SICUREZZA INFORMATICA

Cyber security in banca: l’emergere dei nuovi rischi e gli approcci di tutela più efficaci

La crescente digitalizzazione dei servizi finanziari, l’introduzione di nuovi modelli di business basati sull’innovazione tecnologica e la diffusione delle modalità di lavoro da remoto hanno inevitabilmente incrementato l’esposizione delle banche ai rischi cyber, portandole ad ampliare il perimetro di difesa del proprio network. Ecco come lo zero trust, combinato a soluzioni di OT Security, garantisce alle banche standard elevati di sicurezza

24 Mag 2022

La security informatica è oggi un’emergenza globale per le banche sia per la crescente digitalizzazione dei sistemi e dei processi, sia per la natura sempre più sofisticata degli attacchi cyber. Attacchi che passano quasi sempre attraverso il furto delle credenziali d’accesso ai sistemi bancari o di pagamento e riutilizzate per transazioni fraudolente all’insaputa del cliente.

Si parla, infatti, principalmente di malware per il furto di credenziali o fattori addizionali di autenticazione o manipolazione di una transazione, ma anche di phishing per il furto di credenziali di accesso e dei fattori di autenticazione forte, di hacking dei dispositivi mobile o di attacchi diretti all’infrastruttura dell’istituzione finanziaria. Attacchi corroborati dalla scarsa manutenzione nell’aggiornamento dei sistemi utilizzati, dalle cattive pratiche di sicurezza informatica, come la connessione a reti Wi-Fi non protette, o anche dalla diffusione di campagne di disinformazione e fake news, in molti casi utilizzati come vettori di attacco per tecniche di ingegneria sociale.

Mai come in questo periodo storico, in cui la sicurezza informatica è fondamentale per la difesa del valore e degli asset delle imprese e per la protezione della nostra vita quotidiana, le banche hanno bisogno di infrastrutture protette, sicure e resilienti che le proteggano da attacchi provenienti dall’esterno che potrebbero bloccare l’operatività dell’istituto o la raggiungibilità dei servizi digitali da parte dei loro clienti (per esempio con attacchi di DDOS, Distributed Denial of Service).

L’attacco ransomware, ad esempio, rappresenta in questo periodo per le banche una preoccupazione anche relativamente al canale ATM, poiché causerebbe una grave interruzione al servizio con conseguenti perdite finanziarie e danni all’immagine dell’istituto stesso.

Risulta, quindi, sempre più importante integrare le tecnologie di base per la difesa e collocarle nell’ambito di una strategia olistica che comprenda processi e organizzazione efficaci. Un’evoluzione che impegna i team di cyber security della banca a dover proteggere un perimetro molto più ampio a garanzia dei canali digitali e di tutti gli endpoint (laptop, smartphone, sportelli ATM, ASST, chioschi, dispositivi IoT) attraverso cui i clienti possono accedere ai servizi bancari e che potenzialmente possono rappresentare un rischio per la banca.

Nuovi rischi per la banca e l’operatività dei servizi ai clienti

Il processo di trasformazione digitale, accelerato dalla pandemia, ha provocato un forte cambiamento nelle esigenze e nei comportamenti delle persone, incentivando l’utilizzo intensivo di strumenti e tecnologie digitali e una più netta sostituzione dell’accesso fisico con quello logico/remoto ai servizi bancari.

Un cambiamento di paradigma che è avvenuto in modo improvviso e che, in molti ambiti, ha trovato impreparati persone e istituti. La digitalizzazione di molte attività bancarie, l’impiego di tecnologie avanzate nelle filiali di nuova generazione e l’uso delle connessioni da remoto anche per le attività di consulenza hanno stimolato un cambiamento anche sul versante degli attacchi informatici che, oltre alle strutture della banca, prendono oggi di mira in maniera più diretta i clienti dei servizi.

I vettori d’attacco e le cause dell’esposizione

Secondo il Csirt (Computer Security Incident Response Team Italia) è molto importante riuscire a prestare attenzione a tutti i vettori d’attacco che le organizzazioni cybercriminali possono sfruttare per violare dall’esterno le reti aziendali protette. Il codice malevolo che veicola l’attacco può entrare attraverso l’utilizzo di piattaforme pubbliche di comunicazione Web infettate oppure con l’invio di e-mail contenenti allegati eseguibili camuffati, oppure link nel testo che rimandano a siti appositamente predisposti.

File malevoli possono essere distribuiti tramite comuni piattaforme di condivisione peer-to-peer oppure entrare nei sistemi attraverso gli exploit di alcune vulnerabilità note, nei sistemi che fanno da interfaccia verso la rete internet. Il malware si può facilmente nascondere in siti Web compromessi oppure creati ad hoc per le azioni criminali. In molti casi lo scopo dell’attacco è asservire il sistema infettato per lanciare o amplificare attacchi di DDoS su altre reti.

Inoltre, l’affermarsi di nuovi modelli di filiali, sempre più digitali e remote, hanno ampliato la superficie di rischio, diffondendola a livello capillare e moltiplicando così gli asset da proteggere. Questo, insieme al massiccio impiego del lavoro da remoto per dipendenti e collaboratori delle banche, ha accresciuto ancora di più l’esposizione al rischio. In quest’ottica l’apporto dell’Intelligenza Artificiale può essere fondamentale l’adozione di una strategia di AI, basata sulla raccolta e l’analisi di informazioni provenienti da molteplici fonti, risulta strategica per rilevare e contenere i potenziali problemi ancora prima che essi si verifichino.

Approcci zero trust per rendere sicuri ATM ed endpoint

Per poter affrontare i nuovi rischi della cybersecurity serve rivedere le strategie impiegate e valutare le contromisure da applicare. Nell’ambito più critico dei terminali ATM, ASST, workstation o altri sistemi critici facenti parte di un’infrastruttura bancaria, la best practice è tenere questi sistemi in un’infrastruttura dedicata, segregata dalla rete aziendale attraverso politiche d’accesso rigorose, controllate e monitorate nel tempo. Si parla dunque di un approccio ZERO TRUST, modello che riduce al minimo il livello di fiducia implicita affinché sia possibile accedere al sistema solo a seguito di controlli rigorosi sull’hardware collegato, sul software applicativo eseguito, sulle comunicazioni che il sistema fa con il mondo esterno e sull’integrità/riservatezza dei dati contenuti negli storage locali.

L’applicazione del modello di security zero-trust non va basato unicamente sui criteri di legittimità del software, ma piuttosto su un processo di certificazione delle risorse e delle interazioni considerate affidabili in base alle esigenze operative, realizzato dai team deputati alla sicurezza. Mentre da una parte i dispositivi più critici beneficiano della segregazione in rete, dall’altra necessitano d’integrazione operativa a livello della security.

Tornando ai dispositivi self-service, applicando questo modello si ridurrebbe la superficie d’attacco permettendo operazioni solo se necessarie e certificate come corrette e definire delle policy improntate sullo stato del dispositivo, differentemente rigorose quando gli sportelli automatici sono in servizio (quindi fisicamente accessibili e potenzialmente vulnerabili per il crimine informatico), oppure quando sono vuoti e sottoposti alle attività di manutenzione.

In questo secondo caso il tecnico di terze parti abilitato all’intervento dovrà sottoporsi a un processo di autenticazione (per esempio, con codice OTP) per poter procedere alla manipolazione del software o dell’hardware del dispositivo. Al fine di gestire correttamente le diverse attività, è fondamentale che gli strumenti utilizzati per la security locale operino in modo integrato con quelli che servono per garantire l’operatività e il monitoraggio degli ATM.

Solo in questo modo è possibile ridurre al minimo i gap temporali nella copertura delle difese e assicurarsi che gli endpoint siano protetti adeguatamente e non diventino una porta d’ingresso per attacchi in grado di bloccare l’accesso ai servizi, sottrarre dati, o sequestrare archivi con richieste estorsive (ransomware).

Il consolidamento della security: le soluzioni

Banche e istituzioni finanziarie hanno oggi come necessità prioritaria quella di consolidare su una singola piattaforma le differenti funzionalità di sicurezza impiegate. Realtà europea con anni d’esperienza nello sviluppo di soluzioni tecnologiche per la banca omnicanale, Auriga propone con Lookwise Device Manager (LDM) una soluzione di cybersecurity collaudata e certificata che unisce le capacità per la sicurezza fisica (passiva) e logica (attiva) con gli standard dettati nei principi del NIST.

Le capacità della piattaforma LDM, unitamente alla competenza di Auriga nell’integrare i piani di prevenzione e controllo con le attività per il tempestivo rilevamento (e contestuali segnalazioni) degli eventuali incidenti, consente agli Istituti di organizzare al meglio le funzionalità necessarie per monitorare e proteggere gli asset bancari: dai canali self-service alle workstation (anche da remoto) riducendo i rischi. La soluzione proposta, modulare e multivendor, consente a ogni istituto di sviluppare strategie di resilienza digitale personalizzate, solide e durature.

Nel dettaglio, LDM abilita le seguenti funzionalità:

  1. Whitelisting. Previene l’esecuzione di malware o di software non autorizzati definendo una whitelist di processi che possono essere eseguiti, controllando i parametri a livello di riga di comando per processi sensibili (interpreti o strumenti di sistema) e limitando l’accesso alle librerie critiche. Riduce la superficie attaccabile al set minimo di processi necessari all’operatività del sistema.
  2. Protezione hardware. Previene la connessione di hardware non autorizzati, fraudolenti, ovvero esclusi dalla whitelist dei device legittimi. Limita il livello d’accesso in lettura-scrittura per i dispositivi di archiviazione (USB, CD-ROM, floppy, MTP) e semplifica le configurazioni utilizzando regole generali di permesso/divieto o maschere già predisposte per i dispositivi locali. È inoltre possibile visualizzare connessioni/disconnessioni dei dispositivi autorizzati.
  3. Protezione dell’integrità dei file critici. Impedisce la manipolazione non controllata di file critici e di cartelle con file di sistema e blocca l’accesso a file non validi sia mediante controllo dell’hash sia attraverso regole di protezione per file, estensioni globali e directory. Salvaguarda l’integrità dell’immagine del software certificato, permettendo solo ai processi autorizzati la modifica di cartelle e file protetti e controllandone l’integrità in relazione a un database centrale di funzioni di hash valide.
  4. Cifratura dei dischi. Previene l’accesso all’hard disk al di fuori del sistema operativo utilizzando cifratura a livello di settore e codici univoci gestiti in sicurezza, permettendo l’avvio da remoto e la decifratura offline. Salvaguarda la privacy dei dati in memoria senza interferire con l’operatività del dispositivo e con impatti minimi sulle performance.

Alla luce del mutato scenario e delle nuove sfide in ambito sicurezza che le banche si trovano a fronteggiare, oggi è più che mai strategico avere il controllo di tutta la potenziale superficie di attacco, gestire il livello di protezione attivando specifiche policy in specifici momenti in caso di rischio e di esposizione a un’intrusione, utilizzare una soluzione integrata in grado di rendere più semplice la gestione della cyber security e di consolidare una varietà di meccanismi di protezione su un’unica piattaforma.

Contributo editoriale sviluppato in collaborazione con Auriga

@RIPRODUZIONE RISERVATA

Articolo 1 di 5