Il lavoro è sempre più difficile, anche se le banche lavorano incessantemente per proteggere sia i loro clienti sia i loro asset. Gli attacchi crescono in numero e intensità e nuovi scenari come l’Internet delle cose comportano sia l’aumento delle superfici di attacco sia del numero di end point che possono essere usati per sferrare gli attacchi. Questa non è speculazione teorica, sono fatti che stanno accadendo e il Security Operations Center di Akamai ha già osservato diversi attacchi provenienti da “cose” su Internet.
Il problema non è solo la dimensione o la frequenza degli attacchi, ma anche la rapidità con cui possono essere lanciati. Esistono strumenti con cui anche un novellino può lanciare attacchi, non solo dalla sua macchina ma da anche da server Internet compromessi: il risultato è un attacco di enorme portata sebbene attuato con conoscenze tecniche modeste.
Anche gli stili di attacco stanno cambiando. I reflection attack non sono nuovi ma sono tornati di moda, con nuove modalità di esecuzione e miliardi di nuovi dispositivi connessi a Internet da sfruttare. Nuove vulnerabilità vengono scoperte in continuazione e spesso sono così importanti che serve tempo per riparare tutte le falle su tutto l’hardware interessato presente sul web, così che le back door restano a disposizione dei cybercriminali per lunghi periodi. Heartbleed e Shellshock sono esempi perfetti di questo problema e dobbiamo senz’altro aspettarci di vederne sempre di più in futuro.
Gli hacker agiscono per motivi diversi, ma spesso l’obiettivo non è solamente la soddisfazione di mettere in ginocchio il sito di una banca. Diverse banche hanno confermato di avere osservato movimenti fraudolenti di denaro durante gli attacchi di tipo DDoS, spesso usati per creare un diversivo mentre vengono scaricati i dati dei clienti che saranno poi venduti sul mercato nero e alimentare il giro delle frodi finanziarie e del furto di identità. Questi furti di dati creano un enorme danno sia alle banche sia ai loro clienti e gli esempi purtroppo non mancano.
Considerando quanto è alta la posta in gioco e che le banche sono ovunque nel mirino degli hacker, è chiaro che agire in solitudine non è una strategia sensata. Dopo tutto, gli stessi hacker condividono in continuazione tempo, risorse e conoscenze.
Condividere le informazioni è la risposta più ovvia, ma è più facile dirlo che farlo. L’idea di condividere informazioni non è universalmente accettata nel mondo bancario. In alcuni paesi, come gli Stati Uniti, ciò viene fatto ma esistono nazioni in cui la conoscenza delle minacce è ancora considerata un argomento competitivo e sensibile. Parlando con manager bancari in alcuni paesi, abbiamo ricevuto la conferma che questi paesi sono almeno tre anni indietro rispetto a quelli più avanzati per quanto riguarda la condivisione delle conoscenze sulle minacce. Vi sono anche incertezze di ordine legale da considerare riguardo la privacy e le responsabilità associate alla rivelazione di informazioni sensibili.
Quando si decide di condividere informazioni per garantire il benessere e la sicurezza del settore bancario, ilsistema deve essere efficace. Nessuno vuole trovarsi nella situazione di lanciare falsi allarmi dato che, inoltre, identificare un attacco non è sempre facile. Gli attacchi, infatti, non sono sempre evidenti. Se il sito diventa improvvisamente irraggiungibile e i clienti lanciano post allarmati sui social media, si tratta di un attacco, di un problema ai sistemi o di un problema del service provider?
Naturalmente se un attacco è imponente sarà riconoscibile facilmente, mentre potrebbe essere difficile notare il furto di dati, vuoi perché dissimulato da un attacco DDoS, vuoi perché non è scattato alcun allarme. Anche qualora l’allarme sia scattato, sono molte le possibilità che devono essere indagate prima di condividere le informazioni: si tratta di un tentativo di furto? E’ un tentativo di penetrazione legittimo attuato come test dal gruppo It? O una innocua scansione fatta da una terza parte?
Disporre di certezze assolute è indispensabile quando si condividono informazioni se il meccanismo deve essere fidato ed efficace. Infine, che fare se siete attaccati ma la vostra soluzione di sicurezza vi difende con successo? Si discute molto sul fatto che queste informazioni possano essere condivise al di là dei requisiti legali e le posizioni nei vari paesi non sono univoche.
Non è facile farlo in modo efficace, ma la condivisione delle conoscenze sulle minacce nel settore finanziario funziona. Sentiamo spesso citare esempi di collaborazioni efficaci quando parliamo con i nostri clienti, ma non mancano anche gli esempi pubblicamente noti. Ricorderete probabilmente Operation Ababail nel 2012 e 2013. Si trattava di attacchi DoS lanciati alle istituzioni finanziarie Usa e nel periodo di massima attività una ventina di banche Usa a settimana è stata attaccata indiscriminatamente ogni giorno. Le banche contrastarono l’attacco non solo alzando le proprie difese ma anche condividendo informazioni e il ruolo giocato da questo elemento non può essere sottostimato.
La condivisione di informazioni è il futuro e i processi manuali usati oggi sono man mano sostituiti da sistemi macchina-macchina. Dtcc e Fs-Isac (Financial Services Information Sharing and Analysis Center) stanno lavorando da un paio d’anni a un sistema chiamato Soltra Edge, in pratica un ecosistema di condivisione delle conoscenze sulle minacce basato su standard aperti destinato ad accorciare i tempi della condivisione che sta giustamente guadagnando consensi.
La verità è che non esistono reali barriere alla condivisione delle conoscenze. I vostri colleghi già lo stanno facendo e se non vi unirete al gruppo, sarete più deboli nella lotta ai cybercriminali. Se tutti condividiamo le informazioni, tutte le banche saranno più forti. La prossima minaccia non è lontana e sarà sicuramente più pericolosa. Meglio quindi costruire una barriera comune.