L’aumento costante degli attacchi informatici mette a dura prova la sicurezza dei sistemi bancari e finanziari. Ma quanto investono in cybersecurity le banche? Tra soluzioni per proteggersi e nuove normative il settore è pronto a combattere su tutti i fronti? Negli ultimi anni, il settore bancario è diventato in generale un bersaglio ricorrente del crimine informatico. A fronte di una situazione di rischio molto elevata, anche nel nostro Paese il settore finanziario rientra nella categoria di servizi essenziali per la nazione come da direttiva UE 2016/1148 nota con l’acronimo NIS, approvata in via preliminare dal Consiglio dei Ministri italiano l’8 febbraio e ratificata definitivamente in maggio.
La “creatività” degli hacker Debolezze umane, del software o dell’hardware: gli hacker sfruttano qualsiasi punto debole. I criminali informatici prendono di mira determinate tipologie di impiegati e sono stati in grado, ad esempio, di accedere ai computer dei dipendenti di circa cento banche in oltre 30 Paesi tramite e-mail personalizzate (“spear phishing”), consentendo ai criminali di monitorare le attività degli addetti o assumerne il controllo.
Gli hacker sembrano essere infinitamente creativi e i loro metodi variano continuamente. Il “jackpotting”, ad esempio, consente di svuotare gli sportelli bancomat con solo una chiave USB e un computer. Gli sportelli automatici possono anche essere il bersaglio di malware. Un altro metodo, ancora utilizzato, è quello degli skimmer, imitazioni fisiche del lettore di carte degli ATM, che però copiano le informazioni presenti sulle carte bancarie degli utenti per poi clonarle.
Aiuto, hanno installato una backdoor Secondo Annick Baudet, Senior Account Manager di Stormshield, la minaccia che preoccupa maggiormente le banche è quella dell’installazione di backdoor ad opera dei cybercriminali, una minaccia che apre le porte dei sistemi IT degli istituti in maniera persistente e su larga scala. Da qui la necessità per le banche di dotarsi di sofisticati meccanismi di protezione, che non possono prescindere dall’impiego di differenti tecnologie di firewalling, cifratura e rilevamento proattivo di pacchetti dannosi. Soluzioni che consentono di isolare il sistema IT della banca, interponendo tra esso e la rete meccanismi di verifica della conformità del flusso di dati.
Anche la regolamentazione legislativa è stata rafforzata per far fronte alle crescenti minacce. Tre le direttive principali per l’intero comparto:
-la seconda direttiva sui sistemi di pagamento digitali (PSD2) entrata in vigore in Italia il 13 gennaio scorso; -il regolamento europeo sulla protezione dei dati (GDPR), che istituisce i requisiti di sicurezza per le imprese, che entrerà in vigore questo mese; -la direttiva sulla sicurezza delle reti e dell’informazione (NIS) dell’Unione europea, che impone agli Stati membri di istituire autorità nazionali competenti in materia di sicurezza informatica e di rafforzare la sicurezza degli operatori che erogano servizi essenziali.
Inoltre lo standard Payment Card Industry Data Security Standard e il Customer Security Program supportato di Swift, ancora in lavorazione, sono affiancati da iniziative “opportunistiche” come il protocollo di autenticazione Fast Identity Online per i pagamenti online.
Mancanza di risorse interne Secondo uno studio 2016 di Accenture Security, quasi il 10% dei budget IT era dedicato alla sicurezza informatica. Un argomento che in Italia, secondo ABI Lab, occupava nel 2017 la quarta posizione, scavalcato da investimenti in iniziative di mobile e digital payment, di dematerializzazione di processi e documenti e progetti per il potenziamento delle infrastrutture tecnologiche. Scelte che causano un deficit di competenze interne, sia in termini di gestione della sicurezza delle applicazioni sensibili o dei dati dei clienti, sia di conduzione di attività di sensibilizzazione e formazione interna.
Annick Baudet, Senior Account Manager di Stormshield Stiamo assistendo a un vero paradosso: anche se i sistemi di informazione sono sempre più complessi, con carichi operativi che non smettono mai di crescere, l’industria bancaria, come molti altri settori, sta facendo marcia indietro sul personale interno.
L’entrata in vigore di PSD2, che preannuncia lo sviluppo dell’Open Banking (accesso a servizi di pagamento e rendicontazione erogati da terzi) richiede misure di sicurezza maggiori. Una delle sfide consta nell’implementare sistemi di autenticazione più forti, ma sufficientemente semplici da non allontanare la clientela, adottando interfacce ergonomiche ed efficienti.
Annick Baudet, Senior Account Manager di Stormshield Per le banche, è una sfida su ampia scala, combinata con altre questioni importanti come la direttiva NIS e il GDPR, quindi è essenziale per loro richiedere e ottenere l’assistenza di specialisti.
