La survey di Cetif Research evidenzia come il 60% delle realtà bancarie abbia un’infrastruttura tecnologica ibrida, che combina cloud e strutture interne tradizionali, non ancora del tutto in grado di prevenire la minaccia cyber
Come hanno reagito in Italia le principali Istituzioni Finanziarie di fronte agli attacchi cyber avvenuti negli ultimi 5 anni? E che tipo di percezione hanno oggi quelle stesse Istituzioni nei confronti del concetto di Cyber Resilience?
Su questi temi si focalizza lo studio realizzato dal Centro di ricerca dell’Università Cattolica del Sacro Cuore di Milano (Cetif Research) in collaborazione con Cisco e intitolato “Processi di governo e tecnologie per la Cyber Resilience”.
Cyber Resilience come strategia flessibile e preventiva
Dai primi risultati emerge come sia mutato il sentimento attorno alla questione. Se prima come elemento di protezione dagli attacchi Cyber si faceva riferimento esclusivamente all’utilizzo di tecnologie avanzate per la detenzione delle minacce, oggi gli elementi imprescindibili riguardano la combinazione di tecnologia, assetto organizzativo, fattore umano e un’adeguata strategia di comunicazione. Il termine resilience, invece, è un rimando alla capacità di non compromettere le operazioni interne, garantendo il ripristino dei dati e dei processi di network e di servizio.
L’approccio alla sicurezza informativa, dunque, evolve da una strategia event-drive, ossia guidata dalla contingenza, ad una prevenzione della minaccia, con una grande flessibilità soprattutto in termini di risorse, di processi, strutture coinvolte e architetture di rete. Il punto saliente è la condivisione di obiettivi e di strategie di sicurezza informatica con il consiglio di amministrazione, attraverso un flusso stabile di comunicazione.
Tra i diversi attacchi cyber, uno dei più temuti dal mercato finanziario è l’insider abuse, ossia l’abuso proveniente dall’interno.
Puntare alla consapevolezza del personale interno alle organizzazioni
Ulteriore elemento innovativo è che la Cyber Resilience è influenzata, più che dalla formazione finanziaria dei clienti o dalle metodologie di lavoro agile, dalla maturità delle soluzioni tecnologiche, dalla consapevolezza dei dipendenti e della dirigenza. Gli investimenti in tal senso sono cospicui, come tutte le campagne di sensibilizzazione volte a simulare e preparare ad eventuali attacchi tutti i componenti della struttura bancaria. Dall’indagine emerge anche il concetto della fragilità dei fornitori, ossia le cosiddette “terze parti”, non ancora in grado di schermare o fermare i tentativi di attacchi cyber.
Approccio Zero Trust
Una delle soluzioni proposte dal mercato finanziario, seppure difficilmente implementabile in maniera istantanea, riguarda il concetto dello Zero Trust, ossia la diffidenza a fidarsi in maniera implicita dei sistemi e dunque a verificare a prescindere da ruoli e risorse. Vi sono alcune soluzioni tecnologiche in atto proposte dal mercato, tra cui Sistemi di Gestione delle Informazioni sulla Sicurezza, User and Entity Behavior Analytics (UEBA) Identity & Access Management (IAM) per le tecnologie di cybersecurity, Transport Layer Security (TLS) e Secure Access Service Edge (SASE) per la crittografia dati. Pur essendo apprezzato, tuttavia, tale approccio non è il più adottato, rimangono utilizzati per la detenzione delle minacce Secure Web Gateway (SWG), Sistemi di Gestione delle Informazioni sulla Sicurezza (SIEM) ed Endpoint Detection and Response (EDR), mentre per crittografiche la più utilizzata è la Transport Layer Security (TLS), seguita da Federated Identity Management (FIM) e Identity Access Management (IAM).
Principali criticità
Dal punto di vista del mercato si ravvisano ostacoli culturali, che impediscono una piena collaborazione tra i sistemi nel segnalare gli attacchi subiti, o nella condivisione di informazioni fondamentali per prevenire gli incidenti. L’approccio sistemico e cooperativo resta la soluzione più efficace per affrontare le minacce informatiche, ne è esempio la creazione di un Agenzia per la Cybersicurezza Nazionale (ACN) e i progressi in ambito info-sharing avvenuti nel contesto Certfin.
Un ulteriore supporto alla condivisione delle criticità potrà derivare dallo sviluppo regolamentare. Il regolamento DORA, infatti, consentirà alle entità finanziarie di scambiarsi reciprocamente informazioni e dati sulle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme e strumenti di configurazione.