Difese in evoluzione

Anticipare il futuro per governare i rischi. Sul fronte della sicurezza informatica le banche non possono attuare solamente strategie di reazione agli attacchi, ma devono essere in grado di prevenire le minacce, costruendo modelli evoluti intelligenti in grado di difendere efficacemente il business e il patrimonio di informazioni sensibili che detengono. A Banche e Sicurezza 2012 si è fatto il punto sullo stato dell’arte di tecnologie e soluzioni per la security sul web, sui nuovi rischi nati con la diffusione dei tablet e degli smartphone sempre più usati per operazioni bancarie, dei modelli di cloud più adatti al mondo finance. E, ancora, dell’andamento delle frodi identitarie (leggi qui ), dei nuovi obblighi imposti dalla compliance a normative italiane ed europee, delle precauzioni da prendere nei processi di dematerializzazione. Tutto, come è tradizione all’evento ABI, in un continuo confronto tra istituzioni, banche, partner tecnologici, consulenti ed esperti, nella convinzione che la lotta contro la criminalità, anche nella versione cyber, o è di sistema o non è.

Di seguito riportiamo alcuni dei contributi più interessanti in tema di sicurezza informatica registrati nelle due giornate di Palazzo Altieri.

Nell’era post-PC serve un modello di sicurezza informativa intelligente e datacentrico. La pensa così Gastone Nencini , Senior Technical Manager di Trend Micro , che a Banche e Sicurezza ha sottolineato i cambiamenti avvenuti con l’avvento del mobile e l’inutilità di una difesa perimetrale quando i dati ormai circolano con le persone all’interno di smartphone e tablet. E, infatti, non è un caso che i criminali abbiamo messo nel mirino proprio le informazioni contenute in questi device. Da qui la necessità di verificare non solo quello che entra in banca – o in una qualsiasi azienda – ma anche ciò che esce, che porta a un nuovo approccio di difesa chiamato outside-in e inside-out. Trend Micro ha attivato un modello innovativo compliance con questo orientamento già a giugno 2008. Alla base c’è la Smart Protection Network, che utilizza una rete globale di sensori di informazioni sulle minacce per aggiornare continuamente i database di reputazione e-mail, web e file in-the –cloud in tempo reale. Elaborando le informazioni sulle minacce in-the-cloud anziché sui singoli computer, si riduce anche il consumo delle risorse di sistema e si eliminano i download di file di definizione.

Secondo Giovanni Napoli , Pre-Sales manager EMEA South di RSA, il mondo finance deve ripensare la sicurezza con un approccio risk-based se vuole rispondere in modo efficace all’attuale evoluzione delle minacce. In passato molte aziende si sono forse troppo focalizzate sulla compliance, cioè sugli adempimenti necessari a superare determinanti controlli, piuttosto che sull’analisi delle capacità di risposta a un incidente. Per migliorare la capacità di reazione occorre ora partire dalla valutazione del rischio di ogni singola realtà. Non c’è dubbio, infatti, che sono numerosi i soggetti che potrebbero attaccare e con motivazione diverse, e anche che qualsiasi azienda potrebbe essere compromessa. Per questo occorre predisporre un’infrastruttura di sicurezza in grado di minimizzare l’impatto sul business e, contemporaneamente, predisporre le opportune capacità di risposta. RSA, la divisione della sicurezza del gruppo EMC, propone al mondo finance una vasta gamma di servizi, soluzioni e sistemi capaci di supportarli nelle strategie di difesa e di dotarli di capacità investigativa, ad esempio con strumenti in grado di analizzare i processi comportamentali degli utenti di remote banking per individuare tempestivamente anomalie e frodi.

Un’analisi dettagliata del mercato dell’information security è stata presentata da Ivo Benedetti , partner Axitea, che ha analizzato lo scenario e le tendenze in atto nel settore caratterizzato dai forti cambiamenti indotti dalla diffusione del cloud e del mobile computing. Anche per il 2012 la spesa per l’information security è stimata in aumento, trainata in particolare dall’enterprise mobility, dall’adeguamento alle normative e dalle esternalizzazione. Una dinamica di crescita che risulta superiore a quella dello stesso mercato IT. “L’information Security è un tassello fondamentale della sicurezza integrata”, ha sottolineato Benedetti, spiegando così l’acquisizione effettuata ad agosto del 2011 del ramo di azienda della società Italgo che ha permesso ad Axitea di ottenere competenze specialistiche anche in questo campo, diventando una tra le prime aziende al mondo a integrare nella propria offerta soluzioni per la sicurezza di beni sia tangibili sia intangibili, quali dati e informazioni. Banche e Sicurezza 2012 è stata per Axitea anche l’occasione per presentare ai rappresentati del mondo retail la sua nuova matrice di offerta, che si è allargata e arricchita di soluzioni customizzate dedicate non solo alle banche, ma anche a esercenti – in particolare tabaccai, farmacisti e commercianti -, PMI e al mercato residenziale.

Con la diffusione del cloud computing si aprono interrogativi sui livelli di sicurezza possibili in questo ambiente. Per Fabio Bussa, Telecom Italia , i dubbi che spesso vengono sollevati dipendono dal fatto che il modello di cloud computing più noto è quello pubblico di tipo best effort normalmente utilizzato per esempio dai social network, che non è quello adatto per il mercato bancario. Telecom Italia offre invece una soluzione assolutamente sicura ed affidabile utilizzando un’architettura di new generation data center, risultato di ingenti investimenti del gruppo italiano. Un altro aspetto fondamentale è la presenza della Rete che garantisce la possibilità di creare delle isole riservate ai diversi clienti e prevenire attacchi DDoS (Distributed Denial of Service). Inoltre, c’è grande attenzione per gli aspetti tecnologici di maggiore impatto innovativo, per la standardizzazione e i processi. A questo proposito a Banche e Sicurezza Telecom Italia ha annunciato l’iscrizione al Registro STAR (Security, Trust and Assurance Registry) della Cloud Security Alliance (CSA) con la soluzione Hosting Evoluto. Il riconoscimento conferma l’affidabilità e la sicurezza delle soluzioni cloud di tipo IaaS di Telecom Italia e si affianca alle certificazioni ISO27001 e ISO9001 già ottenute da oltre due anni.

La sicurezza è un tema trasversale che tocca numerosi aspetta della vita di un’azienda e, dunque, anche di una banca. PRB ha voluto declinarlo nella dematerializzazione, altro hype quanto mai attuale per il mondo finance, che presenta vantaggi irrinunciabili in termini di efficienza e riduzione dei costi, ma espone anche a nuovi rischi ad esempio, ad accessi non autorizzati, copia illegale di documenti, contraffazioni di contenuti, utilizzo di strumenti informatici da parte di personale inesperto, comportamenti malevoli dei dipendenti. Come fare a minimizzarli? Secondo Antonio Carbonera , Partner e Responsabile tecnico PRB , il livello di sicurezza dipende da molti fattori: dalle specifiche di progettazione e dalla tracciatura puntuale di tutte le fasi precedenti lo sviluppo dei prodotti; poi dalla predisposizione di funzionalità adeguate a gestire i rischi, dalla tracciatura degli errori, dagli aspetti di business continuity, dai controlli e dai test sugli applicativi portati a termine prima di andare sul mercato e, ovviamente, dalla sicurezza degli accessi, passaggio cruciale. L’aspetto successivo riguarda l’integrità dei documenti, che richiede l’adozione di cifratura e firma digitale, mentre l’integrità dei dati collegati ai documenti cifrati dovrà essere assicurata mediante codici di protocollo per evitare possibili manomissioni. Da non dimenticare, infine, la compliance dei processi e verifiche statistiche in real time e con allert automatici che scattano in caso di eventi che hanno impatto sui dati. Ricordando che la dematerializzazione consente, peraltro, di monitorare le attività svolte su ogni documento e questo permette non solo di verificare se eventuali modifiche erano consentite, ma anche di rilevare il tempo impiegato e il tipo di attività effettuata dal dipendente anche ai fini della valutazione dei carichi di lavoro personali.

Corero Network Security ha scelto Banche e Sicurezza per presentarsi sul mercato italiano della sicurezza, dove è entrata ad ottobre 2011. Un’espansione, quella della multinazionale americana, che ha coinvolto i principali Paesi europei – Italia, Francia, Spagna, Germania oltre alla Gran Bretagna, sede operativa dell’area Emea – trainata da soluzioni di network security innovative, in particolare IPS (Intrusion Prevention System) e per la difesa da attacchi DDoS (Distributed Denial of Service). “Si tratta di temi su cui sono molto sensibili le banche e il mondo del gioco online”, spiega Franco Caterino , country manager Italy di Corero Network Security , sottolineando però che “in Gran Bretagna e Usa le problematiche DDoS sono molto più sentite che da noi, dove fino a poco tempo fa non esisteva una vera e propria conoscenza di questa minaccia”. Per questo è necessario fare cultura e proseguire con la sensibilizzazione delle aziende. A tal proposito Corero ha distribuito all’evento ABI un opuscolo “DDoS for Dummies”, scaricabile gratuitamente anche online (http://ww2.corero.com/lp/ddos/ddosfordummies-ebook.html) , volto a spiegare in modo semplice e concreto, quali sono rischi, motivazioni dei criminali e sistemi di difesa. Per quanto riguarda le soluzioni, Corero propone alle banche una piattaforma hardware che offre caratteristiche sfidanti, bassa latenza ed elevata affidabilità anche sotto attacco, grazie anche ai processori multi-core Tilera combinati con il sistema operativo proprietario CoreOS.