Sicurezza informatica in ambito finanziario: rischi (e soluzioni) nel rapporto di Verizon

La sicurezza informatica nel settore finanziario: oggi utilizziamo tutti APP e Internet non solo per gli acquisti, ma anche per bonifici, investimenti, pagamenti in genere. Esistono dei sistemi di protezione, ma quali sono effettivamente sicuri?

Ne parliamo con Laurance Dine, Managing Principal di Verizon Investigative Response Unit – una divisione di Verizon RISK Team, leader mondiale per la fornitura di servizi di comunicazione a banda larga, wireless e wireline per utenti finali, aziende, pubbliche amministrazioni e clienti wholesale, che realizza ogni anno un rapporto sulla sicurezza informatica dedicato proprio al settore finanziario (DBIR, Data Breach Investigation).

Quali sono gli strumenti che possiamo utilizzare per difenderci al meglio, sia dal punto di vista degli istituti finanziari sia da quello degli utenti finali?

Le società di servizi finanziari operano nel cuore dell'ecosistema dei pagamenti e, nei confronti sia dei merchant sia dei consumatori, hanno una responsabilità fondamentale dal punto di vista della sicurezza dei dati di pagamento e del controllo delle frodi. Il Payment Card Industry Data Security Standard (PCI DSS) fornisce un framework per sviluppare un solido processo di sicurezza dei dati delle carte di pagamento, compresa la prevenzione, l'individuazione e l’adeguata reazione agli incidenti di sicurezza.

All'interno di un ambiente conforme agli standard PCI DSS, il rischio di perdita o furto di dati è limitato, così come tutta una serie di violazioni che ne potrebbero conseguire. Creando "compartimenti" ben definiti tra le varie reti all'interno di un'organizzazione, allo scopo di categorizzare e conservare in sicurezza i dati aziendali, si può ridurre la probabilità che un’eventuale violazione dei dati si diffonda in tutta l'infrastruttura IT aziendale.

La nostra indagine mostra una forte correlazione tra compliance e protezione dei dati. Le organizzazioni che hanno subito una violazione dei dati in passato hanno mostrato una compliance ai controlli PCI DSS minore rispetto alla media. Sebbene questo riduca la probabilità di subire una violazione, la compliance agli standard PCI DSS non può costituire da sola una strategia di sicurezza globale, ma può farne parte.

I consumatori devono essere sempre coscienti quando utilizzano una carta di pagamento, fare attenzione se qualcuno li sta osservando quando prelevano dei soldi all’ATM e non perdere mai di vista le loro carte di pagamento in negozi o ristoranti.  Inoltre, non dovrebbero distrarsi quando acquistano dei prodotti on-line, inseriscono coordinate bancarie su Internet o aprono e-mail sconosciute (bisogna assicurarsi sempre che l’indirizzo di invio sia autenticato). I cybercriminali generano spesso falsi siti web ed e-mail di phishing per convincere i consumatori a fornire loro i dati di accesso bancari. Inoltre, l'uso da parte dei consumatori di password complesse è essenziale per proteggere le informazioni, ma queste non sono sempre sufficienti a fermare l’intrusione di un criminale. Oggi molte banche ed enti governativi stanno optando per strumenti di identificazione multi-livello e soluzioni digitali che forniscono una password temporanea per l’utente finale.

Quali sono le principali tipologie di attacchi nel settore finanziario, in base ai dati in vostro possesso?

Dal Verizon 2015 Data Breach Investigations Report è emerso che due terzi delle minacce che hanno colpito il settore finanziario nell’ultimo anno sono riconducibili a tre tipologie:

·        Denial of Service (DoS): rappresentano il 32% degli incidenti registrati e sono in continua crescita, per frequenza e dimensioni. Diversamente da altre tipologie di attacchi, che mirano a introdursi nei sistemi per sottrarre dati sensibili come dettagli delle carte di pagamento, proprietà intellettuale o dati in ambito sanitario, gli attacchi DoS sono studiati col fine di interrompere il corretto funzionamento di sistemi e reti. Questi possono durare diversi giorni, perciò è fondamentale avere un piano in grado di fronteggiare questo tipo di minaccia.

·        Crimeware: è presente nel 16% di tutte le violazioni avvenute in ambito finanziario. Questo tipo di incidenti varia in termini di obiettivi e forma dell’attacco, ma generalmente ha come fine ultimo il furto di dati finanziari; come, ad esempio, l’utilizzo di software di keylogging per individuare i dati d’accesso bancari inseriti nel dispositivo di un utente.

·        Attacchi a web APP: rappresentano oltre il 14% delle violazioni. Quasi tutti gli attacchi alle web APP nel 2014 sono stati opportunistici, rivolti a bersagli ‘facili’. In gran parte degli attacchi, sono state utilizzate credenziali di accesso sottratte dai dispositivi dei clienti.

Quali sono i “punti di forza” dei criminali e come si può rispondere in maniera efficace?

Il punto di forza delle attività di cybercrime risiede nella loro capacità di adattarsi e di evolversi con la stessa velocità con la quale si evolvono le nuove tecnologie o le soluzioni di rilevamento delle minacce, senza dimenticare la forte determinazione dei cyber-criminali nel corrompere un sistema con l’obiettivo di ottenere i dati o il denaro che desiderano. Finché esisteranno dati importanti nella rete, possiamo essere sicuri che ci saranno criminali informatici pronti a procurarseli.

Le violazioni di dati sono raramente una questione di “saccheggio”. Spesso i criminali provano diverse tipologie di attacco in cerca di un punto debole. È sempre più frequente un attacco ai sistemi dei partner, così da utilizzare il loro accesso “sicuro e fidato” per compromettere i sistemi.

Gli attacchi informatici stanno diventando sempre più sofisticati. Le tattiche utilizzate variano e di recente c’è stato un ritorno alle vecchie tecniche, come phishing e hacking, spesso usate in combinazione per aumentarne l’efficacia. Inoltre, i criminali prendono spesso di mira singole persone come mezzo per ottenere l’accesso ad un’organizzazione.

Alcune semplici raccomandazioni sono: la necessità di una maggiore vigilanza; trasformare le persone in una prima linea di difesa; rendere accessibili i dati solo a chi ne ha davvero bisogno; applicare rapidamente le patch; crittografare i dati sensibili; adottare l'autenticazione a due fattori; non trascurare la sicurezza fisica.

Uno dei problemi storici degli “attacchi” via web è il tempo che effettivamente passa tra la realizzazione dell’attacco e la sua scoperta. È possibile scoprire un attacco in real time e, nel caso, intervenire immediatamente?

Ci sono alcuni suggerimenti di base per ridurre il rischio di essere colpiti da un attacco a web APP: ad esempio, implementare sistemi di quality assurance, cioè fare controlli accurati sui documenti pubblicati sui siti web e verificare regolarmente la presenza di dati sensibili sui siti accessibili al pubblico. Poi, prendere in considerazione soluzioni di Data Loss Prevention (DLP), che sono in grado di individuare processi interni danneggiati e/o bloccare l’invio di informazioni sensibili via email. E, infine, dato che non siamo solo macchine, formare i dipendenti: insegnare come gestire correttamente dati e asset critici, per ridurre in maniera rilevante il numero di violazioni. Documenti e computer non possono essere abbandonati a se stessi.

L’evoluzione tecnologica del crimine è sempre al passo con i tempi… ma – ci si augura – anche quella della prevenzione: quali sono le prospettive tecnologiche per il futuro, per ciò che riguarda gli attacchi di sicurezza nel settore finanziario?

Le organizzazioni fanno sempre più affidamento sulla tecnologia mobile e c'è una diffusa preoccupazione che smartphone e tablet, in particolare quelli non controllati dall’azienda, possano essere il prossimo obiettivo degli hacker. I dati raccolti da Verizon su incidenti, violazioni e reti wireless mostrano chiaramente come le piattaforme mobili, pur essendo potenzialmente vulnerabili, non rappresentino ancora il bersaglio preferito di attacco.

Abbiamo analizzato le attività dannose provenienti da dispositivi mobili sulla nostra rete wireless e abbiamo scoperto che l’incidenza di minacce informatiche su questo tipo di dispositivi è molto bassa, e la maggior parte di queste ha un impatto limitato – come ad esempio adware e altre infezioni che si limitano a sprecare risorse senza essere dannose. L’incidenza di malware dannosi è presente in meno dello 0.03% di dispositivi ogni anno. Qualunque siano le nuove tecnologie all'orizzonte, non bisogna mai dimenticare che un appropriato sistema di difesa costa tendenzialmente meno del danno subito con una violazione.

http://www.verizonenterprise.com