Approccio Zero Trust per la sicurezza della banca

Il settore finanziario si conferma uno dei principali ambiti nel mirino dei cybercriminali: secondo il Rapporto Clusit 2022  sulla sicurezza ICT in Italia, nel 2021 per il quinto anno consecutivo il settore finance è stato il più colpito, attirando il 23% di tutti gli attacchi registrati.

Attacchi che passano quasi sempre attraverso il furto delle credenziali d’accesso ai sistemi bancari o di pagamento, riutilizzate per transazioni fraudolente all’insaputa del cliente. Si parla infatti principalmente di malware per il furto di dati personali o fattori addizionali di autenticazione o manipolazione di una transazione, ma anche di phishing per il furto di credenziali di accesso e dei fattori di autenticazione forte, di hacking dei dispositivi mobile o di attacchi diretti all’infrastruttura dell’istituzione finanziaria.

Ad accrescere le criticità contribuiscono anche la scarsa manutenzione nell’aggiornamento dei sistemi utilizzati, le cattive pratiche di sicurezza informatica – come la connessione a reti Wi-Fi non protette – e la diffusione di campagne di disinformazione e fake news, in molti casi utilizzati come vettori di attacco per tecniche di ingegneria sociale.

Inoltre, viene rilevato che la digitalizzazione di molte attività bancarie, l’impiego di tecnologie avanzate nelle filiali di nuova generazione e l’uso delle connessioni da remoto per le attività di consulenza hanno stimolato un cambiamento anche sul versante degli attacchi informatici che, oltre alle strutture della banca, prendono oggi di mira in maniera più diretta i clienti e le loro informazioni personali.

Le banche hanno quindi bisogno di infrastrutture protette, sicure e resilienti che le mettano in sicurezza da attacchi provenienti dall’esterno, che potrebbero bloccare l’operatività dell’istituto o la disponibilità dei servizi digitali da parte dei clienti (per esempio attraverso  attacchi di DDOS, distributed denial of service). L’attacco ransomware rappresenta una criticità anche per  il canale ATM, poiché potrebbe causare  una grave interruzione al servizio con conseguenti perdite finanziarie e danni all’immagine dell’istituto stesso. L’anno scorso, Trend Micro ha evidenziato che il settore bancario è stato pesantemente colpito con una crescita del 1.318% su base annua degli attacchi ransomware nella prima metà del 2021.

Risulta quindi sempre più importante integrare le tecnologie di base di protezione e collocarle nell’ambito di una strategia olistica che comprenda processi e organizzazione efficaci. Un’evoluzione che impegna i team di cybersecurity della banca nel proteggere un perimetro molto più ampio, a garanzia dei canali digitali e di tutti gli endpoint (laptop, smartphone, sportelli ATM, ASST, chioschi, dispositivi IoT) attraverso cui i clienti possono accedere ai servizi bancari e che potenzialmente possono rappresentare un rischio per la banca.

Per il canale self-service

Per le banche, tutti i dispositivi endpoint (dalle workstation, agli ATM e agli ASST) sono asset vulnerabili agli attacchi e devono essere considerati un punto di partenza per definire strategie di revisione della sicurezza informatica. Questi sistemi critici sono i candidati ideali per gli approcci di sicurezza di tipo ZERO TRUST, modello che riduce al minimo il livello di fiducia implicita affinché sia possibile accedere al sistema solo a seguito di controlli rigorosi sull’hardware collegato, sul software applicativo eseguito, sulle comunicazioni che il sistema opera con l’esterno e sull’integrità/riservatezza dei dati contenuti negli storage locali.

L’applicazione del modello di Zero-Trust security non si basa unicamente sui criteri di legittimità del software, ma piuttosto su un processo di certificazione delle risorse e delle interazioni considerate affidabili in base alle esigenze operative, realizzato dai team deputati alla sicurezza. Mentre da una parte i dispositivi più critici beneficiano della segregazione in rete, dall’altra necessitano d’integrazione operativa a livello della security.

Per i dispositivi self service, applicando questo modello si ridurrebbe la superficie d’attacco permettendo operazioni solo se necessarie e certificate come corrette e definire delle policy improntate sullo stato del dispositivo, differentemente rigorose quando gli sportelli automatici sono in servizio (quindi fisicamente accessibili e potenzialmente vulnerabili per il crimine informatico) oppure quando sono vuoti e sottoposti alle attività di manutenzione. In questo secondo caso, il tecnico di terze parti abilitato all’intervento dovrà sottoporsi a un processo di autenticazione (per esempio, con codice OTP) per poter procedere alla manutenzione del software o dell’hardware del dispositivo.

Al fine di gestire correttamente le diverse attività, è fondamentale che gli strumenti utilizzati per la security locale operino in modo integrato con quelli che servono per garantire l’operatività e il monitoraggio degli ATM. Solo in questo modo è possibile ridurre al minimo i gap temporali nella copertura delle difese e assicurarsi che gli endpoint siano protetti adeguatamente e non diventino una porta d’ingresso per attacchi in grado di bloccare l’accesso ai servizi, sottrarre dati, o sequestrare archivi con richieste estorsive (ransomware).

Ecco come un approccio moderno alla protezione delle flotte di bancomat e ASST può supportare gli istituti finanziari a garantire sicurezza informatica:

• Sensibilizzare i dipendenti e formarli: molti attacchi di malware sono causati dall’apertura da parte di dipendenti di email phishing dal loro PC di lavoro.  Risulta quindi importante  investire in training sulla consapevolezza in merito alla cybersecurity, in modo da sensibilizzare i dipendenti riguardo a ciò che è meglio fare in determinate circostanze. Utile far seguire una simulazione di attacco phishing per verificare che i dipendenti siano in grado di riconoscere le mail pericolose.
• Controllare chiunque manipoli il dispositivo ATM: soluzioni standard come gli antivirus hanno lo stesso livello di protezione in qualsiasi momento, ma quando parliamo di dispositivi critici e della presenza di una terza persona (come per esempio il tecnico che si occupa della manutenzione), occorre essere in grado di controllare il livello di protezione e attivare politiche specifiche in quel momento specifico. La banca deve essere in grado di monitorare ciò che il tecnico sta facendo in un momento di massima esposizione a un attacco.
• Facilitare il lavoro di gestione della sicurezza informatica bancaria: consolidare le misure di protezione su un’unica piattaforma (in cui si integrano le attività relative a whitelisting delle applicazioni, crittografia completa di tutti i dischi rigidi e i supporti, protezione dell’integrità del file system, protezione hardware, firewall per fermare gli attacchi di rete).

Per saperne di più su come Auriga aiuta le banche a proteggere i dispositivi ATM, ASST e altri endpoint utilizzati nelle filiali bancarie di nuova generazione consultare qui.