- 25/01/2018
La sicurezza informatica nel mondo bancario
In passato la sicurezza nel mondo bancario era principalmente "fisica" (ovvero finalizzata alla protezione per le rapine agli sportelli o ai bancomat) o finalizzata a proteggersi da attività illegali come il riciclaggio di denaro ecc. La situazione è cambiata molto: le banche oggi affrontano i temi della Digital Transformation, connettendo non solo i propri sistemi informativi ma anche i propri prodotti con "componenti intelligenti", di fatto ibridi di Hardware e Software, in ecosistemi applicativi web esposti al mondo.
La sicurezza informatica bancaria è diventata quindi un "Must Have" a seguito anche di ingenti perdite dovute ad attacchi informatici e alla conseguente stretta sui regolamenti da parte delle autorità centrali europee.
Finalmente anche il tema che per lungo tempo è rimasto fuori dal tavolo del Board e relegato alla scrivania dell'IT manager è approdato all'attenzione del Top Management: la Cybersecurity.
Le recenti direttive europee hanno puntato i riflettori su un tema che fino a pochi anni fa risultava marginale, sopratutto negli istituti medio-piccoli o con presenza solo locale. La tecnologia ha permesso un'evoluzione sostanziale nel rapporto tra i clienti e l'istituto di credito, oggi grazie a telefoni, tablet e PC tutti possiamo compiere direttamente quasi tutte le operazioni che fino a qualche anno fa eravamo obbligati a realizzare allo sportello bancario e, inoltre, possiamo farlo senza limiti di luogo o di orario, è sufficiente avere una connessione internet.
Questa innovazione ha modificato in modo sostanziale l'offerta degli strumenti e dei servizi delle banche verso i propri clienti (home banking, carte conto, peer to peer payments etc.), aumentando le possibili attività online e creando di conseguenza una nuova superficie di attacco molto più ampia dello "sportello/bancomat" per i criminali.
Secondo il rapporto Clusit sulla sicurezza ICT in Italia, nel 2016 l'aumento di attacchi gravi verso banche ed entità nel mondo finance è aumentato del 64% rispetto all'anno precedente e la tendenza è in constante crescita. Inoltre l'attenzione dei cyber-criminali si è concentrata verso l'Europa, con una crescita a due cifre degli attacchi verso realtà del nostro continente rispetto all'anno precedente.
PSD2 e Cybersecurity
La PSD2 è una normativa europea che ha tra i suoi obiettivi principali proprio favorire l'evoluzione del mercato bancario in direzione dell'Open Bank, inserendo, grazie alle nuove tecnologie, maggiori possibilità per i clienti. La vera rivoluzione introdotta è rappresentata dall'accesso ai conti dei clienti, in passato il territorio più gelosamente custodito da parte degli istituti, ai fornitori di servizi terzi Third Party Providers (TPP). Evidentemente questo tipo di apertura che allarga ulteriormente perimetro e superficie d'attacco andando oltre le Banche, pone in prima linea il tema della sicurezza: la PSD2 dedica infatti ampio spazio alle misure che le banche europee dovranno adottare per garantire un adeguato livello di protezione dei sistemi e dei dati. Sono stati quindi definiti degli standard tecnici (RTS) che dovranno essere implementati nei prossimi mesi da parte degli istituti per garantire:
- Comunicazioni sicure;
- Monitoraggio delle attività;
- Attività di Audit al fine di una condivisione di minacce e attacchi nell'intero sistema.
Per garantire questi standard saranno utilizzate soluzioni altamente tecnologiche che verranno scelte cercando di non appesantire l'esperienza dell'utente, se non dove e quando strettamente necessario. Gli strumenti a disposizione sono numerosi, si va dal riconoscimento biometrico ad applicazioni che permettono di rilevare la presenza di malware sui dispositivi, per fare un paio di esempi.
Qualsiasi tecnologia posta a "barriera" difensiva però è essa stessa esposta all'attacco e non può garantire nel tempo un'inviolabilità cerca, quindi una volta compromessa e superato il perimetro di difesa, resta campo libero ai criminali. Per aumentare il livello di sicurezza è possibile integrare queste soluzioni con un approccio che non prevede difese accessibili ai frodatori e che, di conseguenza, non può essere attaccato direttamente. Il Machine Learning risponde pienamente a questa necessità, permettendo oggi di elaborare i Big Data con algoritmi capaci di tracciare in modo sempre più preciso il modello comportamentale di ogni utente ed evidenziando le anomalie rispetto al comportamento abituale. Questo si dimostra attualmente l'approccio più efficace per difendere gli utenti perché non è invasivo, è indipendente dai device di utilizzo e soprattutto non è uno strumento esposto direttamente agli aggressori. Per questo motivo la PSD2 richiede esplicitamente alle banche di dotarsi di sistemi comportamentali (Transaction Risk Analysis) che profilino le attività standard e segnalino ciò che risulta essere molto inconsueto o sospetto.
La vera sfida tecnologica del momento in questo segmento (Fintech Security) è proprio come delineare al meglio il comportamento dell'utente per individuare di conseguenza le frodi con maggior efficacia e minor disturbo.
Un altro elemento di forte interesse emerso dal rapporto Clusit di cui abbiamo parlato sopra è che oltre la metà degli attacchi sono realizzati con tecniche piuttosto banali, quindi di facile realizzazione da parte dei criminali, come il Phishing o il Malware, a testimonianza del fatto che la cultura media sui temi di CyberSecurity è molto bassa.
Conoscere è il primo passo per evitare gli errori, quindi ecco un piccolo contributo alla divulgazione di conoscenza in materia: le due categorie di attacchi più diffusi nel 2016 sono state il Man in The Middle e il Ransomware.
Man in the Middle (MITM)
Un attacco Man-in-the-Middle (MITM) è piuttosto semplice e non si limita al mondo online o agli home computer. Attraverso questi attacchi il criminale si inserisce tra due entità che stanno cercando di comunicare tra loro, "avvelena" la comunicazione e intercetta i messaggi inviati. Il criminale solitamente sfrutta punti di debolezza che gli permettono il controllo della Mail e si finge alternativamente una delle parti per "avvelenare" i messaggi: si inserisce tra il target (la vittima) e la fonte (il server o il router) che la prima sta cercando di contattare. Se il criminale riesce, ad esempio come dicevo a violare il sistema di posta, allora né la vittima, né la fonte che il criminale sta personificando hanno modo di rendersene conto.
Ransomware
Il Ransomware è una classe di malware che cripta alcuni importanti files sul PC della vittima e richiede il pagamento di un riscatto, spesso in criptovalute come Bitcoin per sbloccare e recuperare i files attaccati. Di solito il riscatto richiesto si aggira intorno a qualche centinaio di dollari. Il successo di questi attacchi è ovviamente legato a quante vittime pagano il riscatto per paura di perdere i loro dati. Sembra che circa 1 vittima di Ransonware su 2 acconsenta all'estorsione, creando un giro di affari di milioni di dollari di proventi illegali. Da alcune analisi del 2016 risulta che nei primi 3 mesi dell'anno, solo negli Stati Uniti, sono stati realizzati oltre 200 milioni di dollari di pagamenti legati a ransomware. Tecnicamente, c'è stata un'enorme evoluzione dei ransomware: i primi erano piuttosto deboli, al momento invece sono difficilmente attaccabili per cui molto spesso non si può fare altro che pagare il riscatto.
Man In The Middle e Ransomware sono solo due delle moltissime minacce a cui siamo esposti, la soluzione non risiede certamente nel non sfruttare le potenzialità della rete e dei numerosi servizi a cui è possibile accedere ma piuttosto nell'investire nelle tecnologie innovative che permettono di alzare il livello di sicurezza. Le fintech, anche italiane, in questo senso si stanno rivelando un valido alleato per gli istituti bancari, coniugando la tecnologia a un approccio più flessibile rispetto ai players tradizionali.