Il concetto di cyber resilience, pur essendo spesso citato e dibattuto, non trova una risoluzione di facile comprensione. Difatti, all’interno delle organizzazioni finanziarie, tra gli altri, insieme ai concetti di innovazione, sostenibilità, leadership e customer experience, il cosiddetto rischio cyber risulta un paradigma reso prioritario, inflazionato e discusso da tutti gli organi di vertice delle aziende.
Nello specifico, si ravvisa in maniera oggettiva che negli ultimi cinque anni ci sia stato un boost nel merito del dibattito, anche a causa dei recenti e imponenti attacchi subiti dalle maggiori corporate, che hanno sensibilizzato e attenzionato sul tema.
I confini della cyber resilienza
Prima di procedere, occorre innanzitutto ridefinire in dettaglio i “confini” del concetto. In primis, per cyber si fa riferimento non più all’utilizzo delle tecnologie avanzate utilizzate per la detenzione delle minacce, bensì alla combinazione di tecnologia, assetto organizzativo, fattore umano e strategia di comunicazione. Resilience, invece, rimanda alla sfera legata alla capacità di non compromettere i processi interni, per garantire l’eventuale ripristino dei dati e dei processi di network e di servizio.
In questo senso, gli obiettivi della ricerca, (Cetif con CISCO, dal titolo Processi di Governo e Tecnologie per la Cyber Resilience) sono stati quelli di approfondire e ricercare le tematiche e le dinamiche evolutive dei trend di settore, al fine di rappresentarne lo status e l’evoluzione.
Primo elemento legato all’analisi condotta risultano le metodologie e le tecniche di approccio legate alla sicurezza informativa. Se fino a qualche anno fa si parlava di strategia event-drive, essenzialmente legata alla contingenza del rischio, oggi si parla di preparazione e prevenzione della minaccia, connessa ad una grande flessibilità di risorse, processi e strutture coinvolte nelle architetture di rete.
Il nodo essenziale è la sinergia top – down e bottom up, al fine di condividere obiettivi e strategie di sicurezza informatica tra divisioni e consiglio di amministrazione, tramite un solido e pragmatico flusso di comunicazione. Gli esempi degli attacchi cyber sono innumerevoli, il più citato e temuto dal mercato finanziario è il cosiddetto insider abuse, ossia l’abuso proveniente dall’interno. A prescindere dalle limitazioni oggettive legate alla contingenza del rischio, vi è sicuramente la possibilità di lavorare su quelli che sono i perimetri entro i quali svolgere un’efficace attività di prevenzione.
Diffondere la cultura del rischio
Un ulteriore aspetto, anch’esso rilevante e piuttosto considerato all’interno delle organizzazioni, riguarda la percezione della cultura del rischio, influenzata, più che dalla formazione finanziaria dei clienti o dalle metodologie di lavoro agile, dalla maturità delle soluzioni tecnologiche, dalla consapevolezza dei dipendenti e della dirigenza. In buona sostanza, a livello di mentalità e di convinzione, è maturata l’idea del lavoro che deve essere effettuato nel miglioramento delle performance e dei prodotti interni, piuttosto che sulle metodologie. La tecnologia, dunque, come primo elemento da cui partire per implementare e impostare un sistema cyber risk compliant.
Non è un caso che, in tal senso, gli investimenti da parte delle aziende siano cospicui, così come tutte le campagne di sensibilizzazione volte a simulare e preparare ad eventuali attacchi destinate a tutti i componenti della struttura bancaria. Ulteriore elemento distintivo che emerge dall’indagine è il concetto legato alla fragilità dei fornitori, poiché non del tutto consapevoli e preparati nell’affrontare e proteggere i tentativi degli attacchi, provenienti dalle cosiddette “terze parti”. Quali dunque le possibili soluzioni sistemiche adeguate a risolvere ed evitare l’isolamento?
Il concetto dello Zero Trust
Tra le diverse possibilità proposte dal mercato finanziario, seppur di difficile e non istantanea implementazione, vi è il concetto dello Zero Trust. Questa tematica riguarda la diffidenza a fidarsi in maniera implicita dei sistemi e dunque a verificare il processo, a prescindere da ruoli e risorse. Fino a pochi anni fa, non vi era una reale visione prospettica e universale del “controllo incrociato”. Le singole divisioni, affidandosi ad un garante terzo, si ritenevano sollevate dall’incarico del controllo interno. In realtà, la nuova tipologia di approccio prevede l’inserimento in fieri del controllo della filiera, e, soprattutto, delle risorse ivi impiegate. In questo modo, risulta fondamentale analizzare nel dettaglio le procedure di controllo seguite dai singoli, al fine di controllarne, oltre alla qualità, segretezza e riservatezza.
Le soluzioni tecnologiche proposte dal mercato
Tra le differenti soluzioni tecnologiche proposte dal mercato, vi sono i sistemi di gestione delle informazioni sulla sicurezza, User And Entity Behavior Analytics (UEBA) Identity & Access Management (IAM) per le tecnologie di cybersecurity, Transport Layer Security (TLS) e Secure Access Service Edge (SASE) per la crittografia dati.
Pur essendo apprezzati, tuttavia, tali approcci non sono i più utilizzati, rimangono preferibili per la detenzione delle minacce Secure Web Gateway (SWG), Sistemi di Gestione delle Informazioni sulla Sicurezza (SIEM) ed Endpoint Detection and Response (EDR), mentre per crittografiche la più utilizzata è la Transport Layer Security (TLS), seguita da Federated Identity Management (FIM) e Identity Access Management (IAM). Infine, per concludere e ragionare sugli aspetti chiave della ricerca, occorre ridefinire i concetti emersi dall’indagine nella sua interezza.
L’importanza della regolamentazione
Il primo aspetto concerne sicuramente la tematica regolatoria: lo sviluppo regolamentare potrà far beneficiare il sistema condiviso di controllo, consentendo alle diverse organizzazioni finanziarie uno scambio reciproco delle informazioni e dei dati sulle minacce cyber, come ad esempio gli indicatori di compromissione, le tattiche, le tecniche e le procedure, i segnali di allarme e, last but not least, gli strumenti di configurazione. Esempio paradigmatico è il regolamento DORA, grazie al quale saranno possibili tali implementazioni tecnologiche e procedurali. Il secondo aspetto, invece, concerne l’aspetto culturale. È noto che all’interno delle realtà finanziarie e non, vi siano state in passato collaborazioni poco chiare, parziali o del tutto inesistenti nella segnalazione degli attacchi subiti, assieme alla condivisione ex-ante delle informazioni fondamentali per prevenire gli incidenti.
Conclusioni
Con l’aggiunta e l’inserimento di una piena e consapevole cultura della condivisione, molti attacchi segnalati in passato sarebbero stati certamente identificati e segnalati per tempo. Si ribadisce, ancora una volta, la necessità di creare un network sistemico e cooperativo, basato su regole chiare e dati condivisi: ne è un efficace esempio la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) e i progressi fatti nel campo del cosiddetto info-sharing; la piena e consapevole trasmissione e condivisione delle informazioni certifica a livello strategico i progressi svolti negli ultimi anni, con una netta diminuzione degli attacchi cyber multipli.
