17/12/2020 di Redazione

Un salto tecnologico per vincere la guerra con il cybercrime

Le banche devono avere una maggiore coscienza della superficie da difendere e devono potersi muovere più rapidamente anche grazie a processi automatizzati. Il non facile percorso nel mondo della sicurezza degli istituti di credito, ancora alle prese con l

La gestione dei dipendenti in smart working, la relazione con il cliente sempre più “contactless”, la migrazione verso il cloud e le cyber-minacce sempre più sofisticate stanno cambiando velocemente la fisionomia delle infrastrutture It delle banche. Non è un processo né facile né indolore, perché soprattutto i sistemi “core”, quelli che fanno girare le applicazioni mission critical degli istituti di credito, erano (e in parte sono ancora) molto soggetti a tecnologia proprietaria e rigidità accumulate nel corso degli anni (per non dire decenni precedenti).

La digital transformation (un percorso che stanno facendo tutte le organizzazioni, non solo le banche) si è sovrapposta anche alle nuove normative (Psd2 tra tutte), costringendo Cio e responsabili It a modificare profondamente le architetture hardware e software, alla ricerca di soluzioni che supportassero l’analisi dei big data e gli algoritmi di AI, tanto per citare solo due dei tanti nuovi trend.

Lo scenario fin qui delineato ci aiuta a comprendere l’importanza strategica, soprattutto per i Chief Information Security Officer (Ciso), della piena e affidabile visibilità sull’infrastruttura tecnologica della banca. Un concetto che vale sicuramente per le realtà che gestiscono internamente la maggior parte dei processi core, ma anche per quelle che hanno scelto la strada dell’outsourcing operativo e per quelle, soprattutto fra le realtà digital native, con una forte propensione alla fruizione di servizi in cloud.

Da qui ha preso spunto il progetto di ricerca qualitativa che Indigo Communication ha realizzato per conto di Qualys, intervistando una quindicina di istituti di credito di varie dimensioni, allo scopo di approfondire, in particolare, quale sia stata fino a oggi l'evoluzione del presidio e del controllo sulle infrastrutture Ict, in quale misura si stia gestendo un eventuale passaggio al cloud, come incidano gli sviluppi in direzione della trasformazione digitale e quali siano gli strumenti adottati per garantire la minimizzazione della superficie vulnerabile e la capacità di risposta e rimedio in caso di problematiche di sicurezza.

 

L’evoluzione della sicurezza

Sembra che l’impatto più rilevante anche sul fronte della sicurezza sia stato determinato dall’arrivo della Psd2, divenuto concreto nella seconda parte del 2019, ma con ricadute tuttora attive per molti istituti, soprattutto nello sviluppo di nuovi servizi. Per diverse realtà, il passaggio ha comportato investimenti utili a garantire che gli accessi dei clienti da propri endpoint avvengano ai livelli di sicurezza più elevati del momento e, quindi, con tecniche di strong authentication a due fattori. L’apertura delle reti a terze parti ha inciso sull’approccio architetturale alla cybersecurity per far sì che tutto avvenga garantendo nel contempo l’impenetrabilità delle proprie infrastrutture. 

Mentre per decenni la sicurezza è concentrata sulla protezione dall’interno verso le minacce provenienti dal mondo esterno, il campione analizzato per la ricerca conferma che più o meno tutti i responsabili della sicurezza degli istituti bancari hanno negli ultimi anni esteso il raggio d’azione dei propri strumenti di protezione. A differire è il peso di queste componenti e le conseguenti metriche di valutazione dei team di sicurezza. La difesa perimetrale non è certo scomparsa, la sua utilità non viene disconosciuta e in alcuni casi questo è ancora il tipo di approccio preponderante alla cybersecurity. Strumenti come il Siem o l’analisi comportamentale sono patrimonio comune fra le banche di ogni dimensione (o i loro outsourcer), ma si può dire sia ancora minoritaria la logica di misurazione basata sul tempo di rimedio a una falla riscontrata (e prima ancora individuata) e sulla garanzia della minor superficie vulnerabile possibile. 

La pandemia del 2020 ha improvvisamente costretto le aziende a spostare in remoto gran parte del lavoro dei propri dipendenti ma non sembra aver richiesto importanti revisioni infrastrutturali nelle banche analizzate. Lo smart working era più o meno già presente ovunque, anche se certamente minoritaria era la quantità di personale coinvolto. I responsabili Ict & Security hanno dovuto in prima battuta occuparsi di un’emergenza soprattutto al numero di persone, dispositivi e connessioni coinvolte. Laddove esistevano le adeguate premesse, si è dato spazio alle architetture Zero-Trust, dove si assume che chiunque possa rappresentare una minaccia e quindi occorra verificare sempre e in continuazione, ma più in generale l’attenzione è stata assorbita dalla necessità di mettere tutti nelle condizioni di lavorare come se si trovassero in ufficio, rincorrendo la disponibilità di laptop laddove non ci fosse già una dotazione interna sufficiente, attivando la connessione remota tramite Vpn rafforzate nella loro portata e generalizzando l’utilizzo di sistemi di autenticazione multifattore.

 

Le spinte all’innovazione

Ci sono numerosi fattori che fanno pensare come, nel breve e medio termine, la sicurezza informatica resterà un tema rilevante nei piani di investimenti degli istituti di credito italiani. La già citata normativa Psd2 ha fornito una spinta determinante per il rinnovamento dei controlli sugli accessi e le operazioni effettuate sui sistemi. L’emergenza Covid-19 ha portato in qualche caso ad accelerare decisioni magari già pianificate ma con tempi di esecuzione più lunghi, nella consapevolezza che gli effetti perdureranno nel tempo e, in alcuni ambiti, saranno forse irreversibili.

In questo scenario, pare esserci spazio anche per un maggior utilizzo del cloud, anche se in alcuni ambiti piuttosto delimitati. Già oggi è abbastanza frequente intercettare realtà che ne sfruttano le caratteristiche per gestire la sicurezza della posta elettronica o della condivisione di file, nel più ampio contesto di diffusione di soluzioni di collaboration non più gestite in-house. Anche per i sistemi di monitoraggio e visibilità infrastrutturale, utili per individuare, classificare e porre rimedio a eventuali vulnerabilità critiche riscontrate sulle reti, l’idea di affidarsi a una soluzione in cloud non incontra più le stesse resistenze di un tempo.

“La coscienza di dover rafforzare le difese fondamentali per il conseguimento di una sicurezza adeguata”, dice Emilio Turani, Managing Director per Italia, South Eastern Europe, Turchia e Grecia di Qualys, “nasce dalla ricca biodiversità digitale che oggi si trova nel panorama It di molte organizzazioni. Sebbene molte aziende ritengano di avere una buona visibilità sugli ambienti più tradizionali quali risorse in datacenter e postazioni di lavoro gestite, esiste una situazione confusa o quantomeno di densa foschia in ambienti cloud, di enterprise mobility e negli ambiti dove dominano application container o IoT”.

Emilio Turani

 

Complici di questa scarsa visibilità sono i nuovi paradigmi operativi, che presentano una frammentazione di risorse atomiche che rappresentano nuovi modi di erogare servizi con un’agilità finalmente al passo con le esigenze del business. Tali vantaggi non sono però liberi da difficoltà. Ad esempio, un ambiente cloud può accogliere server e stazioni virtualizzati oppure infrastrutture applicative PaaS realizzate separando storage, database, network group, access control list e via dicendo. Si può considerare allo stesso modo la natura effimera degli application container, che possono venire istanziati a centinaia in base alla scalabilità di un servizio orchestrato da Kubernetes, per ridursi in brevissimo a poche decine o unità.

“Tutto questo oggi”, conclude Turani, “richiede visibilità pervasiva ed estesa a tutto l’ambiente It, senza dimenticare però ulteriori funzionalità essenziali, quali la categorizzazione automatica e flessibilità estrema nella definizione dei perimetri logici, la capacità di aggregare e tracciare informazioni che devono essere rapidamente consumabili da più processi o profili utente, la rapidità operativa derivata da flussi di lavoro il più possibile automatizzati e, infine, la coscienza della superficie vulnerabile”.

ARTICOLI CORRELATI