Ransomware e settore finanziario: un fenomeno sempre più preoccupante e costoso, come rilevato anche dagli ultimi rapporti sul tema.
A saltare all’occhio la cifra di 2 milioni di dollari di spesa per ripristinare il business a seguito di un attacco ransomware ma anche il dato relativo alle realtà colpite da ransomware nel 2020: il 34% del campione preso in esame, con un 51% che ha altresì dichiarato che i cyber criminali sono riusciti a criptare i loro dati.
Uno scenario in parte rischiarato dalla crescente consapevolezza dell’importanza dei piani di Business Continuity e Disaster Recovery (BC-DR): considerando, infatti, che le realtà finanziarie che hanno pagato il riscatto hanno recuperato in media solo il 63% dei loro dati, concentrarsi sui backup come metodo primario di recupero dei dati è indubbiamente un ottimo inizio.
Nel complesso, il settore dei servizi finanziari si distingue come l’unico settore in cui tutte le realtà i cui dati sono stati criptati sono riuscite a recuperarne almeno una parte. Ancora una volta, è probabile che il lavoro di disaster recovery delle organizzazioni finanziarie le abbia preparate bene per un attacco ransomware.
USA, sanzioni agli exchange di criptovalute per contrastare i ransomware: i possibili impatti
Vincere la battaglia, perdere la guerra
Quando si tratta dei riscatti effettivamente pagati, i servizi finanziari si collocano notevolmente al di sotto della media, con un pagamento medio di 69.369 dollari rispetto alla media intersettoriale di 170.404 dollari.
Le buone notizie, purtroppo, si fermano qui. Il costo complessivo di recupero del ransomware per i servizi finanziari è di circa un quarto di milione di dollari superiore alla media globale (2,10 milioni di dollari contro 1,85 milioni di dollari). Ciò è probabilmente dovuto all’elevata spesa per le misure di rimedio per mantenere le operazioni in funzione a tutti i costi, e agli alti costi di notifica della violazione dei dati, ai danni alla reputazione e alle multe regolamentari che hanno tutti un impatto su questo settore.
La severa regolamentazione del settore dei servizi finanziari contribuisce indubbiamente all’implementazione di difese ben strutturate.
Sfortunatamente, qualora un cyber attacco vada a buon fine, ciò comporterà elevati costi per l’azienda colpita: le sanzioni andranno infatti ad aggiungersi agli inevitabili costi per la riorganizzazione dei sistemi IT e ai danni di immagine, soprattutto qualora i dati dei clienti vadano persi.
Tutti questi fattori spiegano perché i costi di recovery per le aziende nell’ambito dei servizi finanziari di medie dimensioni colpite dal ransomware nel 2020 arrivino a superare i 2 milioni di dollari.
Un obiettivo per gli attacchi di sola estorsione
Preoccupa, inoltre, che una percentuale piccola ma significativa di questo tipo di azienda (8%, 13% in EMEA) abbia subito quegli attacchi a scopo di estorsione, nei quali i dati non vengono criptati ma rubati: i cyber criminali minacciano le vittime di pubblicarli e divulgarli, a meno che l’azienda non paghi il riscatto.
In questa situazione il backup non può proteggere dal rischio di estorsione, e si rivela quindi uno strumento inadatto a fronteggiare questa specifica tipologia di attacco.
Inoltre, l’11% (18% in EMEA) delle aziende finanziarie intervistate ritiene che il rischio di essere colpita sia molto basso in quanto non percepisce la propria realtà come un obiettivo allettante per i cybercriminali. Questa è una percezione pericolosa perché chiunque può essere un bersaglio.
Il migliore approccio è quello di considerarsi un potenziale target, implementando le proprie misure di difesa di conseguenza i servizi finanziari non dovrebbero fare affidamento su di essi come difesa antiestorsione.
Valutare la superficie di attacco: un fattore determinante
Le istituzioni finanziarie sono consapevoli di rappresentare un obiettivo allettante per i cybercriminali: che si tratti di attacchi che sfruttano le vulnerabilità della supply chain o minacce tradizionali quali DDoS, Business Email Compromise (BEC), spionaggio governativo, violazioni dei dati e l’inevitabile ransomware, il mondo finanziario è al centro del mirino.
Tuttavia, per il settore finanziario il rischio effettivo supera di gran lunga quello di un semplice elenco di minacce e per comprenderlo al meglio occorre identificare la superficie di attacco.
In termini pratici significa che: sebbene sia vero che la tipologia di minacce è ora più varia, il rischio presentato da una singola minaccia è cresciuto esponenzialmente rispetto a soli cinque anni fa.
In passato, la sicurezza dei partner e della supply chain era considerata responsabilità altrui, presumibilmente delle singole organizzazioni esterne. Al giorno d’oggi, tutti sanno che queste entità fanno parte della superficie di attacco di entità più grandi con le quali instaurano rapporti commerciali, anche se non è sempre facile calcolare l’estensione di tale superficie. I vari elementi che compongono queste superfici di attacco estese includono:
Le supply chain e le tecnologie
Come già osservato, le organizzazioni finanziarie dipendono da una vasta gamma di fornitori di tecnologie a diversi livelli dello stack di software.
Questo implica vari vantaggi rispetto alle piattaforme utilizzate in passato, ma il prezzo da pagare è un’universalità che permette ai cybercriminali di colpire un maggior numero di istituzioni con una quantità minore di applicazioni.
È sempre più risaputo che alcuni di questi livelli (hardware, firmware, microprocessori utilizzati nei data center e nelle server farm nel cloud, oltre a strumenti proprietari impiegati da sviluppatori esterni) espongono le istituzioni a rischi invisibili.
Il boom delle vulnerabilità e delle patch
Secondo i dati pubblicati dal NIST, nel 2020 le vulnerabilità dei software di livello CVE incluse nel National Vulnerability Database (NVD) hanno raggiunto la quantità record di 18.103, con il 57% potenzialmente classificabile come “di natura critica”. Un numero crescente era composto da minacce “senza clic” che agivano senza l’interazione degli utenti.
Molti settori, incluso quello della finanza si stanno focalizzando sempre meno sugli attacchi zero day e sempre di più sull’applicazione di patch di emergenza (ovvero quelle in grado di risolvere vulnerabilità gravi e pubblicamente note, prima che vengano sfruttate tramite reverse engineering).
Le API di open banking e tecnofinanza
L’open banking e la seconda direttiva sui servizi di pagamento (PSD2) sono stati promossi come metodi per incrementare il livello di innovazione in un settore bancario che non è sempre aperto ad accogliere nuove idee.
Tuttavia, poiché le istituzioni concedono a fornitori terzi accesso ai propri dati, la sicurezza delle proprie informazioni rimane legata alle questioni del consenso dei consumatori e della conformità alle normative. Gartner prevede che entro il 2022 l’utilizzo improprio delle API da parte dei cybercriminali diventerà un tipo di attacco molto comune e non ci sono motivi per dubitarne.
Le app per il mobile banking
L’arrivo delle app di mobile banking ha dato origine a una nuova categoria di rischio. Queste app possono infatti contenere vari tipi di vulnerabilità, che vanno oltre il problema sempre più diffuso che riguarda la possibilità di scaricare app di mobile banking fasulle dagli app store.
Generalmente, il funzionamento del mobile banking è legato a terze parti, tra le quali si trovano sviluppatori di app, reti mobili e produttori di dispositivi. Inoltre, molto dipende anche dalla protezione dei sistemi operativi mobili.
Gli attacchi governativi
È facile dimenticare il fatto che, in quanto parte integrante dell’economia, le banche sono ora incluse nell’infrastruttura critica di un paese. Il governo degli USA lo ha compreso bene nel 2015, quando l’Iran avrebbe presumibilmente sferrato una serie di attacchi DDoS progettati per bloccare il settore bancario statunitense per motivi geopolitici.
Nel frattempo, alcuni paesi hanno trasformato gli attacchi bancari in un business model, come ad esempio la Corea del Nord che, a quanto pare starebbe addestrando migliaia di hacker a colpire continuamente questo settore.
Data la sua natura, il settore finanziario non può prescindere da un piano di difesa ben strutturato per individuare, intervenire e bloccare i cyber attacchi.
Se da un lato è fondamentale continuare a investire nei backup e nei piani per il disaster recovery al fine di minimizzare l’impatto delle minacce, è altresì indispensabile impegnarsi nel rafforzare ed ampliare le difese anti-ransomware combinando la tecnologia con il servizio di threat hunting per neutralizzare i cyber attacchi più avanzati.
