Cybersecurity: gli attacchi sono la minaccia più grave per i servizi finanziari

Gli operatori del settore finanziario sono da sempre uno dei principali target del cybercrime.
Da decenni gli investimenti in cybersecurity sono vitali in questo mondo: come ha detto Jamie Dimon, CEO of J.P.
Morgan Chase & Co, "gli attacchi cyber andrebbero considerati la minaccia più grave nel sistema finanziario americano".
La J.P.Morgan Chase, una delle banche Big Four americane, insieme a Bank of America, Citigroup e Wells Fargo, spende infatti 600 milioni di dollari all'anno per mantenere elevate le proprie difese contro "un flusso continuo di attacchi cyber".

Nonostante questo, ha subito nel 2013 uno dei data breach più gravi della storia: riportato da Forbes, le sono stati rubati dati per 76 milioni di famiglie e 7 milioni di piccole imprese.
Negli ultimi anni, il tema della cybersecurity nel mondo Finance è esploso in seguito a un più ampio ricorso al digitale, al mobile banking, alle Fintech.
In definitiva, a una superfice d'attacco molto più ampia che non nel passato.
Come spiegato nel "ECB Banking Supervision: Risk assessment for 2020", analisi della Banca Centrale Europea in cui sono indicati i principali rischi per le banche dell'eurozona, la cybersecurity ricopre oggi un ruolo prioritario per:

- L'incremento continuo della digitalizzazione nel mondo dei servizi finanziari.
- La crescente obsolescenza tecnologica di alcuni sistemi informativi bancari.
- L'interconnessione con sistemi di terze parti (oltre che la migrazione al cloud) e quindi l'incremento di rischi associati all'intera filiera.
Oggi i servizi finanziari dipendono interamente da sistemi computazionali, e quindi, è diventato indispensabile un controllo costante sulle vulnerabilità lungo tutto il ciclo di vita.

Ogni giorno nell'industria finanziaria sono scambiati documenti, accordi, contratti, prestiti, con largo uso di sistemi informativi sempre più complessi.
I clienti poi sono diventati nativi digitali che si aspettano tutto in tempi rapidi, via mobile, con trattamenti dei propri dati in linea con le esigenze di riservatezza e sicurezza.
Considerando le informazioni trattate e le opportunità di guadagno legate alle frodi, è ben chiaro perché il settore finanziario rimane - nonostante le norme e le misure già adottate - uno dei principali presi di mira dagli attaccanti.
Le tecniche di attacco stanno evolvendo, oggi sono presi di mira i telefoni mobile e i conti delle aziende, mentre la frode tradizionale con carte di credito o attacchi ai POS ha perso terreno.
Phishing, ransomware e attacchi DDoS sono all'ordine del giorno: l'estorsione è un rischio molto reale, ora che le campagne di crypto-ransomware sono diventate sempre più sofisticate e pesanti, grazie a una distribuzione di massa che va leva su botnet IoT.

Se il phishing può essere frenato tramite campagne di awareness per addestrare gli utenti a "non cliccare su link malevoli", non si può dire lo stesso per altri attacchi più subdoli e mirati, volti ad aprire un primo varco nella rete della banca.
Spesso poi le istituzioni si trovano a dover rispondere a una serie di attacchi contemporanei, in alcuni casi disegnati appositamente per "distrarre" i difensori e per impedirgli di rilevare un'operazione fraudolenta piuttosto delicata in corso.
Come sarà discusso nel corso della web conference "CYBER IN FINANCE 2021", organizzata da The Innovation Group (TIG) per il prossimo 10 Novembre, in risposta a una domanda più elevata di resilienza operativa nel mondo dei servizi finanziari, in UE sarà introdotta, entro fine marzo 2022, una nuova norma, la Digital Operational Resilience Act (DORA).

Il regolamento (si vedano a questo proposito le recenti linee guida di ISACA nel paper "Digital Operational Resilience in the EU Financial Sector: A Risk-Based Approach") chiederà agli istituti di prepararsi contro possibili eventi malevoli (attacchi cyber così come anche interruzioni tecniche, blackout energetici).
Il disegno di legge sulla resilienza operativa digitale per gli istituti finanziari dell'UE include in particolare aspetti di Business Continuity e gestione del rischio legato alle terze parti.
Elena Vaciago, Associate Research Manager, The Innovation Group