Banche, le nuove sfide della sicurezza online

Garantire la sicurezza. E’ questo l’imperativo al quale non possono sottrarsi tutti i soggetti privati o pubblici che detengono dati sensibili. Un compito reso difficile non solo dalla continua evoluzione delle minacce e da attacchi sempre più mirati da parte della criminalità organizzata, ma anche dalla diffusione di nuovi device mobile, dalla virtualizzazione e dalla crescita del volume di dati da gestire. Uno scenario di cui ci ha parlato John Brigden, Senior Vice President per la regione EMEA di Symantec.

Ci sono cinque macrotendenze che stanno rendendo i temi della sicurezza sempre più importanti, inducendo cambiamenti fondamentali nei nostri comportamenti. La prima è il mobility: gli smartphone sono senz’altro una delle cose che più ha modificato il mondo negli ultimi anni. Poi la virtualizzazione, che sta favorendo la proliferazione della tecnologia sia a livello individuale che d’impresa, ma allo stesso tempo porta con sé nuove minacce e nuove sfide per la sicurezza. La terza tendenza è la crescita esplosiva del volume dei dati, con il conseguente problema di come gestirli poiché genera un aumento di complessità e di costi. L’adozione dei cloud base services che sta cambiando il modo in cui aziende e individui interagiscono con la tecnologia, e le banche devono seguire questo processo con estrema attenzione. Bisogna infine fare fronte all’insorgere di minacce mirate che impattano il nostro mondo sia fisico che virtuale. Le minacce della rete come le frodi online, che sono ovviamente un altro ambito che riguarda direttamente le banche, ma anche le minacce che interessano il mondo fisico, come la possibilità di attaccare i sistemi di controllo di un reattore nucleare, una diga, un aereo o una nave da crociera, ecc. Le banche hanno a che fare con tutte queste cinque tendenze che crescono giorno dopo giorno. Il nostro impegno come Symantec è di aiutare consumatori e business a contrastarne i rischi correlati.

Quello a cui assistiamo oggi è che le minacce si sono evolute e gli attacchi sono sempre più mirati e motivati da interessi economici. I rischi sono sensibilmente cresciuti. Sappiamo ormai che è facile penetrare un firewall. Quello che abbiamo imparato è che, quando accade, i nostri dati devono essere protetti. Facciamo un esempio: è come andare dal dottore. Nel suo studio ci sono le cartelle con le nostre informazioni personali, è chiaro che vogliamo che le tenga al sicuro, che nessun altro le veda. La prima soluzione è tenere chiusa la porta esterna dello studio. Ma in uno studio medico ci sarà sempre un via vai di persone e le nostre cartelle personali saranno potenzialmente a rischio. È così che funziona anche il mondo digitale. Pensiamo che basti chiudere la porta esterna. La realtà è che dobbiamo tenerla aperta e lasciar entrare le persone. Una volta entrate quello che conta è che le informazioni siano state messe al sicuro.

Sicuramente sì. Le tecnologie, i dispositivi, si sono moltiplicati ed evolvono velocemente. Oggi possiamo avere uno smartphone, domani un iPad, poi passare ad Android, ma quello che ci interessa come consumatori, individui o imprese è salvaguardare le nostre informazioni. È giusto che le aziende aumentino e implementino i loro device ma prima di tutto dovrebbero pensare più strategicamente a come gestire e proteggere i loro e i nostri dati. La soluzione migliore è che le aziende si dotino di sistemi per crittografare le informazioni sensibili, in modo che se un device viene perso o se un hacker penetra in un account mail quei dati siano inutilizzabili.

Trovo che il cloud computing sia un fenomeno entusiasmante in tutte e tre le sue forme. Le cloud private consentono alle aziende un uso migliore della tecnologia. Diverse banche stanno aumentando la propria efficienza gestendo direttamente il proprio IT. La tecnologia delle cloud pubbliche permette di accedere alla rete dove le aziende trovano i servizi di cui hanno bisogno. Symantec è il maggior provider di servizi per cloud pubbliche, siamo più grandi di Google, Amazon, Ebay messi insieme con un ricavo di 750 milioni di dollari. Siamo partiti dal presupposto che molte aziende sono preoccupate dall’idea di mettere i propri dati nel cloud. Per dare una risposta concreta a questo timore abbiamo messo a punto un servizio specifico, una sorta di “pulizia dei canali”, nel senso che teniamo pulito il network dell’azienda, le sue mail, il suo web assicurandole una garanzia totale senza che vi sia bisogno di comprare componenti hardware o software. La nostra idea è che il cloud possa servire non solo per portarvi delle cose dentro, ma anche per tenere fuori tutto ciò che è sgradito, pericoloso o non importante. Symantec è oggi il leader mondiale nell’archiviazione dei dati nel cloud: li crittografiamo, diamo al cliente la chiave e lo garantiamo anche in caso di problemi legali. Il terzo tipo di cloud è una combinazione di cloud pubbliche e private. Questa tecnologia permette a un’azienda, per esempio una banca, di mettere nel cloud i servizi che vuole fornire. Speriamo che sempre più aziende ne facciano uso.

Molti hanno paura che non siano abbastanza sicure. Pensiamo però a uno dei nostri prodotti per il consumatore più venduti: Norton 3.60 offre la possibilità di fare un back up dei propri dati nella cloud, e quando si decide di cambiare il proprio portatile, basta effettuare il download nel nuovo. Più dell’80% dei nostri clienti che hanno acquistato Norton 3.60 usano questo servizio. Al momento abbiamo più di 65 petabyte archiviati, ed è un numero in costante aumento. Quindi le preoccupazioni sono giuste, ma i vantaggi di praticità e flessibilità sono innegabili. In fondo tutti abbiamo alcuni dei nostri dati sensibili nel “cloud” già da molti anni, basti pensare ai dati del nostro traffico telefonico che sono stati “affidati” alle compagnie telefoniche, o i nostri dati bancari alle banche. Ma sono al sicuro? Perché affidarli a un nuovo servizio cloud in grado anche di crittografarli dovrebbe essere meno sicuro? E spesso a causare problemi di sicurezza dei dati non sono le nuove tecnologie, ma i vecchi sistemi di immagazzinamento dei dati.

Credo che sia una tendenza destinata ad aumentare rapidamente. Parcometri, distributori automatici, Atm: saranno sempre più servizi da utilizzare tramite smartphone. È utile, è comodo. Certo ci saranno aziende che faranno degli errori e i consumatori ne potranno essere danneggiati. Quello che conta è che in tali casi le aziende devono rivelare se i nostri dati sono stati persi. Siamo consapevoli che ci potranno sempre essere problemi o frodi ma se non c’è un contesto di chiarezza e trasparenza, non c’è un sistema di controllo e allora la fiducia può essere compromessa molto seriamente. Quindi speriamo che siano adottate tempestivamente ferree regole di disclosure per garantire la trasparenza e la fiducia.

Il concetto di fiducia è fondamentale. Negli ultimi venti, trent’anni abbiamo vissuto un’incredibile diffusione della tecnologia, qualcosa di unico nella storia dell’uomo. Ed è utile e anche divertente. Ma se inizia a compromettere la nostra privacy, o mette a rischio la nostra identità personale, questo ci fa davvero paura e può comportare pessime conseguenze. Come individui e aziende dobbiamo esserne consapevoli. Ci sono molti modi di affrontare questo problema. Uno è perseguire efficacemente il controllo e la trasparenza. Un altro è fare ognuno la propria parte: in quanto consumatori dobbiamo effettuare le operazioni base per proteggerci mentre le aziende che detengono i nostri dati sensibili, come le banche e le compagnie telefoniche, devono averne cura e questo può significare per loro l’obbligo di effettuare significativi investimenti. Più che di cultura della sicurezza io parlerei di consapevolezza della tecnologie e dell’informazione: dobbiamo arrivare a dare il giusto valore all’informazione, dobbiamo chiederci che cos’è, cosa ci si fa, se è protetta. È l’informazione il valore che conta.

Nell’ultimo anno sono stati creati molti più malware di quanti ne siano mai stati generati in totale dalla loro prima comparsa. E la ragione è che è molto facile crearli, esistono addirittura dei kit in vendita per generarli. La vecchia tecnologia si basava sul riconoscimento delle signature. Ma non funzionava, soprattutto contro i nuovi malware come gli attacchi 0-day. Il malware può mirare a una vittima, al suo nome e account, entrare nel conto bancario, rubargli i soldi. Serviva una soluzione migliore, quindi abbiamo catalogato tutti i codici partendo dal concetto che ogni cosa è malevola finché non abbiamo la prova che è buona. Se la riconosciamo come benigna la lasciamo passare. Se non ne siamo sicuri la esaminiamo da vicino, ne analizziamo il comportamento, e cerchiamo di capire se è qualcosa di malevolo o solo una nuova parte di codice che non abbiamo mai visto ma è buona. Questa nuova tecnologia si chiama Insight, si basa sulla teoria della reputazione ed è nel cloud perché lì abbiamo un database di trilioni di good codes. È più veloce, affidabile e garantisce una protezione 0-day. Non è infallibile, ma è molto potente soprattutto se combinata con una tecnologia che riconosce le informazioni sensibili e può crittografarle.