Man mano che le banche si evolvono verso il digitale, i fornitori si trovano di fronte alla sfida di replicare online il livello di servizio al cliente offerto in persona nelle loro filiali. Quali sono le principali sfide emerse in seguito a quest’evoluzione e come affrontarle?
Fino al 2020, sono stati i giovani millennial i principali utilizzatori delle nuove tecnologie bancarie (per esempio, i sistemi contactless “tap&pay”), ma con il tempo la comodità di questi metodi di pagamento ha conquistato tutte le fasce d’età. La pandemia di Covid-19 ha ulteriormente accelerato il passaggio all’online banking: cercare un mutuo, una polizza assicurativa, un piano d’investimento o semplicemente fare un bonifico e svolgere normali attività sul conto corrente in modo digitale sta diventando rapidamente la norma.
Tuttavia, in virtù della digitalizzazione del settore, stanno evolvendo anche le modalità di attacco contro i fornitori di servizi finanziari. «I servizi finanziari sono sempre stati uno dei target preferiti da parte dei criminali informatici, poiché la presenza di denaro li rende un obiettivo potenzialmente molto redditizio e attraente sia lato utenti, sia lato back end e data center - spiega Marco Catino, sales engineer Zscaler - La criticità del servizio offerto è tale che un attacco qualunque porta potenzialmente conseguenze devastanti: perdere anche solo un minuto di dati e transazioni di carte di credito è un dan no enorme, che potrebbe portare un’azienda al fallimento».
Pericolo ransomware e phishing
Purtroppo, i cyber criminali hanno escogitato molte tipologie di attacco per raggiungere i propri obiettivi. «Il ransomware è da considerare anche in questo settore la minaccia principale - osserva Catino - Una minaccia che si è evoluta e non si limita più a una richiesta di estorsione per liberare dati crittografati, ma diventa una doppia estorsione: se la vittima si rifiuta di pagare, i dati rubati vengono resi pubblici.
Parliamo addirittura di tripla estorsione quando la vittima non risponde al pagamento del riscatto o alla minaccia di divulgazione pubblicata dei dati esfiltrati e crittografati: in tal caso, i criminali informatici potrebbero minacciare anche i clienti o i fornitori e chiedere riscatti anche a loro oppure ventilare attacchi DDoS (Distributed Denial of Service). Il Roi (Return on Investment) dei cyber criminali in questo modo migliora, per via delle diverse fonti di reddito generate dall’attacco informatico; parliamo in questo caso di double, triple, quadruple dipping».
Particolarmente diffusi sono, poi, gli attacchi di phishing, che mirano a ingannare le vittime per carpire dati finanziari: «Si tratta - racconta Catino - di uno dei vettori di attacco più utilizzati anche nell’ambito dei servizi finanziari, con campagne mirate contro una banca o un istituto finanziario specifico. Questo tipo di attacchi sfrutta gli utenti che hanno accessi privilegiati e sono un ottimo punto di accesso alla rete. Si concretizza principalmente attraverso un’e-mail ingannevole, con la quale si cerca di indurre gli utenti a cliccare su un link per fornire dati riservati che in realtà finiranno nelle mani dei criminali informatici».
Fiducia implicita pari a zero
Se è vero che i cyber criminali dispongono di più metodi di attacco, è altrettanto certo che le società finanziarie hanno più carte da giocare per garantire al meglio la cyber sicurezza dei propri servizi al cliente. «Per garantire che i dati non vengano rubati (o resi pubblici) e siano al sicuro, un’organizzazione finanziaria in primis deve difendere tutti gli utenti dagli attacchi rivolti contro di loro, facendo in modo che tutti gli interessati (dipendenti, clienti, fornitori) che hanno accesso ai loro servizi siano sempre protetti - spiega Catino - Inoltre è bene fare in modo che lo stesso tipo di protezione applicata in ufficio sia presente anche nel momento in cui si lavora dalla propria abitazione od ovunque nel mondo».
Sotto questo profilo Catino indica nello specifico strategie per costruire dei validi sistemi di difesa: «Sono ideali, a tal proposito, le soluzioni Zero Trust, che per Zscaler sottintendono Zero Implicit Trust, ovvero il concetto che “niente è implicitamente affidabile”. L’accesso ai dati quindi non può essere garantito esclusivamente per il fatto che l’utente si trova sulla rete dell’ufficio o è collegato alla VPN.
Ogni richiesta di accesso e transazione dev’essere valutata singolarmente, sulla base di diversi parametri, per garantirne la sicurezza e legittimità. Per esempio, supponiamo che un utente voglia accedere al database clienti della banca: questa richiesta dev’essere valutata e approvata o negata. Questa valutazione dev’essere effettuata sulla base del contesto (identità e posizione fisica dell’utente, dispositivo utilizzato e relativo livello di sicurezza, contenuto della transazione); infine è necessario un enforcement che autorizzi l’accesso. Solo dopo questo percorso di valutazione la transazione può essere ritenuta affidabile o in caso contrario essere bloccata».
Rispondere con una trappola al miele
Da qui possono essere inserite barriere ancora più specifiche, sempre più a prova di cyber crime. «È possibile introdurre livelli di sicurezza ulteriori - aggiunge Catino - Per esempio, l’utente può accedere alle applicazioni, ma non essere autorizzato a scaricare file perché non viene ritenuto sufficientemente affidabile. Questo procedimento di valutazione di affidabilità o non affidabilità viene utilizzato per ogni richiesta di accesso e caratterizza le soluzioni Zero Trust, definite, da Gartner, Security Service Edge. Tra loro ci sono anche le soluzioni Zero Trust Network Access di Zscaler, che rappresentano per noi un pilastro fondamentale per prevenire qualsiasi attacco».
«Sempre nell’ottica di Zero Trust, e massima sicurezza, è fondamentale che una soluzione ZTNA sia in grado di adattarsi al contesto di rischio, per esempio limitando l’accesso ai dati sensibili per un utente con comportamenti “sospetti” su Internet, oppure indirizzando le richieste provenienti da un device compromesso a un’infrastruttura di deception popolata esclusivamente da honeypot». Si tratta di fatto della classica esca (da qui il nome “vaso di miele”) che, presentandosi come bersaglio, si trasforma in una trappola per i cyber criminali, accalappiandoli e mettendoli finalmente fuori gioco.
Watchguard Technologies - Blockchain: a che punto siamo
Watchguard Technologies, società madre di Panda Security specializzata in soluzioni per le aziende, ha risposto ad alcune domande sui temi della blockchain e dei servizi finanziari.
Quali vantaggi per il settore dei servizi finanziari offre la blockchain?
«Panda Security ritiene la blockchain una tecnologia di grande valore in diversi settori, compresi i servizi finanziari, anche se il suo utilizzo nella cybersecurity è ancora limitato - spiega Carlos Arnal Cardenal, Product Marketing Manager di Watchguard Technologies - Molti esperti di sicurezza informatica concordano sui principali vantaggi che questa tecnologia può fornire nel contrasto al rischio informatico: l’architettura distribuita di una blockchain aumenta infatti la resilienza dell’intera rete rispetto all’esposizione ai rischi legati a un singolo punto di accesso o in caso di guasto. I meccanismi di consenso - una caratteristica fondamentale delle blockchain - migliorano la solidità e l’integrità complessiva della contabilità condivisa.
Dal momento che il consenso tra i partecipanti alla rete è un prerequisito per convalidare nuovi blocchi di dati, si attenua la possibilità che un hacker, o uno o più partecipanti alla rete compromessi, possa corrompere o manipolare un particolare libro contabile. Le blockchain offrono inoltre ai partecipanti una maggiore trasparenza, rendendo molto più difficile la corruzione attraverso malware o azioni manipolative. Possono contenere più livelli di sicurezza, sia a livello di rete sia a livello di ogni singolo partecipante. Infine, le blockchain - se ospitate su una piattaforma cloud - presentano a livello di cybersecurity protezioni ancora maggiori, grazie ai controlli di accesso della piattaforma e tramite altri strumenti».
Quanta consapevolezza esiste tra i fornitori di servizi finanziari sul supporto offerto dalla blockchain contro le nuove pratiche di attacco e hacking?
«La maggioranza di chi prende decisioni in azienda sa come funziona la tecnologia blockchain, ma in questa fase poche realtà l’hanno già adottata. Questo è quanto risulta dall’ultimo sondaggio Pulse condotto su 145 senior manager IT di aziende di tre continenti, tra cui anche C- Level nei servizi finanziari. Dal sondaggio emerge che solo l’8% ha sperimentato questa tecnologia anche per la cybersecurity, rispetto al 53% che ne conosce il funzionamento ma non l’ha ancora utilizzata. Solo il 9% delle aziende dichiara di aver implementato completamente soluzioni basate sulla blockchain nel proprio core business, mentre il 78% prevede di utilizzarla in modo occasionale.
Per quanto riguarda le aziende che non hanno ancora utilizzato la blockchain ma hanno intenzione di adottarla, solo 4 aziende su 10 lo faranno nei prossimi 12 mesi, mentre le altre affermano di non avere una tempistica o che in ogni caso la blockchain verrà inclusa in un piano a lungo termine. Secondo un manager di un importante istituto finanziario che ha partecipato al sondaggio, le organizzazioni più grandi sono maggiormente consapevoli dei vantaggi della blockchain: “Dopo aver annunciato la disponibilità ad accettare criptovalute - ha dichiarato - abbiamo assistito a un enorme aumento del numero di attacchi informatici alla nostra azienda. Fortunatamente, possiamo contare su un’infrastruttura di sicurezza molto solida. Tuttavia, credo che le aziende più piccole che non dispongono di una solida infrastruttura di cybersecurity possano incorrere in grossi problemi”».
Quali consigli dareste a quei fornitori di servizi finanziari ancora oggi restii ad adottare la blockchain?
«Il settore può trarre enormi benefici dalla diffusione della blockchain, date le numerose applicazioni di questa tecnologia. Poiché le minacce informatiche verso il settore continuano a evolversi per complessità e intensità, tecnologie come la blockchain possono contribuire alla riduzione del rischio di cybersecurity e proteggere adeguatamente le informazioni finanziarie e l’integrità del sistema finanziario globale.
Nello specifico, una blockchain è estremamente utile nell’individuare l’accesso agli endpoint, nel capire cosa sta accadendo e chi ha effettuato l’accesso, anche se resta ancora molto da analizzare. Le soluzioni che utilizzano l’autenticazione a più fattori rafforzano i punti di accesso delle organizzazioni e in questo senso compensano le carenze di cui la blockchain ancora soffre. Uno dei vantaggi della blockchain è la sua capacità intrinseca di attenuare i rischi e gli attacchi informatici, in particolare quelli diretti alle istituzioni finanziarie. Pur non essendo immune a ogni tipo di rischio informatico, la peculiare struttura della blockchain offre capacità di cybersecurity assenti in altre tecnologie esistenti».
