Cisco ha pubblicato i risultati di uno studio commissionato al Centro di ricerca dell’Università Cattolica del Sacro Cuore di Milano (Cetif Research) e intitolato “Processi di governo e tecnologie per la Cyber Resilience”. Che tipo di atteggiamento hanno avuto le principali istituzioni finanziarie in Italia di fronte agli attacchi informatici avvenuti negli ultimi 5 anni? E attualmente che percezione hanno quelle stesse istituzioni nei confronti del concetto di cyber resilience? C’è stata un’evoluzione, e se sì, quale? Sono questi i temi che emergono dalla ricerca pubblicata.
Il cambiamento della percezione: cyber resilience come strategia flessibile e preventiva
Dai primi risultati della ricerca, disponibile qui nella sua versione integrale, emerge che l’approccio verso gli attacchi informatici è cambiato. Se prima per proteggersi venivano utilizzate solo tecnologie avanzate, oggi la difesa viene affidata a un sistema complesso nel quale confluiscono tecnologia, assetto organizzativo, fattore umano e un’adeguata strategia di comunicazione. Il termine resilience riguarda però un’altro tipo di atteggiamento, si riferisce cioè alla capacità di non compromettere le operazioni interne, garantendo il ripristino dei dati e dei processi di network e di servizio. L’approccio alla sicurezza informativa, dunque, si è evoluta da una strategia event-drive, ossia guidata dalla contingenza, ad una prevenzione della minaccia, con una grande flessibilità soprattutto in termini di risorse, di processi, strutture coinvolte e architetture di rete. Il punto saliente è la condivisione di obiettivi e di strategie di sicurezza informatica con il consiglio di amministrazione, attraverso un flusso stabile di comunicazione. Tra i diversi attacchi cyber, uno dei più temuti dal mercato finanziario è l’insider abuse, ossia l’abuso proveniente dall’interno.
La protezione inizia dalla consapevolezza del personale interno alle organizzazioni
Un altro elemento nuovo è che la cyber resilience è influenzata dalla maturità delle soluzioni tecnologiche, dalla consapevolezza dei dipendenti e della dirigenza, piuttosto che dalla formazione finanziaria dei clienti o dalle metodologie di lavoro agile. Gli investimenti in tal senso sono cospicui, a partire dalle campagne di sensibilizzazione volte a simulare e a preparare tutti i componenti della struttura bancaria ad affrontare possibili attacchi. Dall’indagine emerge anche il concetto della fragilità dei fornitori, ossia le cosiddette “terze parti”, non ancora in grado di schermare o fermare i tentativi di attacchi cyber.
Approccio Zero Trust
Una delle soluzioni proposte dal mercato finanziario, seppure difficilmente implementabile in maniera istantanea, riguarda il concetto dello Zero Trust, ossia la diffidenza a fidarsi in maniera implicita dei sistemi, e dunque la tendenza a verificare a prescindere da ruoli e risorse. Vi sono alcune soluzioni tecnologiche proposte dal mercato, tra cui Sistemi di Gestione delle Informazioni sulla Sicurezza, User and Entity Behavior Analytics Identity & Access Management per le tecnologie di cybersecurity, Transport Layer Security e Secure Access Service Edge per la crittografia dati. Pur essendo apprezzato, tuttavia, tale approccio non è il più adottato, rimangono utilizzati per la gestione delle minacce Secure Web Gateway, Sistemi di Gestione delle Informazioni sulla Sicurezza ed Endpoint Detection and Response, mentre per crittografiche la più utilizzata è la Transport Layer Security, seguita da Federated Identity Management e Identity Access Management.
Criticità e conclusioni
Dal punto di vista del mercato si ravvisano ostacoli culturali, che impediscono una piena collaborazione tra i sistemi nel segnalare gli attacchi subiti, o nella condivisione di informazioni fondamentali per prevenire gli incidenti. L’approccio sistemico e cooperativo resta la soluzione più efficace per affrontare le minacce informatiche, ne è un esempio la creazione di un Agenzia per la Cybersicurezza Nazionale e i progressi in ambito info-sharing avvenuti nel contesto Certfin. Un ulteriore supporto alla condivisione delle criticità potrà derivare dallo sviluppo regolamentare. Il regolamento Dora, infatti, consentirà alle entità finanziarie di scambiarsi reciprocamente informazioni e dati sulle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme e strumenti di configurazione.