È altissima anche quest’anno l’attenzione verso la Financial Cyber Security, ovvero la sicurezza informatica di banche, assicurazioni e istituti finanziari. Gli attacchi informatici sono diventati sempre più pericolosi e il settore Finance è nel mirino: si tratta di uno di quelli più esposti al rischio di subire furti di dati e denaro, interruzione dell’attività, danni di reputazione, richieste di risarcimenti ecc.
Il 2018 secondo il Clusit è stato l’anno peggiore di sempre per la sicurezza informatica. «In Italia, come nel resto del mondo, siamo di fronte a un salto quantico delle minacce informatiche, a tutti i livelli – ha spiegato Gabriele Faggioli, Presidente Clusit, presentando la rilevazione dell’Associazione italiana per la Sicurezza Informatica sul primo semestre 2018 -. Registriamo una crescita del 35% degli attacchi di cybercrime (587 in soli sei mesi), sempre più aggressivo e organizzato. E un vero e proprio boom (+69%) di attacchi di spionaggio-sabotaggio, con 93 casi».
Who's Who
Gabriele Faggioli
Uno dei settori più colpiti come accennato è logicamente il Banking/Finance, visto che è quello che governa direttamente i flussi finanziari: il Clusit lo colloca al terzo posto dietro al settore pubblico e agli attacchi non mirati su specifici settori (multiple target).
Cyber Security nell’era del “malware as a service”
Ma quali sono le principali minacce per la Financial Cyber Security? In un capitolo appositamente dedicato, il Rapporto Clusit 2018 ripartisce gli attacchi in due macro-categorie: malware e ingegneria sociale (phishing). Il primo punta a prendere il controllo del computer o smartphone dell’utente (cliente o utente interno dell’istituto finanziario). Il secondo imita i messaggi di fornitori di servizi per carpire credenziali o estremi delle carte di credito. Il veicolo principale d’attacco rimane l’email. Quelle che si fanno sempre più sofisticate sono le tecniche di evasione dei filtri antispam e antivirus.
Al di là dei vari casi singoli, il Clusit individua come trend di fondo la complessità sempre crescente degli attacchi, non più incentrati solo su vulnerabilità dei sistemi informatici. “Dietro a queste sofisticate strategie agiscono articolate organizzazioni criminali, che spesso acquistano i software malevoli configurati ad hoc sulla singola banca. Ciò alimenta un vero mercato di “malware as a service”, a fianco di quello già florido della compravendita di credenziali digitali sottratte ai legittimi proprietari”.
E ovviamente più aumenta la complessità degli attacchi, più è difficile individuarli. Non basta più l’ispezione manuale dei singoli eventi dell’analista umano: occorre l’automazione, con tecniche di machine learning che monitorano l’intera transazione di Internet Banking, non più il singolo evento. La forza di questo approccio di Financial Cyber Security basato sull’automazione è adattare dinamicamente le regole di valutazione, segnalando in tempo reale azioni che non rientrano nel modello standard come tentativo di frode.
2018, il bilancio sulla Financial Cyber Security di Kaspersky Lab
Un bilancio sintetico degli eventi rilevanti di Financial Cyber Security nel mondo nel 2018 viene da Kaspersky Lab. Che conferma l’alto numero di cyberminacce, ma sottolinea un elemento positivo: l’arresto di diversi membri del gruppo di cybercriminali “autori” di Carbanak, Cobalt e Fin7 (responsabili secondo alcune fonti del furto di oltre un miliardo di dollari a più di 100 banche in tutto il mondo), anche se l’arresto non ha completamente fermato le loro attività criminose.
Altro elemento evidenziato è la concentrazione di attacchi su aziende fin-tech e trader di criptovalute, probabilmente per l’inadeguatezza dei loro sistemi di sicurezza. “L’attacco più creativo del 2018, AppleJeus, ha preso di mira proprio i trader di criptovalute, attraverso un software all’apparenza attendibile, che all’upload avvia un aggiornamento malevolo che si trasforma in “backdoor”, colpendo attraverso la supply chain grandi società finanziarie di cui questi trader sono fornitori”.
Altro attacco del 2018 citato da Kaspersky è quello relativo al gruppo MageCart che, infettando portali web di acquisti online (comprese quelle di grandi compagnie come British Airways), si è appropriato di un’enorme quantità di dati di carte di credito sfruttando le vulnerabilità di Magento, una delle piattaforme più utilizzate.
Infine il 2018 ha visto anche attacchi a organizzazioni che usano i sistemi bancari – con diverse ondate di diffusione del Trojan bancario Buhtrap, inserito in siti popolari e forum – e ai reparti amministrativi di aziende industriali, nelle quali le transazioni di grosse cifre non destano particolari sospetti.
Strategie di Financial Cyber Security, i consigli di Deloitte
Se questo è lo scenario, quali sono le strategie di Financial Cyber Security delle imprese del settore? Un’idea aggiornata viene dal report “The state of cybersecurity at financial institutions” di Deloitte basato su interviste ai CISO (Chief Information Security Officer) (inserire fonte*).
Una prima conclusione è che a parità di budget dedicato alla cyber security, sa difendersi meglio chi nella strategia prevede:
– accountability ai livelli più alti del management;
– coordinamento centralizzato della cyber security, ma con alcune responsabilità anche alle business unit e alle direzioni regionali;
– almeno due “linee di difesa” separate e indipendenti. Una a livello delle “front unit”, l’altra di una funzione centrale di cyber risk management;
– presidio della cyber security più spesso interne che in outsourcing.
Altri elementi evidenziati dai ricercatori Deloitte sono i seguenti.
– Nelle più grandi organizzazioni Finance intervistate il budget dedicato alla Cyber Security va dal 5% al 20% del budget IT totale, con una media del 12%. Tuttavia la metà spende l’1% o meno, che tenuto conto dei potenziali costi dovuti a un attacco “potrebbe non essere abbastanza”.
– Le società quotate spendono più di quelle non quotate: gli audit e i controlli del mercato e degli azionisti a cui le prime sono sottoposte “costringono” a valutazioni più approfondite sulle possibili conseguenze di un cyber attacco.
– Più di due terzi del budget di cyber security è dedicato ad attività operative continuative, e meno di un terzo ad attività di trasformazione/innovazione.
– Il CISO nelle piccole imprese risponde in gran parte direttamente al CEO. Nelle medie imprese soprattutto al CRO (Chief Risk Officer). Nelle imprese più grandi riporta al CRO, al CIO, o al direttore operativo.
– La più importante priorità di business con implicazioni di cyber security è l’integrazione di strumenti e strategie di cyber defense in tutti i progetti di innovazione aziendale, soprattutto nelle aree mobile, cloud e data analytics.
Il report si conclude con quattro consigli per mantenere il corretto bilancio tra rischio e innovazione nella Financial Cyber Security. Il primo è coinvolgere proattivamente il top management e il board. Il secondo è coinvolgere l’intera organizzazione, fino all’ultimo addetto, in termini di segnalazione di anomalie e possibili intrusioni, e di corretto comportamento per minimizzare i rischi. Il terzo è creare diverse linee di difesa, coinvolgendo business unit, uffici regionali e funzioni centrali con compiti e responsabilità specifici. E infine il CISO deve evolvere il mix delle sue attività, aumentando l’incidenza di quelle strategiche e di advisory, e riducendo quelle operative.
8 previsioni per il 2019
La domanda finale è ovviamente cosa possiamo aspettarci in ambito Financial Cyber Security nel 2019. Kaspersky Lab ha realizzato un report dedicato alle previsioni del 2019 (inserire link) dove vengono messi in evidenza evidenza 8 possibili scenari:
– L’arresto dei leader e dei singoli membri dei gruppi di cybercriminali Cobalt/Carbanak/Fin7 non li ha fermati: i gruppi si frammenteranno, intensificando gli attacchi e estendendo le aree geografiche dei loro obiettivi.
– Assisteremo ai primi attacchi basati su dati biometrici. Diverse istituzioni finanziarie stanno implementando sistemi biometrici per l’identificazione e autenticazione degli utenti e ciò pone le basi per i primi attacchi proof-of-concept (simulazioni in ambiente controllato per dimostrarne la fattibilità), basati sui dati biometrici già trafugati.
-L’attività dei cybercriminali nelle regioni India-Pakistan, Sud-Est asiatico ed Europa centrale è in costante crescita, per l’inadeguatezza delle strategie di Financial Cyber Security e la diffusione rapida tra persone e aziende di dispositivi elettronici per i pagamenti. È più che concreta la possibilità che emerga un nuovo centro per attacchi al settore Finance in Asia, che si affiancherebbe ai tre già esistenti in America Latina, Corea, ed ex-URSS.
-Continuano gli attacchi alla supply chain: nel mirino soprattutto le piccole imprese che forniscono servizi finanziari specializzati alle grandi istituzioni finanziarie in tutto il mondo, come i fornitori di sistemi per il trasferimento di denaro, per le banche e le Borse.
-Il crimine informatico tradizionale si concentrerà su target più facili e bypasserà le soluzioni antifrode: gli attacchi ai PoS verranno sostituiti da quelli ai sistemi di pagamento online. Gli utenti più a rischio nel 2019 saranno quelli che utilizzano carte senza chip o che non utilizzano l’autenticazione a due fattori per le transazioni.
-I sistemi di cybersecurity delle organizzazioni finanziarie verranno bypassati utilizzando dispositivi fisici collegati alle reti interne. Vista la scarsità di controlli sui dispositivi connessi in molte reti, i cybercriminali tenderanno a sfruttare situazioni in cui installare computer o mini-board, configurati ad hoc per rubare informazioni dalla rete, tipicamente dati di clienti o di funzionamento dell’infrastruttura dell’organizzazione.
-Attacchi al mobile banking per gli utenti business. Le mobile app per le aziende sono sempre più popolari. Le potenziali perdite per le aziende sono di gran lunga più grandi rispetto a quelle per i singoli utenti. I principali vettori di attacco, in questo caso, riguardano le web API e la supply-chain.
-Campagne di social engineering avanzate sui dipendenti interni di aziende e istituti finanziari incaricati dei trasferimenti di denaro. I cybercriminali prendono di mira figure specifiche con l’obiettivo di far trasferire loro ingenti somme. Utilizzano le informazioni trafugate dalle reti interne delle organizzazioni per far credere alle vittime che la richiesta di trasferimento di denaro viene direttamente dai titolari o dai manager dell’azienda.
