Per affrontare correttamente il tema del cyber risk è opportuno dare una definizione condivisibile di tale termine, condizione indispensabile per differenziarlo dagli altri rischi presenti in banca. Una delle fonti più autorevoli al riguardo è sicuramente la FSB (Financial Stability Board), che già nel 2017 aveva realizzato una prima ricognizione sulle numerose normative internazionali che trattavano l’argomento, la Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices.
Nel 2018 la FSB ha realizzato, dopo consultazione pubblica, il Cyber Lexicon, che dovrebbe costituire un riferimento per tutto l’ambiente finanziario mondiale e che, oltre a riportare le seguenti definizioni:
elenca anche i diversi fattori che secondo la FSB costituiscono i maggiori fattori di rischio cyber per gli istituti finanziari:
Il rischio cyber ha delle peculiarità che lo differenziano dai tipici rischi legati alla sicurezza informatica. Tradizionalmente la valutazione del rischio si basa su una correlazione fra minacce e vulnerabilità che portano gli analisti a individuare, tramite metodologie di analisi del rischio qualitative o quantitative, la probabilità e l’impatto di un evento avverso.
Nel caso del rischio cyber la determinazione di tali parametri appare più difficile e sfumata.
Accanto ai tradizionali scenari di rischio ed alle relative contromisure (Malware, Man-in-the-middle, Phishing, Distributed denial-of-service (DDoS), Cross-site scripting, Password cracking…) ci si trova ad esempio, a dover affrontare una serie di vulnerabilità non note (zero-day vulnerabilities) e quindi imprevedibili, che possono essere sfruttate dagli attaccanti, per le quali è richiesta una adeguata capacità di reazione ed eventuale ripristino della normale operatività.
In un contesto così dinamico e incerto diventa quindi particolarmente importante il costante monitoraggio delle informazioni provenienti sia dall’interno, sia dall’esterno dell’organizzazione, attraverso una costante attività di threat intelligence.
La condivisione delle informazioni non solo è uno degli obiettivi del Cyber Security Act o della prossima normativa sulla resilienza (DORA), ma costituisce anche il fondamento che ha portato i legislatori ad inserire in varie normative (GDPR, Circolare 285 di Banca d’Italia, PSD2, NIS…) l’obbligo di notifica degli incidenti informatici (sia di sicurezza che operativi).
La grossa mole di informazioni, costituita sia dalle fonti esterne (segnalazioni sulle nuove vulnerabilità, sugli incidenti occorsi in altre organizzazioni, su serie storiche di eventi avversi…), sia dalle fonti interne (gli incidenti occorsi, la valutazione dei rischi, gli asset aziendali, i requisiti normativi…), richiede per la propria gestione l’utilizzo di apposite applicazioni che siano in grado di rappresentare ai decisori informazioni corrette e costantemente aggiornate anche attraverso flussi informativi automatizzati.
Tali informazioni sono infatti indispensabili per affrontare i rischi, quando si presenteranno, tramite la predisposizione di adeguati piani di rimedio attingendo, anche in questo caso, all’esperienza condivisa, a buone pratiche, ai framework più autorevoli.
Ma questo non basta; tali strumenti devono anche essere in grado di recepire e formalizzare le lezioni apprese, permettendone una condivisione trasversale a tutta l’organizzazione.
Tale caratteristica è infatti indispensabile per accrescere la consapevolezza sui rischi cyber a tutti i livelli e indurre i corretti comportamenti da adottare a fronte di minacce, anche solo potenziali, quali quelle costituite dall’allegato di una mail o di una insolita richiesta telefonica delle credenziali di accesso di un utente per una ipotetica e improrogabile attività di manutenzione.
Topic: IT Risk Management