di-cosa-parliamo-quando-parliamo-di-cyber-risk

Di cosa parliamo quando parliamo di cyber risk

I casi di furti miliardari ai danni di importanti istituzioni finanziarie internazionali dimostrano che è urgente affrontare il tema del rischio informatico per quello che è: non un problema di tecnologia, ma un argomento molto più vasto

Una mail sbagliata aperta da un funzionario distratto può spalancare le porte a un saccheggio colossale. L’era della digitalizzazione ha messo in soffitta anche la pistola delle rapine a mano armata. Le armi oggi sono software maligni che, una volta introdotti nel sistema di un istituto finanziario, iniziano a raccogliere informazioni su metodi di lavoro, procedure, regole. Arrivano persino a introdursi nelle telecamere dei sistemi informatici per registrare i movimenti degli impiegati e carpire ulteriori falle da cui trarre vantaggio. È grazie a questa metodologia che un gruppo criminale divenuto ormai famoso, Carbanak, pochi anni fa è riuscito a sottrarre, si stima, circa un miliardo di dollari a più di 100 istituzioni finanziarie in oltre 40 diversi Paesi. L’organizzazione è riuscita a trasferire denaro rubato in banche negli Usa e in Cina, alterando i conti, arrivando persino ad attivare, in modo remoto, numerosi bancomat permettendo così di rubare banconote senza esplosioni rocambolesche, ma con la sola astuzia dell’alterazione di codici.
Casi come quello di Carbanak mostrano quanto sia urgente per le istituzioni finanziarie garantire la solidità del rapporto fiduciario con i risparmiatori. Diventerà sempre più importante dare ai clienti l’assicurazione che i dati online siano sempre protetti. Per questo motivo il Salone del risparmio, il grande evento che si è svolto a Milano la scorsa settimana, ha deciso di dedicare un interessante approfondimento al tema della cyber security. Ad animare la discussione un panel di alto livello che ha analizzato il tema delle nuove minacce cyber nel settore finanziario e le possibili risposte attraverso l’analisi di casi concreti: Paolo Ciocca, commissario della Consob, Alessandro Armando, docente presso l’Università di Genova ed esperto di cybersecurity, e Melissa Hathaway, senior advisor per la cybersecurity della Harvard Kennedy School, che in passato si è occupata di sicurezza informatica per l’amministrazione di George W. Bush e di Barack Obama.

Un nemico silente
Il quaderno Fintech pubblicato dalla Consob a gennaio 2019 riporta i dati di “un’ispezione effettuata dall’Autorità di vigilanza statunitense (Sec) che ha mostrato come circa tre quarti dei 49 consulenti esaminati riportassero di avere avuto esperienze dirette o indirette di attacchi informatici”. Gli attacchi, valutati ad alto o medio rischio, “si riferivano in particolare a dati dei clienti, algoritmi proprietari, funzionalità di negoziazione sui mercati e di accesso al sito internet/alla posizione personale del cliente”. Per questo Paolo Ciocca ha sottolineato che quando si parla di cyber risk non ci si riverisce al semplice incidente informatico. È un problema molto più complesso, diverso da un incidente classico per portata, per valore dell’impatto, per intento, per dimensioni”. I casi come quelli di Carbanak fanno parte dei cosiddetti Apt, advanced perstitent threath: più che un malware un vero e proprio progetto. Gli Apt “sono un’arma inviata che resta attiva per lungo tempo – ha detto Ciocca – e che non si presenta subito perché persegue obiettivi intermedi”. Non si tratta di finalità necessariamente economiche. Ci possono essere intenti sovrani, con alle spalle soggetti statali: “è quindi evidente – ha osservato – che in questo le difese da mettere in campo non solo soltanto quelle tecniche”.

Sei mesi per accorgersi di essere sotto attacco
Il primo furto elettronico ai danni di una banca risale al 1994. La vittima fu Citibank, e le perdite risultarono superiori ai 10 milioni di dollari sottratti attraverso la penetrazione in 40 diverse transazioni in varie città americane. “In quell’occasione – ha spiegato Melissa Hathaway – venne attaccato il cash management system. A quella rapina il sistema reagì istituendo la figura del cyber security officer. Le nostre aziende – ha osservato – sono iperconnesse: hanno digitalizzato molti asset ma hanno aumentato la vulnerabilità”. Gli strumenti per mettere in atto gli attacchi informatici si possono acquistare per pochi dollari sul web. Si possono rubare dati sensibili come carte di credito, documenti di identità, e il tutto con strumenti che costano meno di 1000 dollari. Secondo Hathaway, l’organizzazione media impiega approssimativamente 197 giorni ad accorgersi di un attacco, e 69 giorni per contenere il danno.

Un problema non solo tecnologico, ma sociologico
Alessandro Armando ha ricordato un altro celebre colpo ai danni di istituzioni finanziarie: quello contro Swift, proseguito a più riprese e i cui ultimi episodi sono risalenti allo scorso anno. “Il fatto che vengano colpiti istituzioni finanziare di alto profilo come Swift – ha spiegato – significa che queste metodologie di attacco possono colpire qualsiasi organizzazione complessa”. Secondo Armando il problema non è esclusivamente di sicurezza IT, ma è sociologico. “Le organizzazioni criminali sfruttano vulnerabilità tecnologiche e di processo, cioè il modo in cui le persone si comportano. Penetrare dentro un sistema è molto più semplice di quanto si possa immaginare. A volte basta una semplice email”. Una volta all’interno i criminali vedono tutta l’infrastruttura IT dell’azienda. Possono restare a osservare per mesi, talvolta accedendo a telecamere e microfoni, per osservare le comunicazioni, le transazioni, i processi. “Studiano tutto con calma. Poi quando hanno imparato abbastanza colpiscono. Quello che ci mettono mesi a capire non è l’infrastruttura tecnologica ma i processi di business”.

Non per soldi, ma per sabotaggio
Armando ha poi analizzato le dinamiche dei ransomware, (i cui casi recenti sono Wallacry, Petya, BadRabbit) che hanno attaccato settori variegati con obiettivi diversi, non solo di guadagno finanziario, ma talvolta per compromettere il funzionamento stesso dell’azienda. Avere un back up può on rivelarsi sufficiente. E spesso le finalità di un attacco, come già accennato non sono meramente economiche. In altre parole, se l’intento è quello di sabotare, a nulla servirà pagare un riscatto (posto che venga richiesto). “In uno scenario in cui l’integrità del dato è un fattore sempre più importante, comprometterla è un danno enorme, soprattutto se l’attacco viene realizzato su un periodo di tempo molto lungo”.