Cyber sicurezza, le novità di CertFin

Dall’inizio dell’anno l'Italia dispone di un'arma in più per fronteggiare la minaccia cyber: il CertFin, ovvero una squadra per la risposta a emergenze informatiche (Computer Emergency Response Team) dedicata al sistema bancario e finanziario. Si tratta di un organismo pubblico-privato altamente specializzato voluto per innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari e la cyber resilience del sistema finanziario italiano.

Per fare il punto sull'avvio delle attività di questo nuovo importante strumento e conoscere obiettivi e partecipanti, abbiamo incontrato Romano Stasi, segretario generale di ABI Lab e direttore operativo CertFin, che modererà la sessione dedicata alla collaborazione pubblico-privato nella strategia di cybersecurity a Banche e Sicurezza 2017 (vedi sotto il box).

“ Il CertFin è già operativo – sottolinea subito Stasi – e solo nel primo quadrimestre abbiamo inviato al sistema finanziario oltre 200 segnalazioni, a cui si aggiungono altre 70 rivolte a singole banche per verificare possibili compromissioni. Inoltre, abbiamo monitorato oltre 42 segnalazioni a singole organizzazioni su specifiche vulnerabilità sulla rete, coinvolgendo in totale18 mila destinatari. Ma è solo l'inizio perché la convenzione tra Banca d'Italia, ABI e ABI Lab è stata firmata solo a dicembre e siamo partiti con le attività, per portarle a regime nei tempi previsti e rendere concrete tutte le potenzialità di questa importante struttura”.

“CertFin garantisce una maggiore capacità di risposta e di prevenzione rispetto al passato e rappresenta sicuramente un salto di qualità nella difesa del sistema finanziario rispetto alle minacce cyber. Tre sono i filoni operativi di attività per noi prioritari. Innanzitutto il Financial Info Sharing and Analysis Center (FinISAC), cioè lo scambio sistematico di informazioni su minacce, vulnerabilità e incidenti e l'analisi delle possibili contromisure da prevedere. E non forniamo solo la notizia dell'attacco, ma anche degli strumenti, chiamati Indicatori di compromissione, che servono a rilevarlo. Seconda area operativa è la Cyber Knowledge and Security Awareness, che comprende l'approfondimento delle minacce, l’evoluzione del contesto normativo, la promozione di campagne di sensibilizzazione sulle tematiche di cyber security e la partecipazione a esercitazioni e simulazioni a livello nazionale e internazionale. Terzo filone è quello legato al ruolo di Centrale operativa di gestione delle emergenze cyber, quindi l'analisi e il coordinamento in caso di incidenti e vulnerabilità. Tra i nostri compiti c'è anche il sostegno alle capacità interne di reazione dei singoli soggetti colpiti e la condivisione a livello di settore delle strategie di risposta più appropriate maturate sulla base delle esperienze”.

“Ci stiamo impegnando innanzitutto a rafforzare la constituency, coinvolgendo non solo banche ma anche tutti gli operatori del settore finanziario nazionale, come prestatori di servizi di pagamento, intermediari bancari e finanziari, imprese di assicurazione, gestori di infrastrutture di mercato, centri servizi e provider di servizi tecnologici rilevanti per il settore. Di pari importanza, ma sempre legati alla nostra recente costituzione, sono la definizione della governance e lo sviluppo delle collaborazioni internazionali. Ovviamente il nostro principale obiettivo resta comunque quello di offrire il massimo supporto a tutto il settore finanziario sul fronte della sicurezza cyber, e per questo abbiamo attivato anche un Team Virtuale composto da9 soggetti con cui siamo costantemente in contatto per monitorare gli attacchi e offrire una risposta immediata”.

“Il CertFin è guidato da un Comitato strategico di indirizzo Banca d'Italia – ABI, che definisce le politiche e le linee di sviluppo a fronte dell'evoluzione dei fenomeni fraudolenti e di attacco informatico, e da un Comitato direttivo che opera in ABI Lab e che gestisce l'attività operativa e tattica. Anche su questo fronte siamo ancora in fase di definizione e realizzazione, ma siamo comunque attivi”.

“Con il Cert nazionale avevamo un accordo già come ABI Lab e la costituzione del CertFin ha ovviamente potenziato le attività. Similmente la collaborazione con la Polizia Postale, diventata ancora più operativa e tecnica con l'avvio del CNAIPIC - Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche. A livello internazionale da diversi anni operiamo insieme all'European Cybercrime Center di Europol e ora, grazie al progetto EU OF2CEN, stiamo rafforzando lo scambio di informazioni ed esperienze con le associazioni bancarie e le polizie di Francia, Spagna e Ungheria. Ma sono molte gli accordi già in essere per lo scambio di informazioni e segnalazioni. Collaboriamo ad esempio con Cybersecurity Working Group (EBF), con FI-ISAC – Financial Institutions Information Sharing and Analysis Center, con Payment Security Support Group (PSSG) e Card Fraud Prevention Forum (CFPF) dell'European Payment Council. E stiamo attivando nuove partnership con i Cert di Norvegia e Danimarca.

“È fondamentale, perché nessuno vince da solo. E il coinvolgimento delle istituzioni è un passaggio centrale perché la cyber sicurezza è ormai parte della sicurezza nazionale in ogni Paese. Inoltre, la collaborazione con il settore pubblico e con le Forze dell'Ordine offre al privato non solo strumenti ma anche modalità di lavoro corrette e verificate”.

“Come centro di ricerca, ABI Lab segue da sempre il tema della sicurezza informatica legata al mondo bancario. Per il CertFin stiamo agendo in pratica da incubatori, per promuovere questa importante iniziativa e accelerare i tempi per la sua piena operatività. Di fatto abbiamo messo a disposizione la nostra struttura consortile non profit che opera con modalità e strumenti ben strutturati ed efficienti e ha rapporti consolidati con banche e aziende. In questo modo il CertFin non è partito da zero come una start-up e ha potuto iniziare ad operare rapidamente”.

“Il CertFin è un esperienza unica in Italia nel mondo privato. In altri settori critici quali energia o comunicazioni, le aziende non sono ancora arrivate alla creazione di un Cert, pur portando avanti strategie e politiche volte a rafforzare la collaborazione tra tutti i soggetti e le istituzioni. Nel settore pubblica è invece operativo il Cert PA”.