Perché le banche sono sempre più nel mirino dei cybercriminali?

Negli ultimi anni gli attacchi al settore finanziario sono sensibilmente aumentati, diventando sempre più sofisticati. Sulla base del numero di violazioni di dati segnalate lo scorso anno, gli istituti bancari rappresentano, a livello mondiale, il secondo settore più colpito, evidenziando che le istituzioni più attaccate sono state quelle di Stati Uniti, Argentina, Brasile e Cina, causando un costo economico pari a 5,9 milioni di dollari per breach. In questo articolo cerchiamo di approfondire rischi, conseguenze e misure preventive che gli istituti possono implementare.

Comprendere i rischi del settore finanziario

I problemi di cybersicurezza sono in cima alla lista dei rischi potenziali delle minacce emergenti. In particolare, il rapporto Clusit del 2022 ha evidenziato come il settore finanziario sia stato il più attaccato per il quinto anno consecutivo, attirando il 23% di tutte le violazioni di dati registrate. Un’attenta analisi dei vettori di attacco utilizzati nelle principali campagne, hanno evidenziato:

• malware per il furto di credenziali
• phishing per il furto di credenziali di accesso e dei fattori di doppia autenticazione
• hacking del dispositivo mobile
• attacco diretto all’infrastruttura dell’istituzione finanziaria

Paolo Cecchi Regional Sales Director Mediterranean Region

Spese immediate e ricorrenti

Un singolo attacco vincente può causare spese finanziarie immediate che hanno un impatto sulle performance di un'azienda. I costi sono associati alla gravità dell'attacco e all'entità dell'esposizione dei dati, con ripercussioni sia immediate che a lungo termine.

• Pagamento del riscatto
• Spese per analisi e indagini forensi
• Costi di comunicazione e gestione della crisi
• Spese legali
• Risarcimenti ai clienti e costi di ripristino
• Aumento dei premi assicurativi

Conseguenze normative e legali

Gli enti normativi impongono multe e sanzioni per chi non salvaguarda i dati dei clienti, non rispetta gli standard di cybersecurity del settore e non segnala tempestivamente le violazioni. Questi costi possono ammontare a milioni di dollari, incidendo pesantemente sui profitti. In termini di implicazioni legali, le parti interessate, tra cui clienti e partner, possono avviare azioni legali per richiedere i danni derivanti dalle violazioni dei dati. I costi di difesa legale, i risarcimenti e i potenziali danni alla reputazione derivanti da tali azioni possono comportare una pressione finanziaria di lunga durata.

Interruzione delle attività commerciali e danni alla reputazione

Gli attacchi informatici bloccano i servizi, ritardano transazioni e operazioni quotidiane. Quanto più critico è l'attacco ai sistemi, tanto maggiore è il costo subìto. Oltre alle perdite finanziarie dirette, ai costi legati al ripristino di sistemi e dati, all’implementazione di nuove soluzioni adatte a prevenire gli attacchi, occorre considerare investimenti significativi, che possono pesare sui bilanci. Al di là delle conseguenze immediate, le violazioni possono influenzare i clienti, le opportunità di partnership e il livello di fiducia del mercato.

Come rafforzare la resilienza informatica nelle grandi banche e nei giganti finanziari

Di seguito si evidenziano alcuni controlli che ogni responsabile della sicurezza può mettere in campo per migliorare la postura di sicurezza e correggere le lacune individuate.

• Response & Recovery- Quanto velocemente si può ripartire dopo un attacco informatico?

Le banche possono subire attacchi informatici anche in presenza di misure preventive e, per garantire la resilienza, i responsabili dovrebbero progettare e rivedere costantemente i piani per assicurare la continuità anche in caso di attacco vincente. Si parla di:

• Predisposizione di piani di risposta agli incidenti (IRP) ben documentati, matrici di comunicazione e flussi di lavoro post-attacco. Attenzione al ripristino dei sistemi e delle operazioni.
• Buoni rapporti con la polizia postale e con tutte le entità istituzionali o private specifiche per il settore.
• Acquisizione preventiva di IR Retainers, che rendono disponibili in tempi veloci i contatti con personale specializzato nella gestione dell’incidente e ripristino post-incidente, nonchè un certo numero di ore di attività già incluse.
• Implementazione di programmi regolari di esercitazioni di simulazione della gestione di un incidente, audit, Red Team e Penetration test.
• Valutare l'assicurazione cyber per misurare e monitorare l'esposizione al rischio.
• Sicurezza di reti e sistemi: quanto sono protetti da intrusioni informatiche?

Molte organizzazioni adottano una mentalità di "presunzione di violazione", dove i responsabili della sicurezza partono dal presupposto che i loro sistemi siano già stati compromessi, e attivano, di conseguenza, il monitoraggio continuo, il rilevamento delle anomalie e tecniche di threat hunting. Si tratta di un approccio proattivo che consente ai difensori di provare ad essere sempre un passo avanti rispetto agli attaccanti. Per attuare questo approccio occorre rafforzare le configurazioni di rete e l’hardening dei sistemi:

• Esaminare, regolare e disabilitare (se necessario) gli account utente di default .
• Eseguire scansioni di vulnerabilità per analizzare i componenti di rete e hardware, il firmware e i sistemi operativi.
• Rispettare un rigoroso programma di gestione delle patch.
• Aggiungere funzionalità di rilevamento e prevenzione delle minacce.
• Segmentare i componenti e i servizi di rete critici.
• Identity & Access Management: come ci si protegge dagli utenti illegittimi?

L'aumento degli attacchi di phishing e l'efficacia dei gruppi criminali nell'infiltrarsi nelle reti impongono maggiori controlli per la gestione di identità e accessi. Ciò include i controlli di autenticazione per clienti, dipendenti e qualsiasi accesso di terzi ai sistemi sensibili, tra i quali:

• Implementare policy di autenticazione a più fattori (MFA), segmentazione della rete e controllo degli accessi basato sui ruoli (RBAC).
• Utilizzare il principio del minimo privilegio (PoLP), in base al quale all’utente si concede il livello minimo di accesso necessario per svolgere le proprie attività.
• Predisporre strumenti per il monitoraggio continuo, verifiche regolari degli account e protocolli di crittografia.

Conclusioni

Mentre le tensioni geopolitiche e socioeconomiche continuano a cambiare, le istituzioni finanziarie e bancarie si confermano essere uno dei principali obiettivi degli hacker.

I cybercriminali perfezionano le loro tecniche e la difesa contro questi attacchi deve evolversi in parallelo. Il rafforzamento delle misure di sicurezza informatica, la condivisione delle informazioni e l'individuazione precoce delle minacce mediante un approccio proattivo sono oggi fondamentali per salvaguardare i sistemi finanziari.

Paolo Cecchi è Regional Sales Director Mediterranean Region