Frodi bancarie: la prevenzione parte dalla tracciabilità degli accessi

Gli accessi da parte del personale di banche o società loro collegate ad applicazioni contenenti informazioni confidenziali della clientela devono essere tracciati e memorizzati per un certo periodo di tempo anche qualora non abbiano finalità dispositive ma anche di sola consultazione. È quanto prevede una recente normativa del Garante (pubblicata sulla Gazzetta Ufficiale lo scorso 3 giugno 2011, ndr) in tema di tracciabilità dell’accesso ai dati bancari.
“Il Garante, introducendo una norma che obbliga a tracciare e mantenere in memoria gli accessi anche se effettuati come semplici consultazioni, offre uno strumento normativo a supporto della mitigazione del rischio di frode”, osserva Ludovica Ciliutti, System Engineer Leader Southern Europe di Attachmate, società che fornisce soluzioni di fraud management (fra cui Luminet). “L’esecuzione di inquiry (interrogazioni/richieste di accesso) non indica necessariamente un tentativo di frode; tuttavia, se ripetuta nel tempo, può costituire un campanello d’allarme circa un possibile comportamento anomalo”.
Attachmate ha costruito un’offerta specifica dedicata alla gestione delle frodi bancarie ma per capirne l’efficacia chiediamo a Ciliutti quali sono le differenze tra il loro software (Luminet) e gli altri strumenti disponibili sul mercato che permettono il rilevamento di utilizzi illeciti di applicazioni o la sottrazione non autorizzata di dati.
“Prima di tutto – risponde Ciliutti – Luminet non deve essere confusa con i classici strumenti SIEM (Security Information and Event Management, ndr). Questi memorizzano e/o aggregano log che solitamente contengono solo le informazioni relative alle transazioni, mentre la nostra soluzione registra anche azioni non dispositive (cioè registra nei log anche i soli accessi, non seguiti da operazioni/transazioni). Luminet è diversa anche dalle soluzioni DLP, ovvero di Data Leak Prevention o Data Loss Prevention, installate sui client. Queste si limitano a impedire che gli utenti copino i dati su una chiavetta Usb o li masterizzino su un Cd. Ma non impediscono, per esempio, di fotografare con un telefonino una schermata o di trascrivere a mano i dati visualizzati. Luminet, invece, può essere considerata una soluzione di nuova generazione. Non lavora né sui log né sulle workstation, ma si pone in mezzo fra i client e le applicazioni sui server e “ascolta” tutto il traffico di rete”.
In pratica, Luminet funziona come uno “sniffer” di rete e come un videoregistratore digitale che memorizza tutto quello che l’utente ha visualizzato nelle applicazioni. Che possono essere di diverso tipo, da quelle mainframe, Web o client/server.
Luminet non richiede alcuna installazione di software sui desktop o sui sistemi applicativi. “Una caratteristica – sottolinea la manager di Attachmate – che garantisce risparmi sui costi di gestione. Dal punto di vista architetturale è un sistema a sé stante nonché una soluzione modulare e scalabile. Unico requisito minimo è l’implementazione dei primi componenti della “catena”: i sensori, quelli cioè che prelevano i dati dagli switch di rete e sono dedicati a ciascun tipo di applicazione”. Altri componenti, quindi, si occupano di archiviare le informazioni raccolte all’interno di due repository separati che compongono la soluzione. Il primo, memorizza tutte le registrazioni in modo grezzo ma indicizzato. Il secondo, archivia i dati necessari a identificare e descrivere ciascuna operazione di inquiry, come previsto dal Garante. “I campi necessari – precisa Ciliutti – devono essere definiti insieme agli auditor. Quindi Luminet li popola con le informazioni prelevate dalla rete”. Questi dati sono quelli utilizzati anche per eseguire correlazioni utili a individuare anomalie e quindi generare alert relativi alla possibilità di frodi in corso. Qualora queste venissero rilevate, con un’interfaccia che permette ricerche di tipo “Google-like” e un meccanismo di visualizzazione stile videoregistratore sarà possibile ricercare fra i dati grezzi tutte le visualizzazioni effettuate dai singoli utenti (identificati tramite indirizzo Ip), utilizzabili anche come prove in sede giudiziaria.