sicurezza informatica

Integrare la cyber security nei rischi operativi delle banche: come fare

Home Sicurezza digitale
Indirizzo copiato

L’incorporazione dei rischi cyber nei rischi operativi delle banche è diventata una necessità imperativa per garantire la resilienza di questi istituti nell’era digitale, date le potenziali conseguenze nefaste che possono avere sulla stabilità dell’intero sistema. Non è solo una questione tecnica, ma anche culturale

Pubblicato il 30 nov 2023
Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT

CISO, Cyber,Security,And,Network,Protection.,Cybersecurity,Expert,Working,With,Secure
CISO

La sempre maggiore digitalizzazione del settore bancario, unita alla sempre maggiore interconnessione tra i vari soggetti che in esso operano, hanno portato con sé una miriade di opportunità, ma anche una serie di rischi emergenti e, in particolare, i rischi cyber. Questi rischi, chiamati in maniera più ampia “Rischi ICT e di sicurezza”, possono provocare una molteplicità di impatti che variano dalle violazioni di dati a interruzioni operative e pertanto rappresentano una minaccia significativa per la stabilità del settore bancario e, più in generale, per tutto il settore finanziario.

L’incorporazione dei rischi cyber nei rischi operativi delle banche è quindi diventata una necessità imperativa per garantire la resilienza di questi istituti nell’era digitale, ma nel contempo essa non risulta essere molto agevole sia per la poca conoscenza che si ha di tali rischi sia per la loro continua variabilità. Se si guarda agli ultimi anni, si può notare come gli attacchi cyber verso le banche sono cambiati con una velocità quasi esponenziale introducendo tecniche sempre più efficienti e sofisticate.

Per tale ragione, la creazione di un modello di integrazione dei rischi cyber nei rischi operativi richiede un approccio olistico, che tenga conto di molteplici aspetti. Questo include l’identificazione e la valutazione dei potenziali rischi cyber, l’integrazione di tali rischi nei modelli di rischio operativo esistenti, la creazione di processi di risposta efficaci e il costante monitoraggio e aggiornamento del modello per rispecchiare le mutevoli dinamiche del panorama cyber.

Inoltre, il sempre maggiore utilizzo di terze parti da parte delle banche per acquisire competenze e tecnologie non presenti internamente e per ottimizzare i costi, rende le banche molto vulnerabili rispetto ai rischi cyber che possono provenire dalle infrastrutture tecniche di tali soggetti che non sono sotto il loro diretto controllo. I rischi diventano ancora più gravi quando i dati della banca sono gestiti sulle piattaforme tecnologiche delle sue terza parti.

Il rischio operativo nelle banche

La crescente complicazione del sistema finanziario con nuovi prodotti, connessioni internazionali tra istituzioni, un’ampia scala di fusioni e acquisizioni e il processo di globalizzazione, hanno avuto un’enorme influenza sul processo di misurazione e gestione del rischio nelle banche. Esso è diventato sempre più complicato ed è necessaria molta più attenzione per identificarlo, comprenderlo, calcolarlo e proteggerlo.

Oggi il rischio operativo è uno dei principali rischi finanziari delle banche, insieme al rischio di credito e di mercato. Nonostante esso sia stato identificato abbastanza presto, la sua importanza è stata ampiamente riconosciuta solo dopo la crisi del 2007-2009.

Gli accordi di Basilea del 2004

Negli accordi di Basilea del 2004 (cd Basilea 2), il rischio operativo che è stato definito come “il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni” ed è stato incluso nel calcolo dei requisiti di capitale.

Come si evince dalla definizione, i fattori che determinano questo tipo di rischio sono principalmente persone, sistemi interni, processi e contesto esterno. Tra questi, i sistemi interni sono senza dubbio quelli più rilevanti in quanto riferiti soprattutto alle infrastrutture ICT delle banche che, come noto, sono a supporto della loro operatività e sono utilizzate per fornire servizi bancari sempre più innovativi soprattutto nell’ambito dei servizi di pagamento (es. e-banking, mobile payment, …).

Le metodologie di valutazione del rischio operativo

Le metodologie di valutazione del rischio operativo definite dagli accordi di Basilea si basano prevalentemente su un modello che collega i fattori di rischio (risk driver) con gli eventuali scenari che possono produrre (loss even type) e gli impatti che possono provocare (loss effect type).

La parte più complessa del modello è senza dubbio l’identificazione dei loss event type perché, a differenza dei rischi di mercato o di credito, gli eventi che possono determinare l’occorrenza di uno scenario di rischio operativo sono numerosi, eterogenei e molto spesso poco conosciuti e compresi. Questo è particolarmente vero per i rischi cyber.

Gli approcci AMA definiti da Basilea 3

Tuttavia, con Basilea 3 nel 2010, l’approccio standardizzato al rischio operativo è stato criticato e sono stati introdotti nuovi metodi per il calcolo dei requisiti di capitale (i cosiddetti Advanced Measurement Approach – AMA) che prevedono una valutazione più dettagliata del rischio operativo sulla base ai dati storici della banca.

Tra gli approcci AMA definiti da Basilea 3, quello maggiormente utilizzato e che meglio si adatta alla integrazione dei rischi cyber è il modello Loss Distribution Approach (LDA) che si focalizza sulla perdita effettiva e sulla perdita attesa. In particolare, questo metodo utilizza un approccio di tipo statistico dove la banca stima, per ciascuna linea di business e tipologia di rischio, le funzioni di distribuzione di probabilità dell’impatto del singolo evento e la frequenza dell’evento per il successivo (un) anno utilizzando i propri dati interni, e calcola la funzione di distribuzione di probabilità della perdita operativa cumulativa.

Il vantaggio di questo metodo sta nell’utilizzare i dati interni i quali sono reali e connessi alla banca singolarmente, ma ha lo svantaggio di considerare come arco temporale di raccolta dei dati solo un anno mentre, nella pratica, per raggiungere un livello alto di confidenza, ne servirebbero molti di più.

Integrazione dei rischi cyber nei rischi operativi delle banche

Tutte le banche hanno adottato negli ultimi anni una metodologia e un processo per la identificazione, valutazione e gestione dei rischi cyber anche perché esso è un requisito normativo cogente imposto da tutte le Autorità sia nazionali che Europee.

Tali metodologie sono generalmente quali-quantitative anche perché non esistono delle serie storiche su tali rischi sufficienti per valutare in maniera precisa sia gli impatti ad essi connessi che la frequenza/probabilità di accadimento.

Le informazioni che vengono considerate sono molteplici e hanno diversi gradi di “affidabilità” e “oggettività”.

Tra queste si evidenziano:

  • il livello di implementazione delle misure di sicurezza sugli asset ICT della banca rispetto ad una baseline di misure di riferimento;
  • le vulnerabilità esistenti che possono essere sfruttate da un attaccante per perpetrare un attacco;
  • le minacce cyber, attuali e potenziali, che possono afferire alle risorse ICT della banca. L’analisi include anche la valutazione della gravità di tali minacce e delle loro probabilità di verificarsi utilizzando sia fonti interne (es. gli incidenti occorsi) che fonti esterne certificate.
  • Gli impatti connessi ai rischi cyber che sono valutati sia utilizzando dati interni che considerazioni di tipo manageriali effettuate dagli owner dei principali processi della banca.
  • I risultati dei penetration test dove si simulano le tecniche utilizzate dagli hacker per perpetrare i loro attacchi. Queste simulazioni permettono di integrare l’analisi della vulnerabilità consentendo ad una banca di identificare in maniera precisa i punti di debolezza delle proprie infrastrutture ICT, ma nel contempo sono alquanto complessi e costosi per cui vengono limitati alle risorse ICT che la banca considera altamente critiche.

Le metodologie di analisi dei rischi cyber utilizzati dalle banche utilizzano i dati a disposizione e si concentrano sulle risorse ICT critiche della banca, ovvero quelle risorse dove i potenziali impatti di un attacco cyber sarebbero molto elevati e non accettabili.

Per poter integrare i rischi cyber nei rischi operativi della banca si devono ricondurre tali rischi al paradigma risk driver, loss even type, loss effect type utilizzato dalle metodologie di valutazione dei rischi operativi.

Una prima mappatura può essere la seguente:

  • Vulnerabilità (risk driver): debolezza del sistema dovuto alla mancata implementazione di uno o più misure di sicurezza ICT;
  • Minaccia (Loss Event Type): evento che sfruttando una vulnerabilità produce un impatto;
  • Impatto (Loss Effect Type): conseguenza legata al verificarsi di una minaccia.

Pre-requisito essenziale per poter effettuare tale mappatura è la definizione di una tassonomia dei rischi cyber che colleghi gli impatti (chiamati anche scenari di rischio) alle vulnerabilità e alle minacce.

Un primo aiuto può venire dalle Autorità in tale ambito (vedi le Linee Guida ICT Risk SREP di EBA) che forniscono delle tassonomie di rischi cyber che possono essere adottate dalle banche, purché esse siano contestualizzate al contesto in cui la banca opera e siano continuamente aggiornate sia sulla base degli incidenti occorsi che da informazioni provenienti da fonti accreditate (es. ENISA, Clusit,…).

Un semplice processo per identificare i loss event type ICT/Cyber può essere basato su tre fasi distinte:

  • identificazione dei loss event type Cyber;
  • Quantificazione dei loss event type Cyber;
  • Quantificazione perdita annuale prevista per singolo loss event type Cyber

Identificazione dei loss event type cyber

Partendo dalla tassonomia dei loss event type definita, vengono analizzati tutti gli asset ICT che durante l’analisi dei rischi hanno registrato un valore di rischio residuo superiore alla soglia definita dalla banca e si verifica quali siano i loss event type Cyber applicabili agli asset ICT in esame. Quando un loss event type afferisce a più asset ICT , esso viene duplicato perché gli impatti possono essere difefrenti. Ad esempio, un data breach può avere un impatto più o meno alto se l’asset gestisce dei dati personali o no.

Per gli altri asset ICT che hanno registrato un valore del rischio residuo inferiore alla soglia di accettazione della banca, si assume che le perdite sono tollerabili e quindi non vengono considerati.

In tale fase vengono raccolte tutte le informazioni utili per la successiva quantificazione dei loss event type Cyber (es. asset ICT coinvolti, processi impattati, incidenti, vulnerabilità, misura di sicurezza implementate o mancanti/inefficaci, minacce, correlazioni tra i vari loss event type,..).

Quantificazione dei loss event type Cyber

La quantificazione dei loss event type Cyber è basata sulla valutazione dei due scenari o casi, il caso verosimile ed il caso peggiore:

  • il caso verosimile rappresenta il caso più frequente del loss event type cyber, ovvero la situazione che ha maggior probabilità di occorrenza nel caso in cui si verifichi. La scelta del caso verosimile deriva dall’analisi della serie storica degli incidenti o in alternativa dall’analisi delle cause/minacce e delle misure di sicurezza implementate o no sull’asset ICT.
  • Il caso peggiore rappresenta una situazione sfavorevole in termini di cause, misure di sicurezza ed effetti che si mantiene comunque nell’ambito di uno scenario ipotetico, raro, ma plausibile. In casi eccezionali è possibile costruire un solo caso che sono loss event type estremamente rari (ad esempio le catastrofi naturali) per i quali è inopportuno distinguere i due casi.

Per ognuno dei casi descritti prima, deve essere valutata la severità, ovvero l’impatto, ad essi associati e la frequenza di accadimento, ovvero il numero di volte in cui un loss event type Cyber è suscettibile di verificarsi in un determinato periodo (es. 1 anno).

La severità dei loss event type Cyber è valutata ripartendo gli stessi sui processi della banca ed effettuando un assessment con i relativi process owner i quali stabiliscono quale è la perdita imputabile ai processi di pertinenza. Va considerato che tale analisi viene già effettuata nell’ambito del processo di analisi e valutazione dei rischi ICT e Cyber dove i process owner hanno indicato l’impatto sui loro processi relativamente agli scenari di riservatezza, integrità e disponibilità degli asset ICT che li supportano. Per tale ragione, è buona prassi arricchire il processo di valutazione e analisi dei rischi ICT e Cyber in modo da avere a disposizione questi dati di dettaglio che possono essere utilizzati già nella fase di identificazione e quantificazione dei loss event type Cyber soprattutto per quanto riguarda il caso peggiore.

Analogamente, una volta valutato il rischio residuo sugli asset ICT, si può ribaltare tale rischio sui processi che supportano usando la stessa ripartizione utilizzata per ripartire il rischio inerente. Il valore di impatto del rischio residuo può essere utilizzato per valutare la severità del caso verosimile.

Altra informazione utile per avere la ripartizione della severità sui processi supportati dagli asset ICT è l’analisi degli incidenti occorsi e delle perdite registrate. Tale valore può essere utilizzato come confronto per verificare che la severità stimata è realistica o no.

Infine, per gli asset ICT trasversali a tutti i processi aziendali (es. la rete), i loss event type Cyber che vi afferiscono dovrebbero essere classificati come caso singolo che hanno, come detto prima, solo il caso peggiore.

A titolo esemplificativo, un attacco ransomware che cifra tutti i dati della banca di fatto blocca la completa operatività della stessa. La stima della severità deve essere fatta considerando il tempo che la banca impiega per il recupero dei dati (es. 1-2 giorni) e ripartire tale severità sui vari processi valutando quali sono gli impatti sul processo (es. mancati ricavi, costi operativi, ecc) se esso non può operare per 1-2 giorni.

La frequenza dei loss event type è invece è generalmente stimata, per il caso verosimile, sui dati storici disponibili (vedi gli incidenti occorsi), mentre la frequenza del caso peggiore sarà determinata analizzando differenti parametri, come le cause/minacce, le misure di sicurezza implementate e i dati esterni.

Considerando la tipologia di tali eventi e la loro continua evoluzione no predicibile a priori, esiste per questi eventi la concreta probabilità di avere eventi sempre nuovi con effetti molto elevati se non distruttivi. Per tale ragione, un’analisi dei rischi operativi connessi agli eventi Cyber deve essere preferibilmente basata sulla coppia caso verosimile e caso estremo per aumentare in maniera significativa la componente prospettica della quantificazione di tali rischi.

A titolo esemplificativo, gli attacchi ransomware sono diventati sempre più diffusi negli ultimi anni diventando di fatto l’attacco più diffuso e temuto. Negli ultimi tempi, si sono diffusi gli attacchi detti double extortion dove gli attaccanti rubano i dati, poi li cifrano e ricattano l’azienda minacciandola di pubblicare on line i dati. Di fatto questo è un nuovo scenario che estende la finalità classica del ransomware (cifrare i dati per creare indisponibilità degli asset ICT e chiedere un riscatto per decifrarli) ad un data breach dei dati finalizzata anch’essa alla richiesta di un riscatto.

Altro esempio eclatante successo negli ultimi mesi, lo scoppio della guerra in Ucraina ha aumentato in maniera considerevole la possibilità di “attacchi distruttivi” da parte di hacker russi mirati alla distruzione totale, e non recuperabile, di tutti i dati dell’azienda. Questo ha spinto tutte le Autorità nazionali ed europee a sollecitare le aziende critiche, incluse le banche, del proprio Paese ad adottare nella maniera più tempestiva soluzioni tecniche per proteggersi da tali attacchi (es. effettuare il backup di tutti i dati aziendali su supporti rimovibili da portare in un sito remoto non connesso alla rete). Quindi uno scenario che non era stato considerato perché molto poco probabile, adesso diventa un caso con una concreta probabilità di accadere.

Da quanto detto si evince che i casi estremi in ambito rischi ICT e Cyber assumono una estrema rilevanza e quindi devono essere accuratamente identificati e quantificati perché forniscono quella visione prospettica che in ambito rischi Cyber è essenziale. Non è un caso che uno dei limiti che si è riscontrato nel modello LDA applicato ai rischi Cyber nelle banche è proprio connesso alla gestione dei casi peggiori perché generalmente le banche, per ovvi motivi, tendono a sottostimare tali casi sottostimando di fatto i rischi connessi.

Quantificazione perdita annuale prevista per singolo loss event type ICT/Cyber

Una volta identificati, quantificati e rivisti tutti i loss event type ICT/Cyber, si può calcolare la perdita annuale prevista che è basata sui valori di severità e frequenza dei casi verosimili e peggiori associati al loss event type Cyber. La quantificazione della perdita annuale prevista per ogni loss event type Cyber ha la principale finalità di effettuare una classificazione dei loss event type Cyber per ipotizzare processi di gestione e monitoraggio differenziati.

La perdita annuale prevista è utilizzata nel modello di valutazione dei rischi operativi adottato dalla banca per identificare i necessari accantonamenti da effettuare per tali rischi.

Conclusioni

La gestione dei rischi Cyber non è solo una sfida tecnica, ma anche culturale. Le banche devono riconoscere i rischi cyber come una componente intrinseca della loro operatività e non come un’area separata di preoccupazione. Questa trasformazione richiede un cambiamento di mentalità a tutti i livelli dell’organizzazione, dal Management a tutti i dipendenti e collaboratori esterni.

Non è quindi un caso che le principali Autorità nazionali ed europee hanno avviato delle iniziative significative in tale ambito che mirano a superare, almeno dal punto di vista regolamentare, i limiti e le difficoltà che oggi sono presenti sulla gestione dei rischi Cyber.

In tale contesto è emblematico il Regolamento europeo DORA che indica chiaramente le direzioni in cui le autorità vogliono agire:

  • gestione dei rischi ICT e Cyber, sia interni che delle terze parti, efficace attraverso l’obbligo di adempimenti stringenti sulla governance interna, sulle metodologie di analisi e valutazione dei rischi e sulle misure di sicurezza;
  • comunicazione tempestiva degli incidenti cyber in modo da anticipare ed evitare la sua propagazione e il “contagio” tra i vari operatori;
  • monitoraggio delle minacce e delle vulnerabilità più efficiente anche attraverso la simulazione di attacchi utilizzando le stesse tecniche degli hackers;
  • creazione di una base dati condivisa tra gli operatori si tutte le informazioni correlate ai rischi ICT e Cyber al fine di utilizzarle in maniera proficua per la loro gestione.

In sintesi, l’obiettivo delle autorità è quello di ottenere una “compliance normativa” per gestire e difendersi da tali rischi e, nel contempo, forzare la sua implementazione presso tutti gli operatori del settore anche attraverso la commisurazione di sanzioni elevate.

Anche nell’ambito della quantificazione dei rischi operativi ci sono delle iniziative in corso che cercano di superare i limiti ad oggi esistenti. Non è un caso che alcune delle iniziative in corso nell’ambito della revisione degli accordi di Basilea 3 (il cosiddetto Basilea 4) stanno puntando a rivedere le metodologie di quantificazione dei rischi operativi per aumentare in maniera significativa la parte prospettica e la gestione dei casi estremi al fine di superare il limite delle attuali metodologie che si basano prevalentemente sui dati di perdita storici.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

L'impatto ambientale dell'IA: come bilanciare innovazione e sostenibilità