezza dato-centrica è sempre più fondamentale e bisogna quindi prestare attenzione alle interconnessioni dei dati con gli altri istituti, istituzioni o fornitori esterni». Va quindi ridefinito il concetto stesso di sicurezza, portandola dentro i processi secondo un approccio di security by design. «I produttori dovrebbero stare molto attenti ogni volta che lanciano un nuovo prodotto sul mercato e fare in modo che non contenga vulnerabilità o difetti che possono essere sfruttati per minare la sicurezza» – continua Marcis. «Il criterio per lo sviluppo degli attacchi è quello di una monetizzazione sempre più rapida e questo include anche il riscatto preventivo». In quest’ottica, vengono utilizzati ransomware, ma anche altre tecniche come gli attacchi “business email compromise” o “business process compromise”. «Nell’evoluzione della security, siamo passati dalla messa in sicurezza dei PC alla sicurezza perimetrale e a quella del dato» – afferma Marcis. «Negli ultimi 20 anni, si è sempre cercato di prendere il meglio delle tecnologie in ogni singolo layer di sicurezza». Oggi, la soluzione per ridurre il rischio è condividere le informazioni di intelligence e quindi evitare di utilizzare tecnologie di vendor diversi che non comunicano tra di loro. Come spiega Marcis, in un progetto di security ideale, quello che serve sono difese multilivello, che proteggano e scansionino i sistemi sia in verticale (interno-esterno) che in orizzontale (tra i vari sistemi interni) fino al mobile, offrendo in quest’ultimo caso una protezione sicura anche al di fuori dell’azienda. «È importante che in caso di anomalia questa venga subito comunicata a un sistema di controllo centrale, che sia in grado anche in maniera automatica di mettere in piedi delle contromisure e contrastare l’eventuale attacco. Perché nel mondo finanziario, si tende molto a suddividere le competenze mentre è importante adottare un approccio sistemico per una gestione integrata e condivisa della sicurezza».
Infatti, le aziende dei servizi finanziari devono valutare la loro capacità di tenere il passo con le richieste dei clienti e la capacità di innovare rapidamente – sottolinea Didier Schreiber, regional marketing director, Southern Europe di Zscaler. «Se vogliono sopravvivere ai rapidi cambiamenti, messi in risalto dalla pandemia globale, devono rivedere il modello classico brick-and-mortar. Solo appoggiandosi veramente, per esempio, ai benefici dell’infrastruttura cloud, il settore potrà liberarsi dai limiti del legacy». Cambia anche l’approccio alla cybersecurity che dai modelli tradizionali – conferma Schreiber – si sta spostando verso l’approccio Zero Trust che può essere la migliore soluzione per i servizi finanziari. «Perché permette al traffico di fluire in modo sicuro tramite Internet invece di dover passare attraverso l’infrastruttura aziendale, il che permette di avere filiali senza necessità di manutenzione». Che si tratti di sviluppare nuove soluzioni, criptovalute, nuovi servizi transfrontalieri, limitare le frodi o gestire nuovi processi di conformità normativa, le aziende hanno bisogno di sostenere la loro strategia con una piattaforma moderna, robusta, agile e scalabile che permetta al business di innovare. Zero Trust Exchange di Zscaler è una piattaforma SASE appositamente progettata e basata sul cloud che connette in modo sicuro utenti, dispositivi e app, utilizzando politiche aziendali su qualsiasi rete. «Veloce, sicuro e scalabile, bilancia le priorità di sicurezza dell’organizzazione con l’esperienza dell’utente per rendere il cloud un luogo sicuro per il business» – conclude Schreiber. Negli scorsi mesi Zscaler ha gestito il caso di National Australia Bank (NAB) che fornisce una gamma completa e integrata di prodotti e servizi finanziari, con operazioni in Australia, Nuova Zelanda, parti dell’Asia, Regno Unito e Stati Uniti. Lavorando con Zscaler, NAB ha fornito un accesso remoto sicuro a più di 32.000 dipendenti, compresi i team del call center, in sole tre settimane.
SICUREZZA MULTILIVELLO
«La maggior parte degli attacchi vengono eseguiti da reti di criminali ben organizzate che hanno il preciso obiettivo di arricchirsi, estorcendo denaro alle vittime, sfruttando tecniche semplici come l’email phishing» – ribadisce Mike Orosz, VP, information and product security digital solutions di Vertiv. Un attacco di phishing ben riuscito può infatti portare all’acquisizione completa del PC della vittima o ancora a situazioni di ransomware, dove spesso i dati vengono rubati o distrutti. «Le aziende della finanza devono adottare un approccio strutturato alla cybersecurity» – spiega Orosz . «Occorre definire una strategia di sicurezza a più livelli che consenta di garantire che solo le persone giuste abbiano accesso a sistemi e dati sensibili. Anche il controllo puntuale è importante e occorre testare regolarmente per assicurarsi che le policy di sicurezza siano pienamente funzionali». Ogni CISO dovrà parlare con i direttori del business e definire le priorità e le aree dove prestare maggiore attenzione. «Occorre anche approfondire le innovazioni in ambito machine learning e orchestration che adottano processi decisionali basati su algoritmi» – continua Orosz. «Significa che una macchina può rilevare gli indicatori tipici di un attacco e agire senza alcun intervento umano, gestendo il cosiddetto “primo livello di attività” e consentendo ai team di sicurezza di concentrarsi sulle iniziative prioritarie». Vertiv adotta un approccio basato proprio sulle best practice del settore, includendo attività di formazione e cultura interna per diffondere la consapevolezza sulla sicurezza ai dipendenti, ed è impegnata a garantire che la tecnologia sensibile sia adeguatamente sottoposta a backup e mantenuta in sicurezza, offrendo un ecosistema di soluzioni hardware, software e servizi.
«Le banche e le assicurazioni, per la ragione stessa del loro ruolo e del servizio offerto, hanno per prime acceso presidi di difesa del dato, dell’identità e della ricchezza detenuta» – ricorda Sandro Visaggio, BU cybersecurity manager di SCAI Solution Group. Il settore, infatti, rappresenta per antonomasia il mercato più maturo in termini di difesa e presidi di protezione. «La complessità, la varietà e la pericolosità degli attacchi informatici hanno generato come risposta nuove categorie di soluzioni di sicurezza» – continua Visaggio. «Gli strumenti a disposizione del sistema bancario per proteggere le proprie transazioni sono quelli di disporre sempre delle soluzioni tecnologiche più avanzate e adeguate. Non si può certo aspettare che i nuovi attacchi arrivino per reagire sviluppando nuovi sistemi». In particolare, le banche si confrontano con tre macro categorie di pericoli: i malware, i social engineering e la data manipulation. La risposta a queste minacce poggia sulla tecnologia, sui processi e sulla postura di sicurezza conseguita. Le migliori soluzioni anti malware, le più efficaci campagne di awareness e training e l’adozione di strumenti di multi factor authentication (MFA) costituiscono il best of breed della difesa per raggiungere la massima sicurezza integrata a tutela dell’intero settore finanziario.
INVESTIRE SULLE PERSONE
Nel 2020, il settore finance è stato l’obiettivo preferito della criminalità informatica, e in questo scenario – spiega Maurizio Zacchi, marketing director di Cyber Guru – «il fattore umano continua a essere il principale punto di attacco utilizzato per indebolire il sistema difensivo messo in piedi dai team di cybersecurity». Esiste, infatti, uno strano paradosso nella cybersecurity: più le difese tecnologiche evolvono, più il fattore umano si indebolisce e diventa più vulnerabile agli attacchi cyber. «L’eccessiva fiducia nelle nuove tecnologie – spiega Zacchi – rischia di portare gli utenti ad abbassare la guardia rispetto alle minacce. E così le organizzazioni si sono scoperte vulnerabili nonostante gli ingenti investimenti tecnologici effettuati». Seguendo i modelli Zero Trust, è necessario presupporre che gli attaccanti siano in grado di trovare le falle del sistema difensivo e utilizzarle a loro vantaggio. Anche gli utenti devono riuscire a percepire la loro esposizione al rischio e mantenersi pronti a reagire nel modo corretto, con un profilo comportamentale efficace. «La formazione e l’addestramento degli utenti restano quindi centrali rispetto a qualsiasi strategia di cybersecurity» – conclude Zacchi. «Quello che è accaduto nel 2020, con l’esplosione degli attacchi cyber correlati con il fenomeno pandemico e con il ricorso generalizzato allo smart working, ha reso ancora più evidente la necessità di investire sulle persone e sui loro comportamenti».
È dello stesso avviso Alessio Porcellati, group CIO, direttore sistemi informativi di DGS (partner Seeweb). «L’evoluzione di un mondo iperconnesso porta a un’accelerazione quadratica della dipendenza tecnologica, influenzata dagli eventi che ne determinano i più grandi rischi di continuità». I maggiori investimenti puntano proprio ad affrontare gli anelli deboli del processo, alla ricerca di soluzioni sempre più avanzate e disruptive. L’esplosione dei perimetri fisici, guidati dagli ecosistemi cloud, ha generato le attuali “hybrid infrastructure”, permettendo al comparto IT e compliance di affrontare la sicurezza di accesso al dato e la sua salvaguardia, guadagnando snellezza e dinamicità con l’utilizzo di tecnologie applicative sempre più avanzate. «Questo ha reso necessario dotarsi di strumenti di governo e monitoraggio più sofisticati e all’altezza del potenziale livello di rischio» – continua Porcellati. «Parallelamente, i punti di accesso alle informazioni si sono moltiplicati con una quantità di oggetti interconnessi esponenziale e la conseguente necessità di nuove logiche alla guida delle strategie di cybersecurity». La protezione e gestione delle molteplici identità digitali dell’individuo diventano un punto cardine. E le tecnologie di machine learning sono particolarmente efficaci in settori come la user and entity behavior analytics (UEBA), che studiando i comportamenti degli utenti, non solo umani, possono identificare comportamenti sospetti e potenziali pericoli. Come ci spiega Porcellati di DGS – i pilastri tecnologici che il partner di Seeweb porta avanti nell’approccio progettuale e operativo della cybersecurity nel settore dei servizi finanziari sono quattro: 1) XDR (extended detection and response); 2) NAC evoluto, per assicurare visibilità, controllo e monitoraggio continui sui dispositivi e ridurre i rischi e per conformarsi agli standard di sicurezza FINRA, GLBA, PCI-DSS, SOX, SWIFT; 3) threat intelligence, collecting, analyzing, evaluating; 4) DevSecOps, embed security, maximize availability, validate compliance.
CONCLUSIONI
L’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” è sempre di importanza strategica nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. La banca si sta, quindi, trasformando digitalmente per coprire il rischio cyber a 360 gradi. Ed è in atto un mutamento radicale: la realizzazione del modello di “pervasive security”. Tale approccio consente di concentrare la responsabilità in un unico punto di raccordo e di gestione al più alto livello manageriale e di gestire il fenomeno anche all’esterno con i necessari raccordi non solo con il sistema bancario, ma anche con il sistema di sicurezza nazionale ed europeo.