Verte sulla cyber resilience nelle istituzioni finanziarie lo studio commissionato da Cisco al Centro di ricerca dell’Università Cattolica del Sacro Cuore di Milano (Cetif Research).
Che tipo di atteggiamento hanno avuto le principali istituzioni finanziarie in Italia di fronte agli attacchi informatici avvenuti negli ultimi 5 anni? E attualmente che percezione hanno quelle stesse istituzioni nei confronti del concetto di cyber resilience? C’è stata un’evoluzione, e se sì, quale?
Sono questi i temi che emergono dallo studio commissionato da Cisco e intitolato “Processi di governo e tecnologie per la Cyber Resilience”.
Dai primi risultati della ricerca, disponibile sul sito Cetif nella sua versione integrale, emerge che l’approccio verso gli attacchi informatici è cambiato. Se prima per proteggersi venivano utilizzate solo tecnologie avanzate, oggi la difesa viene affidata a un sistema complesso nel quale confluiscono tecnologia, assetto organizzativo, fattore umano e un’adeguata strategia di comunicazione.
Il termine resilience riguarda però un altro tipo di atteggiamento, sottolinea Cisco: si riferisce cioè alla capacità di non compromettere le operazioni interne, garantendo il ripristino dei dati e dei processi di network e di servizio. L’approccio alla sicurezza informativa, dunque, si è evoluta da una strategia event-drive, ossia guidata dalla contingenza, ad una prevenzione della minaccia, con una grande flessibilità soprattutto in termini di risorse, di processi, strutture coinvolte e architetture di rete.
Il punto saliente è la condivisione di obiettivi e di strategie di sicurezza informatica con il consiglio di amministrazione, attraverso un flusso stabile di comunicazione. Tra i diversi attacchi cyber, uno dei più temuti dal mercato finanziario è l’insider abuse, ossia l’abuso proveniente dall’interno.
Un altro elemento nuovo è che la cyber resilience è influenzata dalla maturità delle soluzioni tecnologiche, dalla consapevolezza dei dipendenti e della dirigenza, piuttosto che dalla formazione finanziaria dei clienti o dalle metodologie di lavoro agile. Gli investimenti in tal senso sono cospicui, a partire dalle campagne di sensibilizzazione volte a simulare e a preparare tutti i componenti della struttura bancaria ad affrontare possibili attacchi. Dall’indagine emerge anche il concetto della fragilità dei fornitori, ossia le cosiddette “terze parti”, non ancora in grado di schermare o fermare i tentativi di attacchi cyber.
Una delle soluzioni proposte dal mercato finanziario, seppure difficilmente implementabile in maniera istantanea, riguarda il concetto dello Zero Trust, ossia la diffidenza a fidarsi in maniera implicita dei sistemi, e dunque la tendenza a verificare a prescindere da ruoli e risorse. Vi sono alcune soluzioni tecnologiche proposte dal mercato, tra cui Sistemi di Gestione delle Informazioni sulla Sicurezza, User and Entity Behavior Analytics (UEBA), Identity & Access Management (IAM) per le tecnologie di cybersecurity, Transport Layer Security (TLS) e Secure Access Service Edge (SASE) per la crittografia dati.
Pur essendo apprezzato, tuttavia, tale approccio non è il più adottato, mette in evidenza Cisco; rimangono utilizzati per la gestione delle minacce Secure Web Gateway (SWG), Sistemi di Gestione delle Informazioni sulla Sicurezza (SIEM) ed Endpoint Detection and Response (EDR), mentre per crittografiche la più utilizzata è la Transport Layer Security (TLS), seguita da Federated Identity Management (FIM) e Identity Access Management (IAM).
Dal punto di vista del mercato si ravvisano ostacoli culturali, sottolinea Cisco, che impediscono una piena collaborazione tra i sistemi nel segnalare gli attacchi subiti, o nella condivisione di informazioni fondamentali per prevenire gli incidenti. L’approccio sistemico e cooperativo resta la soluzione più efficace per affrontare le minacce informatiche, ne è un esempio la creazione di un Agenzia per la Cybersicurezza Nazionale (ACN) e i progressi in ambito info-sharing avvenuti nel contesto Certfin.
Un ulteriore supporto alla condivisione delle criticità potrà derivare dallo sviluppo regolamentare. Il regolamento DORA, infatti, consentirà alle entità finanziarie di scambiarsi reciprocamente informazioni e dati sulle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme e strumenti di configurazione.
