Il significato da attribuire al cyber risk

I casi di furti miliardari ai danni di importanti istituzioni finanziarie internazionali dimostrano che è urgente affrontare il tema del rischio informatico per quello che è: non un problema di tecnologia, ma un  argomento molto più vasto che ha implicazioni organizzative e sociologiche.

 

Una mail sbagliata aperta da un funzionario distratto può spalancare le porte a un saccheggio colossale. L’era della digitalizzazione ha messo in soffitta anche la pistola delle rapine a mano armata. Le armi oggi sono software maligni che, una volta introdotti nel sistema di un istituto finanziario, iniziano a raccogliere informazioni su metodi di lavoro, procedure, regole.
Arrivano persino a introdursi nelle telecamere dei sistemi informatici per registrare i movimenti degli impiegati e carpire ulteriori falle da cui trarre vantaggio.

È grazie a questa metodologia che un gruppo criminale divenuto ormai famoso, Carbanak, pochi anni fa è riuscito a sottrarre, si stima, circa un miliardo di dollari a più di 100 istituzioni finanziarie in oltre 40 diversi Paesi. L’organizzazione è riuscita a trasferire denaro rubato in banche negli Usa e in Cina, alterando i conti e arrivando persino ad attivare, in modo remoto, numerosi bancomat per rubare così banconote senza esplosioni rocambolesche, ma con la sola astuzia dell’alterazione di codici. Casi come quello di Carbanak mostrano quanto sia urgente per le istituzioni finanziarie garantire la solidità del rapporto fiduciario con i risparmiatori. Diventerà sempre più importante dare ai clienti l’assicurazione che i dati online siano sempre protetti.

UN NEMICO SILENTE

Il quaderno fintech pubblicato dalla Consob a gennaio riporta i dati di “un’ispezione effettuata dall’Autorità di vigilanza statunitense (Sec) che ha mostrato come circa tre quarti dei 49 consulenti esaminati riportassero di avere avuto esperienze dirette o indirette di attacchi informatici”. Gli attacchi, valutati ad alto o medio rischio, “si riferivano in particolare a dati dei clienti, algoritmi proprietari, funzionalità di negoziazione sui mercati e di accesso al sito internet/alla posizione personale del cliente”. Per questo Paolo Ciocca ha sottolineato che quando si parla di cyber risk non ci si riferisce al semplice incidente informatico. È un problema molto più complesso, diverso da un incidente classico per portata, per valore dell’impatto, per intento, per dimensioni”. I casi come quelli di Carbanak fanno parte dei cosiddetti Apt, Advanced perstitent threath: più che un malware, un vero e proprio progetto. Gli Apt “sono un’arma inviata che resta attiva per lungo tempo – ha detto Ciocca – e che non si presenta subito perché persegue obiettivi intermedi”. Non si tratta di finalità necessariamente economiche. Ci possono essere intenti sovrani, con alle spalle soggetti statali: “è quindi evidente – ha osservato – che in questo caso le difese da mettere in campo non solo soltanto di natura tecnica”

SEI MESI PER ACCORGERSI DI ESSERE SOTTO ATTACCO

Il primo furto elettronico ai danni di una banca risale al 1994. La vittima fu Citibank, e le perdite risultarono superiori ai 10 milioni di dollari, sottratti attraverso la penetrazione in 40 diverse transazioni in varie città americane. “In quell’occasione – ha spiegato Melissa Hathaway – venne attaccato il cash management system. A quella rapina il sistema reagì istituendo la figura del cyber security officer. Le nostre aziende – ha osservato – sono iperconnesse: hanno digitalizzato molti asset ma hanno aumentato la vulnerabilità”. Si possono rubare dati sensibili come carte di credito, documenti di identità, e il tutto con strumenti che costano meno di 1000 dollari.
Secondo Hathaway, un’impresa media impiega approssimativamente 197 giorni ad accorgersi di un attacco, e 69 giorni per contenere il danno. Tra gli approcci difensivi che stanno emergendo, Hathaway ha citato lo Stop light protocol, un meccanismo di allerta che si sta diffondendo non solo negli Usa ma anche in Europa. L’esperta statunitense ha poi portato l’esempio del nuovo programma lanciato da Marsh McLennan, chiamato Cyber catalyst, in cui un pool di assicuratori cyber valuta e identifica soluzioni considerate efficaci nel ridurre il rischio; le organizzazioni che adottano soluzioni designate con Cyber catalyst possono beneficiare di termini e migliori condizioni sulle polizze cyber da parte degli assicuratori partecipanti.

COMPLIANCE NON SIGNIFICA SICUREZZA

Hathaway ha poi posto l’accento sulle minacce normative, ambito in cui “la maggior parte delle organizzazioni non riesce a valutare il proprio livello di rischio”. Tre sono le azioni consigliate da mettere in campo su questo fronte per contenere le potenziali perdite. In primo luogo stabilire un quadro di controlli efficaci, amministrativi, giuridici e tecnici. “Compliance – ha detto – non significa sicurezza.
Bisogna adottare degli standard adeguati e mantenere un registro dei rischi”. In secondo luogo bisogna comprendere quali sono le implicazioni legali del digital risk. Su questo fronte, Hathaway, oltre alla normativa europea Gdpr, ha citato le norme cinesi, laddove la legislazione “stabilisce che i dati debbano restare all’interno della Cina” e alcuni esempi di legislazioni evolute, negli Usa, come quella di New York, dove gli istituti devono superare 23 diversi tipi di controlli per dimostrare di avere un programma di cyber sicurezza. Infine, il coinvolgimento dei board, le cui discussioni “dovrebbero includere le minacce da evitare, perché il digital risk riguarda tutta l’azienda, non solo il reparto IT”.

UN PROBLEMA ANCHE SOCIOLOGICO

Alessandro Armando ha ricordato un altro celebre colpo ai danni di istituzioni finanziarie: quello contro Swift, proseguito a più riprese e i cui ultimi episodi sono risalenti allo scorso anno. “Il fatto che siano colpite istituzioni finanziare di alto profilo come Swift – ha spiegato – significa che queste metodologie di attacco possono colpire qualsiasi organizzazione complessa”. Secondo Armando il problema non è esclusivamente di sicurezza IT ma è sociologico. “Le organizzazioni criminali sfruttano vulnerabilità tecnologiche e di processo, cioè il modo in cui le persone si comportano. Penetrare dentro un sistema è molto più semplice di quanto si possa immaginare. A volte basta una semplice email”. Una volta all’interno, i criminali vedono tutta l’infrastruttura IT dell’azienda. Possono restare a osservare per mesi, talvolta accedendo a telecamere e microfoni, per osservare le comunicazioni, le transazioni, i processi. “Studiano tutto con calma. Poi quando hanno imparato abbastanza colpiscono. Quello che ci mettono mesi a capire non è l’infrastruttura tecnologica ma i processi di business”. Gli attacchi a Swift hanno colpito durante vari anni. “Non solo i criminali si installavano nella rete delle organizzazioni, ma mettevano in piedi azioni per prevenire di essere scoperti, e anche i processi, mostrando un alto livello di sofisticazione e altissimo livello di preparazione delle menti dietro agli attacchi”.

NON PER SOLDI MA PER SABOTAGGIO

Armando ha poi analizzato le dinamiche dei ransomware, (i cui casi recenti sono Wannacry, Petya, BadRabbit) che hanno attaccato settori variegati con obiettivi diversi, non solo di guadagno finanziario, ma talvolta per compromettere il funzionamento stesso dell’azienda. Avere un back up può non rivelarsi sufficiente. Spesso le finalità di un attacco, come già accennato, non sono meramente economiche. In altre parole, se l’intento è quello di sabotare, a nulla servirà pagare un riscatto (posto che sia richiesto). “In uno scenario in cui l’integrità del dato è un fattore sempre più importante, comprometterla è un danno enorme, soprattutto se l’attacco è realizzato su un periodo di tempo molto lungo”. I ransomware, ha spiegato Armando, sono sempre più diffusi perché sfruttano due elementi tecnologici importanti: in primis, la possibilità di monetizzare e incassare denaro in forma anonima grazie alle criptovalute; in secondo luogo, sfruttano le tecnologie che consentono di fare operazioni sulla rete in forma anonima. “La sicurezza – ha concluso – non è solo un problema tecnologico ma anche sociale. È lì che bisogna lavorare parecchio. Bisogna mettere in sicurezza i processi di business, non solo l’infrastruttura tecnologica”.