Cybersecurity e Banking: quali minacce per il settore, come garantire security e privacy dei dati

Il mondo militare ha sempre avuto una grande capacità di trainare gli investimenti relativi ad Information Technology. Basti pensare alla macchina elettromeccanica di Alan Turing (autore della omonima macchina, detta appunto di Turing) impiegata durante la Seconda Guerra Mondiale dal governo inglese per decodificare codici creati dalla macchina crittografica Enigma utilizzata dalle forze armate tedesche.

Nella cybersecurity, invece, l’industria in qualche modo “trainante” sia per quanto riguarda gli investimenti necessari sia per la difesa sia per l’attacco cyber sembra essere il mondo finanziario. Se chi sferra l’attacco è infatti interessato ad accedere alla cassaforte dove poter prelevare l’oggetto del desiderio, chi progetta e attua la difesa deve in qualche modo adeguarsi per evitare che l’attacco abbia successo.

Questo ha innescato una feroce guerra tra chi attacca e chi si difende, che lascia sul campo non solo ovviamente vittime ma anche tantissima innovazione tecnologica.

La possibilità di mettere le mani sui grandi capitali finanziari è la prima, forte motivazione che spinge gli attaccanti. Va però considerato anche il fatto che il mercato finanziario è stato, ed è tuttora, al centro della trasformazione digitale e che, per questo, ha dovuto confrontarsi con le nuove opportunità messe a disposizione (ad esempio la PSD2, direttiva che autorizza terze parti ad effettuare i pagamenti) e con uno scenario che ha ampliato i perimetri di un possibile attacco.

In passato, malware sviluppati per essere efficaci nel mondo finanziario, si sono poi rivelati efficaci su altre industrie. Il primo esempio è Zeus, malware con il quale è possibile sottrarre dati finanziari. Appare per la prima volta nel 2007 e da allora ha infettato milioni di dispositivi. Il malware rappresenta sia una botnet che consente all’attaccante di controllare il dispositivo sia un trojan progettato per rubare credenziali bancarie tramite keylogging di siti web. La sua fama non è dovuta tanto però alla feroce efficienza, quanto al fatto che ad un certo punto, per qualche ragione, il codice sorgente è divenuto pubblico. Da questo momento in poi è stato necessario sviluppare tecniche di anti-virus che non possono limitarsi a verificare la presenza o meno sul dispositivo di un file (signature). Infatti, basta inserire nel codice sorgente una piccola modifica, e si creano tante varianti una diversa dall’altra. Da questo momento in poi la difesa ha dovuto attrezzarsi sviluppando tecniche di riconoscimento di comportamenti anomali sui processi, sulle applicazioni, sull’uso di risorse ed identità.

Nel mondo dell’attacco invece Zeus evolve in Cittadel, anch’esso sviluppato con l’obiettivo di rubare credenziali bancarie ed altre informazioni sensibili, ma anche per gestire modifiche al sistema, quali il reindirizzamento del browser, installazione di altri virus. In questo caso, gli autori hanno creato un vero e proprio modello di sviluppo basato su open-source mettendo a disposizione un manuale d’uso, aggiornamenti continui. In altre parole, è stato messo a disposizione degli attaccanti un ricco framework con cui sviluppare nuovi attacchi. Come si accennava prima, un simile kit potrebbe poi essere utilizzato anche per altre industrie.

L’introduzione delle nuove direttive ha creato nuove opportunità per possibili attacchi cyber verso il sistema bancario e lo ha reso più appetibile per gli hacker. Il 13 Gennaio del 2019 è entrata in vigore la Direttiva ( EU ) 2015/2366 che regola i servizi di pagamento, meglio conosciuta come PSD2. La normativa ha trovato piena applicazione a partire dal 14 settembre 2019. Con la PSD2 vengono introdotte delle regole per creare un mercato unico ed integrato di servizi di pagamento, regolamentare i pagamenti digitali e garantire una concorrenza trasparente. Fino a prima della PSD2, il mercato del pagamento vedeva solo coinvolti l’utente, la banca e una terza parte che poteva operare se autorizzata da utente e banca (ad esempio circuito di carte di credito). Con la PSD2, i titolari di un conto di pagamento potranno autorizzare terze parti ad accedere ai propri conti e avviare soprattutto operazioni di pagamento.

Ovviamente la PSD2 introduce nuovi requisiti di sicurezza. Ed è questa la dinamica con cui la cybersecurity si è dovuta confrontare. Da un lato, una forte accelerazione e innovazione sui servizi, dall’altro, controlli di sicurezza introdotti e sviluppati per ridurre il rischio dovuto al cybercrime. Nella PSD2 ad esempio diventa obbligatorio l’accertamento della identità attraverso due o più meccanismi di autenticazione diversi che si basano su quello che si sa (per esempio il PIN), quello che si ha (ad esempio un token) e quello che si è (riconoscimento biometrico).

Non si tratta solo comunque di PSD2. La necessita di gestire ambienti estremamente diversificati ha costretto l’industria a focalizzarsi su tipi di segmentazione che andassero oltre la segmentazione standard.

Sempre più spesso in ambiente finanziario si parla di microsegmentazione. La microsegmentazione è una tecnica che consente di applicare controlli di sicurezza agli asset presenti nel data centre o nel cloud in funzione delle necessità di business che hanno di comunicare gli uni con gli altri. La microsegmentazione consente di avere maggiore flessibilità e granularità rispetto alla segmentazione delle reti e delle applicazioni, rendendo più semplice bloccare movimenti laterali tra data-centre, cloud ed ambienti ibridi. L’idea, infatti, di creare delle sottoreti su cui creare profili aventi le stesse necessità è tipica della segmentazione della rete. Con la segmentazione delle applicazioni si va oltre, creando delle barriere a livello 4 dello stack OSI. Con la microsegmentazione si fa un passo avanti, si cerca una estrema granularizzazione dell’ambiente per poter definire elementi che hanno una visibilità fino al livello 7 dello stack OSI.

Altro elemento su cui il mercato finanziario ha dovuto confrontarsi necessariamente è la importanza del fattore umano nel cybercrime ed anche su questo argomento possiamo trovare delle iniziative di grande interesse. Il TIBER-EU è un framework disegnato per autorità (supra) nazionali che rappresentano la infrastruttura nazionale. Il framework si divide tra regole obbligatorie e quelle che sono specifiche per ogni giurisdizione. Obiettivo del framework è creare una guida su come autorità, threat intelligence e fornitori di red-teams possano lavorare insieme per testare la cyber-resilience delle istituzioni finanziarie in caso di un cyber-attacco. Cosi come Cittadel può essere adattato ad altre industrie, la adattabilità è qualcosa che riguarda anche il mercato finanziario. Il framework TIBER-EU nato per l’industria finanziaria, può tranquillamente essere adattato ad altre industrie. Con il TIBER-EU è possibile simulare le tattiche, le tecniche e le procedure degli attaccanti e capire come i sistemi, le persone e le tecnologie possano rispondere. Il risultato non è un pass o fail ma serve per identificare le forze e le debolezze della organizzazione.