Sicurezza-Pagamenti-Swift

CSP di SWIFT: contrasto alle minacce di attacchi informatici e rafforzamento della resilienza al cyber risk

4 aprile 2022

di Alberto PAGANINI

Con l’aumento del numero di attacchi informatici alle istituzioni finanziarie, il sistema dei pagamenti internazionale deve salvaguardare nel continuo la propria rete. Il programma sviluppato da SWIFT è orientato al miglioramento continuo e le banche sono chiamante a affrontare i prossimi cambiamenti del quadro dei controlli.

Negli ultimi anni, il settore finanziario è diventato un obiettivo primario per i criminali informatici e truffatori in tutto il mondo.

Questo è inevitabile, data la quantità di denaro che può essere potenzialmente sottratto.

Tale tendenza è confermata dall’ultimo rapporto annuale sulla cyber sicurezza di YOROI che registra come nel 2021 il settore dei servizi finanziari presenti una distribuzione degli attacchi più costante durante l’anno, confermando la motivazione economica quale driver principale dell’attacco.  Le organizzazioni operanti nel settore finanziario sono da un lato fortemente oggetto di attacchi ma parallelamente sono anche organizzazioni dotate di elevati standard di sicurezza, principalmente per scongiurare perdite di reputazione e/o fuga di denaro dai conti dei propri clienti.

Dal rapporto 2022 di YOROI emerge anche che i mezzi più utilizzati in Italia per avviare la catena di attacco sono stati il phishing e lo spear phishing, il phishing con la lancia. Nel 2021 il phishing, con il 42% degli attacchi bloccati è stata la principale minaccia da affrontare seguito da vicino dai malware e dai siti web dannosi. La proliferazione di malware nelle realtà aziendali è conseguenza delle difficoltà che hanno i sistemi di protezione perimetrale (firewall o proxy/gateway) nella corretta classificazione e conseguente rimozione di file dannosi, associata alla curiosità dell’individuo che vuole soddisfarla aprendo link e documenti senza troppa attenzione. Gli attori criminali sono consapevoli che utilizzando l’ingegneria sociale hanno una possibilità di ingresso privilegiato anche all’interno delle difese perimetrali aziendali. Questo fornisce indubbiamente uno spunto di riflessione e un’opportunità di miglioramento per quanto riguarda la formazione del personale in materia di security awareness.

Anche nel 2021 gli attori criminali che prendono di mira le imprese continuano a preferire le mail e la messaggistica come vettore di diffusione dei software malevoli.

Molti di questi attacchi hanno preso di mira i messaggi di pagamento tramite la rete SWIFT. Nel 2019 lo specialista di protezione dalle frodi Eastnets ha intervistato un consistente panel di banche in tutto il modo e l’80% di queste aveva dichiarato di aver sperimentato almeno un tentativo di frode correlato a SWIFT dal 2016 sostenendo che i tentativi di cyber-criminalità SWIFT erano aumentati nel corso del tempo.

L’attacco bancario più importante si è verificato nel febbraio 2016, quando gli hacker hanno manipolato i sistemi interni della banca centrale del Bangladesh con la distribuzione di software Windows. Gli aggressori hanno poi lanciato 35 richieste di pagamento fasulle tramite la rete SWIFT per trasferire illegalmente 951 milioni di dollari. Trenta richieste sono state intercettate mentre cinque di questi mandati fraudolenti sono state autorizzati e pagati per un danno di 81 milioni di dollari.

A questo sono seguiti diversi attacchi di rilevante importanza che hanno interessato banche di tutto il mondo, quali la Far Eastern International Bank in Taiwan il Banco del Chile in Cile e numerose banche in Russia e Ucraina.

La rapina alla Bangladesh Bank è stata un punto di svolta per il settore finanziario e per la rete SWIFT che nel 2016 ha lanciato il Customer Security Programme (CSP) per garantire che le banche mettano in atto “difese contro gli attacchi informatici che sono aggiornati ed efficaci” e “per proteggere l‘integrità della più ampia rete finanziaria“, come afferma il fornitore di messaggi finanziari sul suo sito web.

Il CSP si basa sull’adozione di uno standard minimo che le banche aderenti devono adottare e che risolve il problema dell’anello più debole.

Mentre i criminali informatici intensificano i loro sforzi e le nuove tecniche di frode si evolvono, SWIFT aggiorna regolarmente il proprio “framework” di controllo. Le attività di controllo sono raggruppate in tre macro obiettivi:

  • sicurezza dell’ambiente informatico e del perimetro di attacco;
  • autorizzazioni e limitazioni agli accessi;
  • individuazione e risposta agli attacchi.

L’evoluzione del portafoglio dei controlli previsto dal framework è costante basti pensare che i controlli di tipo “mandatory” sono passati dai 16 del 2017 ai 23 del 2022: la banca deve adottare questi controlli nella propria infrastruttura SWIFT locale per realizzare nell’immediato realistiche misure di difesa. Per quest’anno il portafoglio dei controlli conta 32 elementi, tra i quali sono presenti anche controlli di tipo “advisory” ovvero basati sulle pratiche raccomandate alle banche partecipanti alla rete SWIFT. Alcuni controlli “advisory” sono diventati obbligatori nel tempo e sono stati aggiunti nuovi controlli “mandatory” in risposta a nuove minacce nello spazio di sicurezza informatica.

Anche per il 2022 SWIFT ha confermato le due misure chiave introdotte nel 2021 ovvero:

  • nuovo “framework di controllo aggiornato (CSCF v2022);
  • l’obbligo di un “independent assessment per supportare l’attestazione di conformità ai controlli richiesti.

La valutazione indipendente può essere condotta anche da funzioni interne alla banca come:

  1. la funzione compliance,
  2. il risk management o
  3. l’internal audit,

laddove le necessarie competenze e conoscenze siano presenti e efficacemente fruibili.

Ma cosa c’è da sapere sulle modifiche al CSCF v2022 e su come prepararsi al meglio per rimanere conformi?

Nel luglio 2021, SWIFT ha pubblicato la sua ultima versione del CSCF con il termine per la conformità da parte delle istituzioni finanziarie alla fine di quest’anno. Per la prima volta, diventerà obbligatorio per le banche implementare una soluzione antifrode: dovranno identificare anomalie nei messaggi.

Queste anomalie includono, ad esempio, il traffico al di fuori del normale orario di lavoro o attività insolite rispetto ai beneficiari, alla fonte, alle valute o ai paesi. SWIFT mira a rimuovere un potenziale “gateway” che gli hacker utilizzano quale ad esempio i ransomware che si addestrano osservando l’operatività. Nel caso del Bangladesh, la banca è stata colpita al di fuori del suo orario di lavoro abituale.

Dal punto di vista tecnico, ciò significa che tutti gli istituti finanziari collegati a SWIFT devono soddisfare i nuovi requisiti di controllo denominato “Transaction Business Controls” entro la fine dell’anno.

Per individuare i propri comportamenti anomali ogni banca deve valutare i prodotti di pagamento che offre, la clientela per ogni prodotto e come i clienti li utilizzano. Per una banca retail un importo di pagamento di 100.000 euro può essere anormale mentre per una banca corporate sicuramente non lo è.

Il controllo denominato “Transaction Business Controls” richiede inoltre che le banche attuino un modello di riconciliazione in tempo reale, che convalidi l’esistenza del messaggio nell’applicazione di back-office prima di essere trasmessi alla rete SWIFT: questa misura di rilevamento reale è imperativa per bloccare i messaggi prima che siano completamente eseguiti.

Anche per il 2022 la sfida per le banche è garantire che ogni funzione aziendale sia consapevole dei propri requisiti ai sensi del CSPF (Customer Security Programme): le attività di notifica delle modifiche al CSPF, la creazione di formazione e il supporto alle richieste dei colleghi interni sono strategici per una corretta implementazione dei controlli che sono oggetto di valutazione nell’ambito del CSP.

Come sopra detto, le banche sono inoltre tenute a dare mandato ad un valutatore indipendente, che mira a fornire alle altre controparti della rete SWIFT una maggiore sicurezza che i propri interlocutori siano conformi dato che in una rete interconnessa come SWIFT ogni banca dipende dalle sue controparti per proteggere l’ecosistema.

I cambiamenti obbligatori che SWIFT introduce annualmente sono essenziali per mantenere il settore sicuro, perché i criminali finanziari hanno capacità tecnologiche sempre più consistenti. I fornitori di tecnologia, le autorità di regolamentazione e le istituzioni finanziarie sono impegnati nel garantire che il settore bancario sia un passo avanti – motivo per cui il Customer Security Programme (CSP)  è importante.

 

Intervento di Alberto PAGANINI, SWIFT Security Manager

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

Yoroi | Annual Report 2022

Eastnets | Swift Cyber Fraud Survey, November 2019

Deloitte | SWIFT Systems and the SWIFT Customer Security Program, September 2019

SWIFT | Customer Security Programme (CSP)

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *