21 Maggio 2019 / 05:16
Cyber resilienza, le aspettative della Bce

 
Sicurezza

Cyber resilienza, le aspettative della Bce

di Mattia Schieppati - 19 Dicembre 2018
Pubblicato il documento che indica la roadmap per garantire la resilienza informatica delle infrastrutture che operano nel mercato finanziario. Obiettivo: proporre un percorso condiviso per evitare la frammentazione delle strategie e fare fronte comune contro la sofisticazione della criminalità digitale. Ma anche supportare gli operatori con indicazioni dettagliate e operative sulla capacità di cyber resilienza e fornire alle Autorità di sorveglianza uno strumento di valutazione
Al termine di un lavoro iniziato nel 2015, e che ha previsto anche una consultazione pubblica, la Banca Centrale Europea ha pubblicato la versione definitiva del documento Cyber resilience oversight expectations (Croe, qui il link al documento), mettendo nero su bianco quelle che sono state indicate come le “aspettative” della banca centrale rispetto alla resilienza informatica delle infrastrutture che operano nel mercato finanziario (Fmi).
Il nuovo documento sulle aspettative di controllo sulla resilienza informatica si basa a sua volta su un altro documento Bce del giugno 2016. Si tratta della Guida globale sulla resilienza informatica per le infrastrutture del mercato finanziario ( qui il documento ), pubblicata sotto la supervisione della Commissione per i pagamenti e le infrastrutture del mercato e dal Consiglio dell'Organizzazione internazionale delle commissioni sui valori mobiliari (Cpmi-Iosco) e diventate così ora il riferimento comune per i percorsi di verifica e di miglioramento della resilienza tecnologica in tutto l’Eurosistema.

Cos'è la resilienza?

In ambito tecnologico-informatico, si intende con il termine resilienza la capacità di un sistema di adattarsi alle condizioni d'uso e di resistere all'usura, per garantire la disponibilità dei servizi erogati; nel caso specifico, l’attenzione della Bce è rivolta alla capacità dei sistemi di mantenere l’operatività e la sicurezza in caso di attacchi informatici, una minaccia sempre crescente e sempre più sofisticata: la criminalità digitale ha davvero oggi gli strumenti per mettere in crisi interi sistemi-Paese (lo dimostrano i recenti attacchi che hanno paralizzato settori specifici, come per esempio quello della Sanità). Come sottolinea infatti il documento della Bce, «la resilienza informatica è un aspetto importante della resilienza operativa dei Fmi ed è quindi anche un fattore che influenza la capacità di ripresa complessiva del sistema finanziario e dell'economia in generale».

Tre obiettivi ...

Le aspettative definite dalla BCE hanno tre obiettivi sostanziali:
1. Fornire alle Fmi misure dettagliate per rendere operative le Linee guida, assicurando che siano in grado migliorare la loro capacità di reazione cibernetica per un periodo prolungato di tempo.
2. Fornire alle autorità di sorveglianza gli strumenti per valutare il livello di resilienza delle Fmi e i percorsi di miglioramento messi in atto.
3. Porre le basi per una discussione e un confronto tra le Fmi e le autorità di sorveglianza su un tema che è e sarà sempre più vitale per la gestione delle attività.
Più in generale, il passo chiaro e articolato della Banca Centrale Europea ha anche lo scopo di porre un punto fermo di riferimento per tutte le Istituzioni e gli operatori finanziari, e per tutti i Paesi Ue, tracciando una linea necessaria per ridurre la frammentazione delle strategie di intervento e nel contempo facilitando le attività di sorveglianza e di supervisione.

… e tre step si sviluppo

Si tratta, com’è evidente nell’impostazione del documento, di un work in progress che chiama a una continua a costruttiva collaborazione tutti gli enti interessati: le indicazioni sono infatti scandite da tre step di sviluppo, che consentono tanto ai supervisori quanto alle stesse Fmi di poter misurare costantemente il cammino verso la resilienza cibernetica delle proprie pratiche operative. I tre “livelli di aspettativa”, man mano crescenti, sono:
1. Evoluzione. Ossia le capacità essenziali di resistenza del sistema informatico sono stabilite e sostenute dalla ’Fmi per identificare, gestire e mitigare i cyber-rischi, in linea con la strategia e la struttura di resilienza informatica stabilite. Le prestazioni delle pratiche sono costantemente monitorate e gestite.
2. Avanzamento. Oltre a soddisfare il requisito 1, le pratiche a questo livello implicano l'implementazione di strumenti più avanzati per la gestione della sicurezza e del rischio, integrati nelle linee di business della Fmi e migliorati nel tempo per gestire proattivamente le minacce.
3. Innovazione. Siamo nel livello di protezione più sofisticato. Oltre a soddisfare i requisiti dei livelli 1 e 2, le Fmi qui hanno capacità che vengono potenziate secondo necessità e in base all’evoluzione rapida del panorama delle minacce informatiche. La cyber resilienza del proprio ecosistema viene rafforzato collaborando proattivamente con i vari stakeholder esterni. Questo livello si traduce per l'Fmi in innovazione nelle persone, nei processi e nella tecnologia. Ciò potrebbe richiedere la creazione di nuovi controlli e strumenti o la creazione di nuovi gruppi di condivisione delle informazioni.
«I rischi informatici devono essere gestiti come parte del quadro generale di gestione del rischio operativo delle Fmi», sottolinea il documento. «Ogni Fmi è una potenziale “porta di ingresso” per azioni di cyber crimine, che possono compromettere l’intero sistema. A causa della loro interconnessione, infatti, gli attacchi informatici portati a segno contro una singola infrastruttura – per esempio attraverso malware - possono propagarsi a tutte le altre Fmi collegate e a tutti i fornitori di servizi terzi. A differenza delle interruzioni operative fisiche, il rischio cibernetico posto da un'entità interconnessa non è necessariamente correlato al grado di rilevanza di tale entità. Da un punto di vista cibernetico, un soggetto anche di piccolo valore o volume o un fornitore che fornisce servizi anche non critici rappresentano lo stesso livello di potenziale rischio di una grossa realtà del sistema». Ecco perché l’impegno, su questo fronte, deve essere disciplina comune.

Le 5 categorie di gestione del rischio

In linea con la Guida del 2016, il nuovo documento della Bce individua 5 categorie di rischio all’interno di 3 “aree di intervento”. Ecco la mappa.
CONTENUTI CORRELATI

Il costo del cyber crime

Quello bancario è il settore più colpito a livello mondiale, con un impatto economico cresciuto dell'11% nel 2018. Lo rivela Andrea Agosti...

Le sfide per i Ciso

Dalla cyber security alla cyber resilienza nell’analisi di Paolo Carcano di Pwc. Al centro il ruolo strategico del responsabile della sicurezza: nel...

I dipendenti prima linea di difesa

Nelle aziende molte violazioni informatiche dipendono da comportamenti che hanno funzionato da apri porta agli attacchi. Per questo, per Daman è...

A Banche e Sicurezza 2019, anticipare le sfide future

Mentre si riducono le minacce all’integrità fisica delle banche, aumentano gli attacchi cyber condotti ogni volta con le diverse modalità che la...
ALTRI ARTICOLI

 
Sicurezza

La digital transformation nella sicurezza fisica

La tecnologia è tra i principali fattori che contribuiscono alla diminuzione delle rapine in banca. Dal sensore di allarme al sensore di situazione,...

 
Sicurezza

Il costo del cyber crime

Quello bancario è il settore più colpito a livello mondiale, con un impatto economico cresciuto dell'11% nel 2018. Lo rivela Andrea Agosti...

 
Sicurezza

Le sfide per i Ciso

Dalla cyber security alla cyber resilienza nell’analisi di Paolo Carcano di Pwc. Al centro il ruolo strategico del responsabile della sicurezza: nel...
Un disclaimer al termine di un filmato garantisce la trasparenza e la correttezza di una pubblicità...
Per le banche fare modern marketing resta fondamentale anche nel nuovo contesto disegnato dal regolamento...