LA GUIDA

Affrontare i rischi di security imparando dagli incidenti ed eventi

Come affrontare i rischi vecchi e nuovi della cyber security nell’ambito critico del mondo parabancario e bancario, traendo vantaggio dall’esame degli incidenti che continuamente accadono e intervenendo in modo più mirato sulle vulnerabilità dell’elemento umano

14 Lug 2022
T
Piero Todorovich

Giornalista

Nell’ambito delle grandi realtà finanziarie e bancarie e d’impresa l’utilizzo di componenti antivirus, antispam, soluzioni contro il Distributed Denial of Services (DDoS), Virtual Private Network (VPN) e firewall sono oggi il pane quotidiano per la difesa dai cyber attacchi. La mitigazione dei rischi di sicurezza ha bisogno di questi strumenti assieme alle best practice per introdurre cambiamenti e aumentare la consapevolezza degli utenti finali nell’uso sicuro delle risorse digitali.

Secondo i dati presentati a marzo dall’Osservatorio Clusit in occasione del Security Summit 2022, negli ultimi 12 mesi c’è stata una crescita del 20% degli attacchi informatici più gravi, per il 43% realizzati mediante malware, categoria che comprende i temuti ransomware. Nell’ambito della banca e dei suoi clienti retail, i dati CERTFin indicano il social engineering e il malware come responsabili del 50% degli attacchi, in testa ad ogni altra minaccia di data breach, DDoS e ransomware. Cosa serve per ridurre il rischio e combattere il cyber crime?

Impiegare le tecnologie di difesa imparando dagli incidenti

Uno dei modi per approntare difese efficaci è imparare dagli incidenti. Possibilmente di altri. Ne è convinto Mark Alan Barlow, esperto con lunga carriera nell’IT di primarie banche italiane, oggi consulente che partecipa ad alcuni progetti in materia di ICT Security in Sefin, società informatica che offre servizi di outsourcing, consulenza su normativa e di progetto negli ambiti del finance e banking, ed altri settori come automotive, termosanitario, componenti industriali, distribuzione, sanita ecc., e che negli anni ha costruito un forte sistema di cyber security e risk management.

“Da sempre lavoriamo nella gestione dei rischi e della sicurezza – spiega Barlow -, impegno che comprende sia l’applicazione delle tecnologie sia il miglioramento delle competenze di security delle persone. È dallo studio degli incidenti che ricaviamo le conoscenze utili per rafforzare le difese e riuscire a mitigare gli effetti di un eventuale attacco”.

Lo studio degli incidenti è così importante da aver convinto Sefin ad adottare, a partire da quest’anno, la pratica di discutere settimanalmente il tema con manager e technology leader. “Lo scopo è condividere le conoscenze sugli eventi di cui abbiamo notizia attraverso giornali e altre fonti – spiega Barlow -. Analizziamo fino a una dozzina di eventi importanti ogni settimana per cercare di capire se le stesse cose sarebbero potute accadere anche a noi. Queste informazioni, assieme a quelle che ci arrivano dagli alert e segnalazioni di Clusit ed Enisa ci servono per essere pronti in caso di attacco e di agire proattivamente per migliorare la sicurezza”. Conoscenza che Sefin condivide, “con i clienti che usano i nostri servizi dati e poi attraverso la nostra newsletter”, precisa Barlow.

Analizzare i rischi potenziali e gestire i rimedi

Gli incidenti esaminati da Sefin segnano la crescita costante dei rischi associati con attacchi DDOS e ransomware. “Minacce da cui ci difendiamo con l’impiego di tecnologie specifiche dei partner con cui lavoriamo, tra cui: Trend Micro, Forcepoint e Cisco – spiega Barlow –. Dobbiamo però considerare il maggiore rischio che deriva dall’uso combinato di più tecniche (data breach, DDOS, phishing, ransomware, SMS, telefono, ndr) nello stesso attacco”.

Per difendersi serve analizzare tutti i rischi prevedibili, limitando l’esposizione a quelli più estremi come, al giorno d’oggi, quelli di una possibile cyberwar collegata con il conflitto russo-ucraino. “Recenti azioni in Israele e in altri Paesi hanno dimostrato come tutti possano essere a rischio negli scenari del warfare digitale – precisa Barlow-. Resta comunque centrale l’elemento umano nella difesa, perché molte compromissioni iniziano con un click su una e-mail truffa o sito contraffatto. E oggi i criminali hanno a disposizione strumenti sofisticati as-a-service per condure attacchi automatizzati su grande scala”.

In generale per una buona difesa è importante analizzare i rischi potenziali in termini di severità e probabilità, capire cosa potrebbe succedere in caso di attacco e identificare rimedi per ridurre l’esposizione a livelli più accettabili. “Per questo serve classificare le tipologie di rischio e valutare i rimedi efficaci – continua Barlow -. I cambiamenti vanno gestiti con metodo, coinvolgendo i reparti e usando gli ambienti di test per minimizzare gli impatti, tenendo pronte le opzioni di roll back. Questo vale sia per l’applicazione delle patch che Microsoft, IBM, Cisco e altri vendor pubblicano con continuità per risolvere le vulnerabilità sia per gestire le conseguenze degli errori umani”.

L’importanza dell’elemento umano e della formazione

Per garantire elevati livelli di sicurezza è vitale l’attenzione che dipendenti e collaboratori mettono nelle loro azioni. “Gli incidenti che vediamo testimoniano le carenze di formazione nella security e l’importanza di metterle alla prova, per esempio, attraverso attacchi simulati”, spiega Barlow. In grandi organizzazioni i cybercriminali hanno imparato a sfruttato l’ingenuità degli utenti per acquisire informazioni utili per insinuarsi nei processi interni e compiere truffe. “Vulnerabilità che possono essere identificate con campagne specifiche, mandando ai collaboratori finte e-mail, link di phishing per vedere quante persone ci cascano – precisa Barlow -. Lo stesso sistema può essere usato per valutare i miglioramenti in seguito alle azioni intraprese”.

Tra le azioni più produttive per aumentare la consapevolezza delle persone nell’aprire documenti ed e-mail e proteggere i dati aziendali c’è la formazione. Per questo Sefin ha stretto una partnership con Ifin Sistemi, realtà con la quale ha avviato collaborazioni su servizi e progetti.

“Oltre al training collaboriamo per l’integrazione delle soluzioni di ITFinance, applicazioni di blockchain e altre iniziative – spiega Giovanni Martingano, amministratore di Ifin Sistemi -. Con Sefin abbiamo arricchito il portafoglio servizi e avviato progetti di AI per consentire ai clienti di ricavare più valore dai loro data lake”. Ifin Sistemi e Sefin stanno sperimentando la blockchain in un progetto per il supporto della notarizzazione anti-antiriciclaggio. “Ci lavoriamo da oltre anno con l’obiettivo d’essere precursori nelle tecnologie che innovano e rendono più sicuri i processi dell’ambito bancario”, conclude Martingano.

Contributo editoriale sviluppato in collaborazione con Ifin Sistemi

@RIPRODUZIONE RISERVATA

Articolo 1 di 4