Banca digitale alle prese con il cyber risk

L’evoluzione digitale trasforma anche il sistema bancario. L’incremento degli utenti connessi alle infrastrutture di pagamento, l’ampliamento dei servizi digitali da parte del sistema di gestione del credito, la cultura delle PAPI (public API) e dell’Open Banking, il consueto utilizzo di negozi “online” in un ecosistema pandemico in cui le transazioni “passano da casa”, sono tutti fattori che amplificano la superficie di esposizione dell’intera filiera bancaria. Non è un caso che report come quello del Clusit e quello redatto da Yoroi (parte del gruppo Tinexta) affermano che i cyber attacchi sono incrementati in maniera vertiginosa specialmente contro sistemi bancari i quali, nonostante siano i sistemi più protetti, sono soggetti a minacce in costante cambiamento che evolvono per complessità ed impatto.

Osservando questo recente trend possiamo facilmente affermare che il sistema bancario può essere oggetto di attacco ma anche coinvolto, attraverso la sua filiera produttiva, in attacchi verso i propri utenti. Per questo è necessario innalzare l’attenzione sia da un punto di vista interno che da un punto di vista esterno al proprio perimetro informativo.

Ponendo particolare attenzione verso la difesa degli utenti, possiamo notare che l’utilizzo di phishing kit è ormai una prassi consolidata da parte di numerose tipologie di attaccanti. La realizzazione di siti fraudolenti copia di siti originali sempre più astuti ed abili a compiere frodi, sono di comune disponibilità nel mercato sommerso. Essi hanno capacità di carpire sia utenze (username e password) che OTP (one time passowrd, utilizzate ormai dai tutti i moderni sistemi di internet-banking) ottenendo pieno accesso ai conti correnti degli utilizzatori. Il sistema bancario dovrebbe dotarsi di sistemi di threat intelligence e digital sourvelliance per monitorare costantemente la presenza di domini omografi (ovvero con somiglianza lessicale) rispetto ai propri domini e segnalare prontamente ai loro utenti e agli organi di competenza ciò che è stato individuato. Sempre nell’ottica di difendere i propri utenti, il sistema bancario dovrebbe adottare dei piani di testing continui e ricorsivi sia dei propri sistemi informativi sia della propria filiera di produzione.

In questa ottica, alcune aziende italiane, si sono focalizzate nella realizzazione di servizi di controllo dell’esposizione della filiera produttiva, al fine di realizzare un indice atto alla valutazione del rischio di attacco utile sia per valutare una singola organizzazione, sia un gruppo di organizzazioni cooperanti ad un medesimo servizio.

Nonostante ciò non si può lasciare la difesa dei singoli utenti al solo sistema centralizzato; ogni utente, ogni azienda, ogni frequentatore del web dovrebbe avere ben chiaro che il digitale espone a rischi molto concreti e che vi è la necessità di abilitare una cultura del digitale. Abbiamo costruito il digitale così velocemente che non abbiamo fatto in tempo a comprendere appieno le sue opportunità e a comprenderne i veri rischi ad esso associati. Per esempio, durante la pandemia numerosi lavoratori hanno avuto la necessita di lavorare da casa proiettando i propri dispositivi digitali in un ambiente per il quale non erano stati pensati. È difficile paragonare, in termini di sicurezza informatica, un ambiente domestico ad un ambiente industriale ma, nello stesso modo, attraverso canali VPN (Virtual Private Network) i lavoratori operavano da remoto come se nulla fosse cambiato. Contrariamente per un attaccante, le condizioni a contorno erano cambiate. La compromissione di una rete domestica risulta tipicamente più semplice rispetto alla compromissione di una rete aziendale in questo modo hanno potuto trovare una via privilegiata per accedere sia ai sistemi della vittima che a quelli della sua organizzazione. Questo scenario ha abilitato la proliferazione di organizzazioni criminali denominate “double extortion” (oggi ne sono tracciate più di 50) che attaccano senza tregua il tessuto produttivo Italiano.

È necessario creare cultura all’interno delle proprie organizzazioni, suggerire ai propri amministratori di investire in cybersecurity, di prediligere servizi rispetto che prodotti, di appoggiarsi ad organizzazioni specializzate mantenendo una chiara distinzione tra gli ormai classici system integrators (operanti tipicamente in ambiente IT) e le più recenti cybersecurity company al fine di garantire un elevato standard di sicurezza a tutela dei propri lavoratori e dei propri clienti.