Cyber Resilience Settore Finanziario

L’approccio alla cyber resilience nel settore finanziario

5 maggio 2021

di Alberto PAGANINI

L’importanza della resilienza cibernetica è sancita dagli interventi delle Autorità internazionali che richiedono non solo di adottare politiche di business continuity e di disaster recovery ma l’adozione di un “framework di resilienza cibernetica”.

Le infrastrutture finanziarie intervengono nel continuo per adattare, evolvere e migliorare le proprie capacità di resilienza.

Vediamo come.

Le infrastrutture e i presidi di gestione rappresentate dal prefisso “cyber” formano un sistema che interagisce direttamente e dinamicamente con il mondo reale che le circonda. Nel contesto finanziario la dimensione del mondo reale è globale e le transazioni finanziarie la fanno da padrone agendo nei mercati finanziari e nei mercati dei capitali. L’utilizzo delle carte di credito, i prelievi dagli sportelli ATM, le operazioni di online banking sono possibili grazie a procedure di autorizzazione e alla disponibilità di sistemi informatici tra loro interconnessi. La stabilità finanziaria e la crescita economica sono tra gli obiettivi di ciascun operatore finanziario ed è indiscutibile l’importanza di adottare misure per la resilienza degli apparati “cyber” che permettono l’esecuzione delle transazioni finanziarie ed il funzionamento dei mercati.

Il settore e i mercati finanziari presentano caratteristiche che sono rilevanti per la “cyber resilience”, intesa come capacità di reazione e di ripresa da “incidenti” cyber che possono compromettere la sicurezza di un sistema informativo o le informazioni che un sistema processa, archivia o trasmette, ovvero violare le politiche di sicurezza, le procedure di sicurezza o le regole di utilizzo accettabile delle stesse. Il valore delle transazioni è sensibile al tempo predefinito di esecuzione (ad esempio real time) e la stabilità dei mercati è collegata all’abilità di chiudere le operazioni quando richiesto.

La capacità di reazione rapida agli “incidenti” è inevitabile e la severità delle potenziali minacce, alla stabilità finanziaria ed al funzionamento dei mercati, è confermata dagli interventi che le Autorità hanno compiuto in tema di “cyber resilience”.

Nel 2018 la Banca Centrale Europea ha pubblicato le “Cyber resilience oversight expectations for financial market infrastructures(1) che definisce le aspettative di vigilanza dell’Eurosistema in termini di resilienza cibernetica delle infrastrutture dei mercati finanziari, fornendo dettagli relativi ai preparativi e alle misure da adottare.

L’impulso alla pubblicazione delle “expectations” è costituito, a sua volta, dalla pubblicazione della “Guidance on cyber resilience for financial market infrastructures(2), avvenuta nel giugno 2016, da parte del Committee on Payment and Market Infrastructures e del Board della International Organization of Securities Commissions. Questa individua la cornice e il modello operativo che le infrastrutture dei mercati finanziari (FMI) sono invitate ad adottare per migliorare le capacità di resilienza informatica con l’obiettivo di limitare i rischi che minacce cibernetiche potenzialmente portano alla instabilità finanziaria.

Il modello è rivolto espressamente alle FMI che sono utilizzate allo scopo di compensare, regolare o contabilizzare i pagamenti, i titoli, i derivati o altre transazioni finanziarie: queste costituiscono i canali di trasmissione degli attacchi informatici dai mercati domestici ai mercati internazionali e sono, allo stesso tempo, centrali nella capacità di assorbire i fallimenti dei partecipanti al sistema finanziario.

Pur tuttavia il sistema finanziario è interconnesso con un largo numero di intermediari finanziari e la resilienza informatica a livello di sistema dipende soprattutto da quella dei soggetti interconnessi, dei fornitori di servizi e dei partecipanti al mercato. L’intervento della BCE di aggiungere i sistemi di pagamento e il c.d. TARGET-2 Securities quali primari destinatari del modello di resilienza va letto, indubbiamente, nel senso di un sempre più esteso utilizzo di pratiche comuni di resilienza cibernetica o di sue componenti.

Secondo le intenzioni delle Autorità, le infrastrutture dei mercati finanziari assumono un ruolo strategico attivo nel raggiungere le controparti, le corrispondenti finanziarie, partecipanti al mercato e gli altri stakeholder al fine di promuovere la comprensione degli obiettivi di resilienza cibernetica e supportare la loro attuazione.

Il modello di resilienza proposto integra persone e processi alle misure tecnologiche di protezione stabilendo come il concetto di resilienza sia nella pratica più ampio di quello della sicurezza. La “guidance” delinea il modello che si compone di cinque categorie di gestione del rischio e tre componenti generali che compongono il “framework di resilienza cibernetica”.

Le categorie di gestione del rischio sono:

  1. governance;
  2. identificazione;
  3. protezione;
  4. rilevamento;
  5. risposta e
  6. recupero.

I componenti generali sono:

  1. testing;
  2. la consapevolezza della situazione;
  3. l’apprendimento e l’evoluzione.

Per raggiungere gli obiettivi di resilienza cibernetica, l’investimento in ciascuna di queste categorie va considerato congiuntamente con le altre al fine di perseguire l’obiettivo di rafforzamento comune. In altre parole, le categorie di gestione del rischio e le componenti generali ricomprendono pratiche di cyber security (ovvero “capabilities”) proporzionate ad un determinato livello di protezione.

Le “expectations” definite dalla BCE intervengono sul modello introducendo meccanismi dinamici di miglioramento nel continuo, di proporzionalità e progressività di intervento nella gestione delle minacce cibernetiche. Il panorama delle minacce informatiche è in continua evoluzione e raggiunge i livelli più elevati di sofisticazione. Per realizzare adattamento, evoluzione e miglioramento il modello stabilisce livelli di aspettativa (le “expectations”) che forniscono un punto di riferimento rispetto al quale valutare la resilienza informatica, misurare la progressione e stabilire misure di intervento proporzionate alle minacce stesse. Il modello stabilisce tre livelli di aspettativa: evoluzione, progresso e innovazione.

L’essenza dei livelli di aspettativa è il miglioramento continuo senza stabilire requisiti statici o uno stato finale di resilienza informatica, che rischiano di creare dipendenza da una conformità passiva. Piuttosto, ci si aspetta evoluzione, avanzamento e innovazione alla luce del panorama delle minacce informatiche che sono parimenti in continua evoluzione.

Risulta che il modello di resilienza cibernetica non è solo un sistema di componenti interconnesse tra loro scalabili ma, attraverso tali livelli di aspettativa, viene gestita dinamicamente la resilienza cibernetica agendo sulle pratiche di cyber security che si riferiscono a persone, processi e tecnologie utilizzate per identificare, mitigare e gestire i rischi informatici e per supportare gli obiettivi.

Ciò detto, è importante rappresentare quale sia lo strumento base per governare la resilienza cibernetica attraverso il modello proposto. L’adozione delle pratiche di cyber security più adeguate e proporzionate che qualificano le categorie e le componenti del modello rispondono agli esiti di un “security risk assessment”.

Come tale è integrato nel processo di risk assessment del soggetto finanziario, rispetta la strategia di resilienza ed i livelli di tolleranza definiti dal Board e possiede i caratteri tipici di circolarità. Questo permette di migliorare nel continuo le pratiche di cyber security, adottare un sistema di sicurezza funzionale alla protezione degli apparati aziendali, aumentare la consapevolezza della minaccia e conoscenza della sicurezza informatica.

La valutazione di rischio inizia dall’identificazione e classificazione delle infrastrutture ed apparati critici da proteggere, per poi misurare le minacce cibernetiche, intese come le circostanze che possono sfruttare le vulnerabilità con impatto negativo sulla sicurezza, e definire le misure di protezione tecnologiche, di processo e di persone, incluso il Board stesso.

Le vulnerabilità a cui si fa riferimento possono essere sfruttate contemporaneamente da una o più minacce e possono essere considerate veri e propri fattori di rischio che rappresentano debolezze o falle degli “asset cibernetici” (meritevoli di protezione) o delle misure di sicurezza cibernetica.

In tale contesto è strategico tenere il passo con la dinamica natura del cyber risk e l’evoluzione delle minacce. La tecnologia è parte del framework di resilienza ma sono le persone e processi che devono essere in grado di identificare e distillare (anche attraverso la tecnologia stessa) gli eventi cyber del passato che sono chiave dentro e fuori l’organizzazione, provenienti non solo dalle casistiche concrete ma anche dai “quasi incidenti” vissuti. Non è possibile quindi prescindere dalla conoscenza e capacità prospettica di individuare nuove forme d’attacco che minacciano la stabilità e la crescita di un settore, come quello finanziario, che è fortemente dipendente dalla tecnologia.

 

Intervento di Alberto PAGANINI, Responsabile Controlli Interni ℅ Banca Centrale di San Marino

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   ECB,  Cyber resilience oversight expectations for financial market infrastructures  –  December 2018

(1)   ECB publishes the cyber resilience oversight expectations

(2)   BIS e IOSCO,  Guidance on cyber resilience for financial market infrastructures  –  June 2016

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *