Internet viene utilizzato come rete per il trasferimento di fondi tra istituti finanziari, rendendo il settore estremamente appetibile

settore finanziario
33954756 - man hand puts credit card into atm

Diversi istituti finanziari olandesi hanno subito, lo scorso febbraio, un attacco DDoS distribuito che ha paralizzato i loro servizi bancari. Contemporaneamente, un rapporto della Banca Centrale russa ha rivelato che dal 2016 gli hacker avevano rubato quasi 5 milioni di euro utilizzando la rete di comunicazione interbancaria Swift.

Ancora più impressionante: nel 2016 gli attacchi informatici alla Banca Centrale del Bangladesh hanno fruttato ai cybercrimali la somma record di 81 milioni di dollari, e l’elenco delle “rapine cibernetiche” potrebbe continuare.

Banche: un obiettivo ricorrente che richiede una protezione di alto livello

Negli ultimi anni, il settore bancario è diventato un bersaglio ricorrente del crimine informatico. Ciò non sorprende, secondo il Chief Information Security Officer di una grande banca francese, che preferisce restare anonimo: “L’uso di Internet come ‘rete per il trasferimento di fondi’ espone naturalmente il settore bancario più di altri settori. La sontuosità dei bottini attira una nuova generazione di ladri.”

A fronte di una situazione di rischio molto elevata, anche nel nostro Paese il settore finanziario rientra nella categoria di servizi essenziali per la nazione come da direttiva UE 2016/1148 nota con l’acronimo NIS, approvata in via preliminare dal Consiglio dei Ministri italiano l’otto febbraio scorso e ratificata definitivamente solo ieri.

Fattore umano, debolezze del software o dell’hardware: gli hacker sfruttano qualsiasi punto debole

Il caso di Carbanak nel 2015 e i casi simili che sono seguiti non fanno che confermare che la maggior parte dei problemi IT nascono tra la tastiera e la sedia. I criminali informatici prendono di mira determinate tipologie di impiegati e sono stati in grado, ad esempio, di accedere ai computer dei dipendenti di circa cento banche in oltre 30 Paesi tramite e-mail personalizzate (note come “spear phishing”). Queste e-mail consentivano agli hacker di penetrare nei sistemi IT delle istituzioni finanziarie installando backdoor e quindi di assicurarsi un accesso anonimo alla workstation o al software della vittima, del tutto ignara, consentendo al criminale di monitorare le sue attività o assumerne il controllo. Gli hacker sembrano essere infinitamente creativi e i loro metodi variano continuamente. Il “jackpotting”, ad esempio, consente di svuotare gli sportelli bancomat con solo una chiave USB e un computer. Un metodo che, applicato su otto bancomat di due banche russe nel 2017 ha fruttato in una sola un bottino stimato di 800.000 dollari. La stessa tipologia di crimine stava per essere perpetrato in Francia, all’inizio del 2018, ma l’hacker è stato catturato nel pieno svolgimento dell’attività criminale a spese di un bancomat della Caisse d’Épargne. Aveva comunque già rubato oltre 20.000 Euro.

Gli sportelli automatici possono anche essere il bersaglio di malware. I più famosi, come Alice e Ripper, possono essere installati sulla rete a cui è connessa la macchina o direttamente sul suo sistema operativo tramite una porta USB. Il noto gruppo di criminali informatici Cobalt ha sottratto dal 2013 ad oggi una quantità sconosciuta di fondi da una dozzina di Paesi europei con questo metodo.

Un altro metodo, ancora oggi utilizzato, sono gli skimmer, imitazioni fisiche del lettore di carte degli ATM, che però copiano le informazioni presenti sulle carte bancarie degli utenti per poi clonarle.

Backdoor: prima preouccupazione delle banche

Annick Baudet, Senior Account Manager di Stormshield, conferma che tra tutti i possibili metodi di attacco, di cui quanto sopra indicato è un mero assaggio, la minaccia che preoccupa maggiormente le banche è rappresentata indiscutibilmente dall’installazione di backdoor ad opera dei cybercriminali, poiché questo tipo di minaccia apre le porte dei sistemi IT degli istituti in maniera persistente e su larga scala. Da qui la necessità delle banche di dotarsi di sofisticati meccanismi di protezione, che non possono prescindere dall’impiego di differenti tecnologie di firewalling, cifratura e rilevamento proattivo di pacchetti dannosi. Soluzioni che consentono di isolare il sistema IT della banca, interponendo tra esso e la Rete meccanismi di verifica della conformità del flusso di dati.

Normative standard per proteggere il settore bancario

Anche la regolamentazione legislativa è stata rafforzata per far fronte alle crescenti minacce. Tre le direttive significative per l’intero comparto:

  • la seconda direttiva sui sistemi di pagamento digitali (PSD2) entrata in vigore in Italia il 13 gennaio scorso.
  • il regolamento europeo sulla protezione dei dati (GDPR), che istituisce i requisiti di sicurezza per le imprese, che entrerà in vigore questo mese.
  • la direttiva sulla sicurezza delle reti e dell’informazione (NIS) dell’Unione europea, che impone agli Stati membri di istituire autorità nazionali competenti in materia di sicurezza informatica e di rafforzare la sicurezza degli operatori che erogano servizi essenziali.

Ma non basta, lo standard PCI DSS (Payment Card Industry Data Security Standard) e il Customer Security Program (CSP) supportato di Swift, ancora in lavorazione, sono affiancati da iniziative “opportunistiche” come FIDO (Fast Identity Online), un forte protocollo di autenticazione per i pagamenti online supportato da grandi aziende (Google, Microsoft, Amazon, Samsung, Lenovo, Gemalto, ecc.) intenzionate a farne lo standard per i pagamenti digitali prima della diffusione su larga scala di PSD2 in Europa.

Lacune di sicurezza e mancanza di risorse umane presso le banche

In un settore estremamente regolamentato come quello finanziario, uno studio condotto da Accenture Security ha rivelato che nel 2016 quasi il 10% dei budget IT era dedicato alla sicurezza informatica. Un argomento che in Italia, secondo ABI Lab, occupava nel 2017 la quarta posizione, scavalcato da investimenti in iniziative di mobile e digital payment, di dematerializzazione di processi e documenti e progetti per il potenziamento delle infrastrutture tecnologiche. Un quadro che si riflette un deficit di competenze interne, sia in termini di gestione della sicurezza delle applicazioni sensibili o dei dati dei clienti, sia di conduzione di attività di sensibilizzazione e formazione interna.

“Stiamo assistendo a un vero paradosso: anche se i sistemi di informazione sono sempre più complessi, con carichi operativi che non smettono mai di crescere, l’industria bancaria, come molti altri settori, sta facendo marcia indietro sul personale interno”, osserva Baudet. L’entrata in vigore di PSD2, che preannuncia lo sviluppo dell’Open Banking (accesso a servizi di pagamento e rendicontazione erogati da terzi) richiede misure di sicurezza maggiori. Una delle sfide consta nell’implementare sistemi di autenticazione più forti, ma sufficientemente semplici da non allontanare la clientela, adottando interfacce ergonomiche ed efficienti. “Per le banche, è una sfida su ampia scala, combinata con altre questioni importanti come la direttiva NIS e il GDPR, quindi è essenziale per loro richiedere e ottenere l’assistenza di specialisti”, conclude Annick Baudet.