L’ecosistema finanziario sta vivendo anni di profonda e intensa trasformazione. La trasformazione digitale, infatti, non si è limitata ad accelerare il percorso degli operatori verso nuovi livelli di produttività ed efficienza, ma ha rivoluzionato i loro modelli di business, ha creato nuovi assetti, ha introdotto nuovi player (fintech, insurtech) e favorito l’utente finale (privato o business che sia) con customer experience ottimizzate e servizi innovativi.
A fronte di un innegabile progresso, lo sviluppo di ecosistemi connessi e di servizi innovativi fondati sulla valorizzazione e monetizzazione dei dati ha, però, innalzato di molto i livelli di esposizione alle minacce cyber, che possono avvalersi di una superficie d’attacco ben più ampia rispetto a un tempo. Questa, infatti, non comprende unicamente l’infrastruttura bancaria – che peraltro è andata incontro a un forte processo di modernizzazione verso paradigmi ibridi e cloud – ma anche i player dell’ecosistema, le “terze parti” che talvolta hanno accesso a dati di estremo valore, ma non sempre sono soggette alle medesime stringenti misure di sicurezza dell’istituto bancario stesso.
Operatori finanziari: il 70% ha avuto problemi di sicurezza
I dati custoditi dalle banche sono estremamente preziosi, e non è certamente un caso che il settore bancario e assicurativo sia sempre in cima alle attenzioni dei malintenzionati. Due i motivi: le alte aspettative di introito ma anche la fiducia che i clienti ripongono negli operatori finanziari, che paradossalmente gioca a loro sfavore: secondo una ricerca di Agari citata da Deloitte, è molto (7 volte) più facile ingannare le persone con e-mail di phishing firmate da (finti) operatori finanziari rispetto ad usare brand di altri settori. Per quanto riguarda, invece, la distribuzione degli attacchi in Italia, stando all’ultimo aggiornamento del Rapporto Clusit il settore finanziario è in seconda posizione dopo la sanità.
Una ricerca targata Clearswift (via: DarkReading) sostenne che il 70% degli operatori finanziari avesse subito un incidente di sicurezza nel corso dell’anno precedente e che quasi la metà di quelli noti fosse stato originato dalla scarsa aderenza, da parte dei dipendenti, alle guideline di sicurezza o alle policy di data protection. Tutto ciò sottolinea un aspetto cardine della sicurezza informatica moderna, ovvero il fatto che l’anello debole della catena sia spesso quello umano. La stessa ricerca ha, infatti, evidenziato come le principali cause di incidenti informatici fossero malware introdotti attraverso chiavette USB e dispositivi personali (BYOD) o più semplicemente tramite la condivisione di dati con soggetti non autorizzati a riceverli.
Human Layer come anello debole della catena della sicurezza
Tutto ciò rende sempre più centrale la gestione dello “human layer” della sicurezza: le banche e gli altri operatori del settore si stanno muovendo in tal senso, ma considerando che la sicurezza cyber è una continua sfida tra chi attacca e chi viene attaccato, è fondamentale che i percorsi di awareness siano continuativi e vengano gestiti con dinamiche diverse alla tradizionale formazione periodica. Non bisogna dimenticare, a tal proposito, che esso è molto più minaccioso e pericoloso da quando le persone lavorano in modalità smart e da quando gli operatori stessi hanno abbracciato la trasformazione diventando nativamente connessi, digitali e open. Tutto ciò rende di primaria importanza lo sviluppo e l’implementazione di strategie di security awareness che vadano a contrastare la netta crescita degli attacchi di phishing e di social engineering (+26,1% in un anno, secondo il Rapporto Clusit) che è direttamente connessa con la pandemia, con i lockdown, lo smart working e il clima di incertezza che ne deriva.
Security Awareness: come renderla efficace
Lo scopo dell’awareness non è solo comprendere e acquisire nozioni, bensì sviluppare una ferrea consapevolezza delle minacce esistenti e delle possibili conseguenze, di modo tale da adottare buone pratiche di comportamento e far fronte in modo corretto ed efficace ad ogni situazione di pericolo. È, quindi, necessario sommare ai tradizionali momenti di formazione, erogata mediante piattaforme online con contenuti live e in streaming, una serie di strumenti atti a personalizzare il percorso e renderlo il più possibile pratico. Un’attività di Assessment, per esempio, è fondamentale per misurare le competenze iniziali ma anche la loro evoluzione durante il percorso, così da personalizzare il servizio e renderlo subito più utile, piacevole e ingaggiante.
Altro aspetto centrale riguarda la gestione della piattaforma, che va affidata a un team competente e costantemente aggiornato su nuove tecniche di attacco e potenziali debolezze, così da poterle adottare durante il percorso e monitorare – grazie ad appositi KPI – le reazioni delle persone. Un percorso di security awareness ben realizzato comprende, infatti, diversi attacchi simulati come campagne di phishing via e-mail, attacchi elaborati di social engineering (ad esempio, una CEO Fraud) da ripetere ciclicamente e allegati malevoli, il tutto al fine di monitorare le reazioni e strutturare il percorso di formazione successivo sulla base di esse, adeguando il Security Level di ogni dipendente e il rating complessivo dell’azienda.
Non possono mancare, inoltre, strumenti atti a difendere dati e dispositivi e a indirizzare il comportamento delle persone verso le best practice di sicurezza: si può ipotizzare, per esempio, un plug-in per il client di posta elettronica che esamini automaticamente la posta in ingresso e, volendo differenziarsi dall’attività di un comune antivirus, fornisca una stima di pericolosità della singola mail e accompagni l’utente attraverso i passi migliori da seguire. Per rendere il tutto ulteriormente engaging, via libera all’utilizzo di tecniche di Gamification, la cui efficacia nei confronti dello sviluppo di una cultura della sicurezza è comprovata. Così facendo, le imprese ottengono non solo un miglioramento importante della propria security posture, ma sono soprattutto in grado di trasformare l’anello debole della sicurezza in un’affilata arma di difesa, che può essere determinante per il futuro dell’organizzazione.