Nel panorama attuale, le organizzazioni criminali sfruttano competenze tecniche avanzate per realizzare attacchi mirati che colpiscono aziende private e pubbliche amministrazioni. In particolare, il settore bancario e finanziario è costantemente sotto attacco, con impatti devastanti sia per i consumatori, spesso ignari delle violazioni, sia per le aziende che subiscono perdite economiche e reputazionali. L’uso di strumenti di autenticazione come gli OTP (One Time Password) non è sempre sufficiente, poiché anche questi possono essere compromessi durante le transazioni.
Zero Trust Level: Un Modello di Sicurezza Essenziale
Per affrontare queste sfide, molte organizzazioni stanno adottando il modello Zero Trust Level. Questa strategia si basa sul principio che nessuna entità – utente, applicazione, servizio o dispositivo – debba essere considerata affidabile di default. Ogni connessione e richiesta d’accesso viene verificata, riducendo al minimo i privilegi degli utenti e rivalutandoli a ogni accesso. In questo contesto, la revisione delle autorizzazioni e dei livelli di accesso diventa fondamentale.
– “Zero Trust Level” Strategy Concepts -
Gli Standard di Sicurezza PCI-DSS e STIG come Baseline per lo Zero Trust
Due standard fondamentali supportano l’implementazione dello Zero Trust Level nel settore bancario e finanziario:
- Lo Standard PCI-DSS (Payment Card Industry Data Security Standard), prevede 12 requisiti di conformità, organizzati in sei gruppi correlati noti come obiettivi di controllo. E’ uno standard di sicurezza delle informazioni utilizzato per gestire le carte di credito dei principali circuiti bancari e finanziari.
Le aziende soggette allo standard PCI DSS devono essere conformi e la modalità dipende dalla quantità annuale e dalle modalità di esecuzione delle transazioni. A prescindere da ciò, un intermediario bancario o finanziario o un circuito di pagamento può e deve inserire nei suoi processi un livello di reporting a sua discrezione che dimostri l’aderenza allo standard e il controllo di eventuali violazioni nel codice sorgente delle applicazioni.
I livelli di conformità PCI-DSS, basati sul volume di transazioni, spaziano da:
Livello 1 – Oltre 6 milioni di transazioni annue
Livello 2 – Tra 1 e 6 milioni di transazioni
Livello 3 – Tra 20.000 e 1 milione di transazioni
Livello 4 – Meno di 20.000 transazioni
- STIG (Security Technical Implementation Guide) è una guida emessa dal Dipartimento della Difesa degli Stati Uniti (DoD) e dall'Agenzia per la Sicurezza dei Sistemi Informativi (DISA), che definisce le procedure per configurazioni sicure di sistemi informatici, software e dispositivi di rete. Rivolta agli amministratori di sistema e ai professionisti della sicurezza, STIG fornisce istruzioni dettagliate per ridurre le vulnerabilità e rafforzare la sicurezza generale delle infrastrutture IT. Le linee guida STIG coprono tre stadi principali di applicazione e possono essere sintetizzate nei seguenti punti:
1) Maggiore Sicurezza: STIG promuove configurazioni robuste che rendono i sistemi significativamente più difficili da penetrare, riducendo il rischio di attacchi e violazioni dei dati.2) Conformità Semplificata: STIG offre una roadmap standardizzata che facilita la conformità alle stringenti normative di sicurezza del DoD, riducendo al contempo i costi amministrativi.
3) Riduzione delle vulnerabilità: Le configurazioni raccomandate e le indicazioni fornite consentono di monitorare proattivamente le vulnerabilità, riducendo la superficie di attacco e limitando il rischio che gli hacker sfruttino sistemi obsoleti o non sicuri.
4) Resilienza ottimizzata: le configurazioni STIG portano a sistemi più resilienti, in grado di resistere agli attacchi informatici con maggiore efficacia e e un ripristino più rapido da potenziali violazioni.
5) Identificazione delle violazioni migliorato: Le regole STIG che sono state ampliamente collaudate nell’ecosistema DoD consentono un’analisi centralizzata delle minacce agevolando l’adozione di misure di sicurezza.
Le violazioni STIG vengono raggruppate in 3 categorie:
- CAT1 (High Severity) - Vulnerabilità critiche, che possono causare danni gravi e immediati, come la perdita di dati o la compromissione delle reti.- CAT2 (Medium Severity) - Rappresentano minacce significative, pur senza un impatto immediato; tuttavia, possono aprire la strada a danni maggiori. La mitigazione delle CAT2 richiede una vigilanza costante che solo uno strumento automatico di analisi e rendicontazione può fornire.
- CAT3 (Low Severity) – Non causano direttamente danni ma possono rendere il sistema più vulnerabile, offrendo punti d’accesso nascosti che possono essere sfruttati per attacchi futuri.
Le linee guida STIG aiutano le organizzazioni a costruire un'infrastruttura ICT conforme, resiliente e pronta a rispondere alle minacce, contribuendo a un approccio “Zero Trust” per la sicurezza.
Strategie di Cybersecurity
Come anticipato in premessa il mercato bancario e finanziario è fortemente sollecitato ed attaccato dal Cyber-Crime alfine di ricavarne utili illeciti e le recenti normative e framework, come ad esempio il DORA dell’UE, ma anche i report di altre Banche Centrali nonché Istituzioni di Regolamentazione suggeriscono e quasi impongono di adottare misure per aumentare la resilienza nel settore bancario e finanziario. Alcuni dati significativi dell’INTERPOL (International Criminal Police Organization) ci dicono che i crimini informatici nel mondo finanziario sono ora tra le principali preoccupazioni politiche globali (https://www.interpol.int/Crimes/Financial-crime/Financial-crime-don-t-become-a-victim). Secondo invece l’ENISA (Agenzia Unione Europea per la CyberSicurezza) mensilmente vengono rubati più di 10 Terabyte di dati e più del 60% delle Aziende di settore potrebbe aver pagato ingenti richieste di riscatto (https://www.enisa.europa.eu/news/volatile-geopolitics-shake-the-trends-of-the-2022-cybersecurity-threat-landscape).
Come possiamo quindi iniziare un percorso di riduzione di tali rischi?
Sicuramente adottando strumenti e processi che effettuano costanti controlli su tutta l’infrastruttura ICT e i software che vengono utilizzati. Su questo tema un grosso aiuto è fornito dalla Software Intelligence di CAST con le sue piattaforme Imaging e Highlight che possono tenere validamente sotto controllo le minacce di cui abbiamo parlato. In particolare, l’aderenza ai due standard citati nell’articolo: Il PCI-DSS e lo STIG.
A lato, alcuni degli standard gestiti dalla piattaforma CAST Imaging
dove sono evidenziati i due citati. L’aderenza ai suddetti standard può essere dimostrata mediante scansioni periodiche di tutto il parco applicativo con la creazione automatica di reportistica in tempo reale su cui sono evidenziate puntualmente le violazione. In questo modo l’Azienda è in grado di porvi rimedio in un percorso virtuoso verso la minimizzazione del rischio facendo proprio il concetto dello “Zero Trust Level”.
Un esempio di tali report può essere desunto dalla figura seguente. Tale report implementa lo standard nel suo complesso ed è sempre aggiornato ad ogni nuova versione.
I report possono essere allegati facilmente ai documenti previsti dalle certificazioni di sicurezza con risparmi notevoli per la loro compilazione manuale. Tali report sono completi e identificano, secondo lo standard le maggiori “criticità” riscontrate come si evidenzia nella figura sottostante.
Anche per lo standard STIG, CAST Imaging prevede una serie di report che sono sempre configurabili e personalizzabili facilmente per adattarsi all’ambiente del cliente e, soprattutto, alla documentazione prevista dalle certificazioni di sicurezza e dalle visite ispettive di controllo.
Qui in basso, un esempio di report STIG prodotto per una applicazione software in ambiente bancario. Analogamente come per quello PCI-DSS sono presenti puntualmente tutte le violazioni identificate dallo strumento di analisi CAST Imaging
In conclusione, è evidente che la digitalizzazione è diventata una necessità ancora più pressante nel settore bancario e finanziario, con rischi per la sicurezza in costante aumento. I manager devono quindi garantire la resilienza delle operazioni, la conformità alle normative governative e di settore, e l’efficacia dell’infrastruttura di cybersecurity per difendersi adeguatamente dagli attacchi sempre più frequenti e imprevedibili. Purtroppo, il mondo digitale non è immune da violazioni di dati, ransomware, malware, phishing e attacchi di social engineering sempre più sofisticati.
SHARE