I rischi di container e open source per i servizi finanziari

La trasformazione digitale ha investito anche il settore di servizi finanziari, banche e assicurazioni, sull’onda delle innovazioni introdotte dalla Fintech, e che hanno finito per contagiare anche gli operatori tradizionali. L’adozione del cloud computing (nelle sue varie forme), lo sviluppo di applicazioni containerizzate e l’utilizzo di software open source sono, forse, i fenomeni più evidenti ed estesi. E se questi elementi certamente permettono un’evoluzione più rapida dei servizi, d’altra parte favoriscono l’incremento del rischio informatico, connesso per esempio alle configurazioni errate, ai mancati aggiornamenti e alla presenza di vulnerabilità.

Il caso di Log4Shell ha mostrato bene quanto una vulnerabilità software possa essere diffusa endemicamente restando magari nell’ombra per anni, per poi diventare uno strumento di attacco. L’open source amplifica il problema perché gli stessi codici software vengono adottati e adattati in contesti differenti, anche (come nel caso di Log4Shell) su scala planetaria.

Un nuovo studio di Dynatrace (“The 2022 CISO Research Report: Financial Services”), basato sulle risposte di 325 professionisti IT di banche, assicurazioni e fornitori di servizi finanziari, svela che tra i chief information security officer la percezione di questi rischi è abbastanza diffusa. Per il 75% dei Ciso intervistati, infatti, la crescente necessità di accelerare la trasformazione digitale sta rendendo sempre più difficile la gestione delle vulnerabilità, attività che come sappiamo richiede tempismo sia nella scoperta dei problemi sia nella distribuzione degli aggiornamenti.

L’indagine rivela anche che la maggior parte delle organizzazioni del settore dei servizi finanziari ha adottato ambienti multicloud, architetture cloud-native e librerie di codice open source per riuscire a fornire rapidamente nuove soluzioni digitali ai clienti. Il serverless computing, i container, gli strumenti di orchestrazione come Kubernetes e le architetture a microservizi offrono indubbi vantaggi in termini di costi, agilità e velocità dello sviluppo software, ma d’altro canto complicano il lavoro dei Ciso. Così come non favorisce il loro lavoro l’open source, per via della costante scoperta di vulnerabilità nelle librerie software di terze parti.

Mancanza di visibilità e falsi positivi complicano il lavoro

In generale, un problema che è conseguenza di tutte le trasformazioni tecnologiche citate è la mancanza di osservabilità. Secondo l’indagine di Dynatrace, solo il 31% dei team di sicurezza è in grado di accedere in tempo reale a report completamente accurati e sempre aggiornati di ogni applicazione e libreria di codice in esecuzione (in produzione). Inoltre, il 29% dei Ciso non è in grado di sapere sempre quali librerie di codice di terze parti siano in produzione in un determinato momento. Stando alla ricerca, solo il 6% delle organizzazioni di servizi finanziari ha visibilità in tempo reale sulle vulnerabilità a runtime.

A volte, poi, è facile che i problemi di codice risolti escano dalla porta e rientrino dalla finestra, per così dire: il 49% dei Ciso ha dichiarato che la velocità di distribuzione del software facilita il rientro in produzione delle vulnerabilità. A ciò si aggiunge poi il ben noto problema dei falsi positivi, che alimentano un volume di alert difficile da gestire, fanno perdere tempo al personale IT e rendono più difficile la scoperta dei pericoli reali. A detta di Dynatrace, un team di cybersicurezza aziendale riceve in media più di 2.200 avvisi di potenziali vulnerabilità ogni mese.

“Il settore dei servizi finanziari sta vivendo un cambiamento significativo, guidato dall’evoluzione delle richieste dei clienti e dall’intensa concorrenza dei fornitori digital-first”, ha commentato Emanuele Cagnola, Italy director di Dynatrace. “Tuttavia, questa crescente pressione a innovare più velocemente sta creando un maggiore rischio di vulnerabilità che sfuggono alla produzione. È ormai chiaro che gli attuali approcci alla sicurezza a più livelli non sono sufficienti, poiché i team non possono accedere a tutto il contesto di cui hanno bisogno per evitare che ogni vulnerabilità sfugga. Di conseguenza, è sempre più difficile per loro gestire la sicurezza delle applicazioni, il che potrebbe mettere a rischio dati finanziari sensibili e transazioni critiche”.

Come migliorare la sicurezza del software nel settore dei servizi finanziari
Considerando la tipologia di dati che i servizi finanziari maneggiano, in questo settore le conseguenze di un attacco informatico, ransomware o data leak che sia, non sono certo leggere. Come affrontare tutto questo? Per l’82% dei Ciso del settore dei servizi finanziari, la cybersicurezza dovrebbe essere una responsabilità condivisa sull’intero ciclo di vita del software, dallo sviluppo alla produzione. Sarebbe importante, a tal fine, alimentare e far maturare una cultura del DevSecOps (DevOps con integrati principi di progettazione e controlli di sicurezza), ma oggi solo il 37% delle aziende del campione d’indagine può dire di averlo fatto.

Bisogna poi affrontare anche con le tecnologie il problema dell’osservabilità e quello dei falsi positivi. Qui entrano in gioco le tecnologie di automazione e di intelligenza artificiale, che permettono di identificare rapidamente le falle, di dare un ordine di priorità ai problemi e di rimediare alle vulnerabilità secondo quest’ordine, in modo rapido e riducendo al minimo l’intervento umano.