Stefano De Polis, Segretario Generale dell’IVASS, è intervenuto al Convegno “La resilienza cibernetica del sistema finanziario italiano: il ruolo dei test TIBER-IT” organizzato dalla sede di Milano della Banca d’Italia a Milano il 13 ottobre 2022.
De Polis ha ricordato come una indagine IVASS nel 2019 evidenziasse che le maggiori imprese valutavano di essere in linea con i requisiti regolamentari e il governo dei sistemi informatici e della cyber security fosse ritenuto adeguato dall’83% delle imprese, con un’ampia maggioranza (90%) che aveva approvato il Piano ICT e iniziative di rafforzamento dei presidi di sicurezza.
Una nuova indagine, appena conclusa, sul grado di attuazione degli “Orientamenti EIOPA sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione” emanati nel 2021, mostra che tutte le imprese assicurative hanno istituito una Funzione dedicata alla sicurezza delle informazioni, spesso esternalizzata all’interno del gruppo di appartenenza.
La gran parte delle imprese – sottolinea De Polis – dispone di meccanismi di autenticazione forte per l’accesso ai servizi. Inoltre, tutte le imprese dichiarano di aver definito un processo di gestione degli incidenti per monitorare e intervenire tempestivamente
in caso di violazioni della sicurezza informatica ed early warning per la loro individuazione
precoce.
Ciononostante negli ultimi anni sono stati segnalati dalle compagnie italiane 9 seri
incidenti informatici, di cui 2 nel 2022.
Gli incidenti gravi devono essere tempestivamente segnalati alle Autorità competenti, tra cui l’IVASS, anche per favorire la predisposizione di contromisure in grado di contenere e prevenire nuovi attacchi, a livello di singola impresa e di sistema.
Ivass rileva che nonostante sia in atto un miglioramento dei presidi dei rischi cyber, con un
aggiornamento costante delle conoscenze sulle minacce, vulnerabilità, incidenti e dei
meccanismi di prevenzione e difesa, rimangono tuttavia aree di criticità.
In sede europea, l’EIOPA, su sollecitazione della Commissione, sta promuovendo un
quadro comune per la segnalazione degli incidenti informatici. Inoltre, il legislatore europeo
sta per emanare il regolamento DORA sulla resilienza operativa, che rafforza i requisiti
sull’ICT risk management e la segnalazione degli incidenti e delle minacce. La norma
richiederà la conduzione per i maggiori operatori di test sulla digital operational resilience
richiamando esplicitamente la metodologia TIBER. Inoltre si stabilisce un regime di
sorveglianza dei fornitori e delle terze parti critiche nell’ambito dei servizi ICT.
L’introduzione a luglio 2022 della metodologia TIBER contestualizzata al mercato
italiano rappresenta secondo De Polis un importante passo avanti nel dotare anche gli operatori assicurativi di strumenti per individuare le vulnerabilità, misurare i rischi e porre in essere azioni di rimedio preventive. Il contesto esterno, sempre più aggressivo e con impatti diretti sul mondo assicurativo che gestisce dati in misura molto rilevante e fornisce anche protezione sui dati degli altri operatori finanziari ed economici.
La Guida nazionale TIBER-IT4 definisce la metodologia e il modello operativo per la
conduzione di test di tipo threat-led penetration testing (TLPT) da parte delle entità
finanziarie italiane, individua le fasi in cui si articola il processo di test, definisce i ruoli, le
responsabilità e le attività dei diversi attori coinvolti, inclusi i fornitori esterni e le Autorità.
Il TIBER-IT simula potenziali attacchi reali riproducendo tattiche, tecniche e procedure
di hacker reali, verificando così le capacità di rilevamento, protezione e risposta delle
imprese sottoposte a test.
De Polis si augura che “le imprese assicurative nazionali, in considerazione
della crescente digitalizzazione dei loro modelli di business, dei servizi forniti e delle
interconnessioni informatiche con altri operatori sul mercato, siano pienamente consapevoli
della necessità di condurre test avanzati sulla sicurezza cyber. Il TIBER-IT rappresenta la
metodologia di riferimento per accrescere la resilienza cibernetica, la capacità di difesa
proattiva e l’efficacia dei sistemi di protezione a seguito dell’esecuzione di test TLPT.
Ci attendiamo ora – nelle more dell’entrata in vigore del Regolamento DORA – che le
compagnie, su base volontaria, mettano in atto attività di test commisurate alla rilevanza e
complessità degli scenari di rischio individuali. L’IVASS seguirà da vicino l’attuazione del
framework, collaborando con il TIBER Cyber Team Italia, con l’obiettivo di rafforzare la
sicurezza dei singoli operatori e la stabilità e resilienza dell’intero mercato assicurativo”.