INDICE:
1. L'ENTRATA IN VIGORE DEL REGOLAMENTO DORA E L'IMPATTO SULLE PRATICHE DI ICT RISK MANAGEMENT
2. COME EVOLVONO GLI SCENARI DI CYBERSECURITY
2.a ICT risk management, i trend previsti dall'ENISA da qui al 2030
2.b L'allarme sulle vulnerabilità zero-day
3. COSA PRESCRIVE IL REGOLAMENTO DORA PER MIGLIORARE L'ICT RISK MANAGEMENT
3.c L'esecuzione di una Business Impact Analysis
4. OLTRE L'ICT RISK MANAGEMENT: I NUOVI FATTORI DA INCORPORARE
4.a L'importanza dell'IT asset management nella difesa della continuità operativa
4.b Sviluppare un approccio a 360 gradi con il project management ICT
4.c Gestire gli incidenti: grazie alla reportistica la remediation migliora l'assessment
Adeguare le strutture aziendali per conformarsi ai requisiti indicati dal Regolamento DORA vuol dire abbracciare soluzioni, discipline e competenze che vanno ben oltre il già complesso ambito che ruota intorno alle buone pratiche di ICT risk management. Il lavoro da fare è molto, e il tempo stringe: il Regolamento DORA (acronimo di Digital Operational Resilience Act) è infatti entrato in vigore il 16 gennaio 2023 e sarà vincolante per tutti gli operatori attivi nella filiera del Finance a partire dal 17 gennaio 2025. Focalizzandosi sull’individuazione e sulla gestione ex ante dei rischi informatici e di cybersicurezza, il framework punta a indirizzare le organizzazioni finanziarie al raggiungimento di un elevato livello di resilienza operativa digitale attraverso la definizione e lo sviluppo di presidi da gestire con un approccio end-to-end.
La vera novità del Regolamento DORA è che gli elementi di ICT risk management e ICT asset management introdotti non riguardano solo gli attori tradizionali del mondo finanziario (quindi banche, intermediari e società di investimento), ma anche le aziende partner di questi soggetti, a partire dai fornitori di soluzioni informatiche (basti pensare alla crescente importanza del cloud e degli applicativi as-a-service) e dalle società che offrono servizi essenziali alla continuità operativa.
C'è poi da considerare che, al di là dei profili giuridici chiamati teoricamente in causa, nel concreto il vero destinatario del Regolamento DORA è una figura spesso inquadrata in funzioni aziendali che – per varie ragioni – spesso non hanno sviluppato un'adeguata sensibilità sui temi al centro del framework. Non basta, del resto, essere un tecnico informatico per risultare esperto anche nell'ambito della gestione dei rischi, così come ricoprire il ruolo di risk manager non significa automaticamente conoscere in modo dettagliato le minacce di tipo cyber.
La componente antropologica, dunque, va sempre tenuta in considerazione, non solo perché – lo dicono le statistiche – la prima causa degli incidenti informatici è ancora attribuibile all'errore umano, ma anche e soprattutto perché nelle funzioni preposte al controllo troppo spesso mancano competenze e sensibilità all'altezza della situazione.
Il Regolamento DORA indirizza con un quadro estremamente chiaro questo scenario, fornendo linee guida e best practice da adottare per migliorare la postura dell'impresa sul piano dell'ICT risk management. Ma per massimizzare i benefici che si potranno cogliere attraverso la creazione di un sistema condiviso di valutazione e mitigazione del rischio, le imprese dovranno anche sviluppare processi e strumenti che favoriscano l'elaborazione di un linguaggio comune tanto efficace quanto comprensibile a tutti i livelli dell'organizzazione.
Il panorama delle minacce alla cybersecurity è un complesso ecosistema di processi e strumenti operativi potenzialmente vulnerabili, eventi in grado di danneggiare le difese aziendali, incidenti fortuiti, attori e tecniche di attacco. Tutti elementi che, per loro stessa natura, sono soggetti all'influenza di fenomeni che avvengono su scala globale.
Le migliori conoscenze e gli strumenti di cui disponiamo oggi per ridurre l'impatto delle minacce informatiche potrebbero dunque non essere adatti al panorama delle minacce di domani. È possibile prevedere la portata del potenziale uso o abuso delle tecnologie attualmente disponibili? Dal 2021, l'ENISA prova a rispondere a questa domanda. L'Agenzia dell'Unione europea per la cybersicurezza ha infatti sviluppato un quadro metodologico per elaborare scenari futuri e identificare le minacce e le sfide che potrebbero emergere entro il 2030.
Nella sua ultima edizione, il Foresight 2030 Threats ha innanzitutto posto l'accento sul tema della compromissione della catena di fornitura del software. Una maggiore integrazione di componenti e servizi da parte di fornitori e terze parti potrebbe portare a vulnerabilità nuove e impreviste, con compromissioni dell'intera supply chain, generando interruzioni, malfunzionamenti, perdite e fughe di dati.
Con l'espansione degli ecosistemi cyberfisici, determinata dalla sempre più rapida adozione di piattaforme IoT, secondo l'ENISA è poi destinato a crescere il numero di errori umani all'interno dei processi che mirano a riadattare i sistemi legacy. Il pericolo aumenterà soprattutto nel momento in cui le organizzazioni non riusciranno a mettere in campo le competenze adeguate, attraverso la formazione o il reclutamento di profili specializzati.
Gli attacchi fisici o offline, d'altra parte, si stanno evolvendo e diventano spesso combinati con attacchi informatici a causa dell'aumento dei dispositivi intelligenti, dell'utilizzo del cloud, delle identità online e delle piattaforme sociali. Grazie ai dati ottenuti dai dispositivi intelligenti connessi a Internet, gli aggressori potranno quindi accedere a informazioni sensibili, da sfruttare in occasione di attacchi personalizzati e più sofisticati.
Ci sono poi da considerare le minacce derivate dalla manipolazione degli algoritmi di intelligenza artificiale, che può essere utilizzata per potenziare attività malevoli, a partire dalla creazione di falsi contenuti e campagne di disinformazione, passando per la raccolta di dati biometrici e altri input sensibili, e arrivare a scenari considerati ancora futuristici, come l'addestramento di robot militari e l'avvelenamento delle fonti di dati strategiche.
L'agenzia sottolinea che i player del comparto ICT, essenziali per la fornitura di servizi ormai indispensabili alle aziende che lavorano in settori critici come quello del Finance, dei Trasporti, delle Utilities reti elettriche e della Manifattura, saranno presi di mira da cybercriminali che sfrutteranno tecniche avanzate di attacco alle backdoor, di manipolazione fisica e di denial of service.
A causa poi delle sempre più frequenti intersezioni tra infrastrutture private e pubbliche, l'ENISA raccomanda di studiare nuovi approcci alla sicurezza di questi nuovi spazi: la mancanza di comprensione, analisi e controllo degli ambienti condivisi può renderli infatti vulnerabili ad attacchi e interruzioni di servizio.
Il quadro delineato dall'ENISA è naturalmente in continuo aggiornamento. Lo scenario è in rapidissima evoluzione: basti pensare alla crescita esponenziale di minacce potenzialmente catastrofiche come quelle legate alle vulnerabilità zero-day (ovvero non note agli sviluppatori dei software o non adeguatamente gestite): ebbene, il numero di applicazioni che necessitano di patch per ovviare a problemi di sicurezza strutturali sta salendo a ritmi sconosciuti fino a pochissimi anni fa.
Secondo l'azienda specializzata in soluzioni di sicurezza Mandiant, il mese di settembre 2023 ha registrato 10 interventi, rispetto a un totale di 60 segnalati da gennaio ad agosto. La società, che ha rilevato 55 zero-days nel 2022 e 81 nel 2021, sostiene che queste numeriche sono destinate a crescere ulteriormente, perché una singola vulnerabilità, che consente agli hacker di eseguire codice dannoso quando gli utenti aprono un'immagine trappola inclusa in un messaggio o in una pagina web, è presente in centinaia di applicazioni.
Dovrebbe risultare evidente come, considerato lo scenario che si prospetta per i prossimi anni, ottemperare al Regolamento DORA non rappresenti per le imprese del Finance una semplice questione di compliance. Dalla volontà di introiettare correttamente le direttive del framework dipenderà la capacità di mantenere alto il livello di resilienza della propria organizzazione e della filiera a cui appartiene.
Cosa dispone, nello specifico, il Regolamento? Istituisce prima di ogni altra cosa l’obbligo di predisporre un quadro per la gestione dei rischi informatici, applicando “strategie, politiche, procedure, protocolli e strumenti in materia di TIC (Tecnologie dell’Informazione e della Comunicazione)”. Il tutto dev'essere finalizzato a proteggere il patrimonio informativo e le infrastrutture logiche e fisiche dell'impresa.
In quest'ottica, le prime attività da svolgere presuppongono azioni volte a identificare le funzioni interne all’entità finanziaria che sono supportate da queste tecnologie che necessitano di risorse ICT per garantire il corretto svolgimento dei processi operativi. Valutare l’esposizione al rischio cyber significa perciò anche individuare e documentare tutte le forniture e le interconnessioni attive con i propri provider in questo specifico ambito. È necessario poi dare vita a meccanismi che permettano ai responsabili della gestione dei rischi di individuare tempestivamente anomalie e potenziali punti deboli della rete e degli asset a essa connessi per minimizzare l'impatto delle minacce censite.
In particolare, ogni istituto finanziario dovrà:
Adempiere al Regolamento DORA non vuol dire solo assicurare che dati e processi siano preservati: fondamentale è anche il concetto di ripristino tempestivo dell'operatività, in base al quale tutti gli attori hanno il preciso compito di ridurre al minimo il periodo di inattività e limitare le perdite derivanti da un incidente. È indispensabile quindi prevedere sistemi efficaci di backup e disaster recovery.
La scelta dei presidi di natura tecnica che afferiscono a queste specifiche tematiche è rimandata a una serie di linee guida ad hoc, tuttora in corso di definizione, oltre che agli standard di settore, ritagliati su misura per le esigenze della singola tipologia di impresa.
In ogni caso, alle attività di predisposizione degli strumenti bisogna affiancare una politica di continuità operativa che rispecchi i dettami del Regolamento, ovvero costituita da piani, procedure e accordi con i fornitori che perseguano l'obiettivo di garantire by default:
Si tratta dunque di mettere in campo un vero e proprio nuovo modus operandi che comunque andrà testato, valutato e aggiornato ciclicamente, coinvolgendo laddove necessario anche le terze parti e i fornitori di servizi ICT. Il Regolamento DORA, del resto, su questo punto è categorico: “in caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di verificare la conformità ai requisiti in materia di gestione dei rischi informatici”.
Non si può parlare di buone pratiche al servizio della continuità operativa senza introdurre il concetto di Business Impact Analysis. Una procedura che permette di determinare, come suggerisce il nome, le ricadute sul business generate da eventi identificati come possibili cause di interruzioni nell’erogazione dei servizi core, a prescindere dal fatto che si parli di processi interni o esternalizzati.
La Business Impact Analysis va innestata su scenari specifici e deve essere sempre aggiornata rispetto all'evoluzione delle minacce cyber, in quanto ogni tipologia di rischio prevede azioni mirate nella gestione - sia tecnica sia organizzativa - di prevenzione e mitigazione degli incidenti.
Per garantire la resilienza operativa non è però sufficiente predisporre strategie e soluzioni che indirizzino esclusivamente i temi dell'ICT risk management. L'invito più urgente del Regolamento DORA, naturalmente, è quello di irrobustire il processo di gestione del rischio cibernetico e informatico, ma l'impianto del framework comprende anche raccomandazioni sul piano dell'IT asset management e del project management ICT (che non ha a che fare con la gestione del rischio informatico in senso stretto, ma con la gestione del rischio operativo legato a progetti aziendali che si basano in toto o in parte su tecnologie informatiche).
L'IT asset management è la disciplina – a cui si ricorre tipicamente nelle fasi di assessment – che ha il compito di valutare la criticità degli asset informatici presenti in azienda (oltre che presso i fornitori e i partner), applicando modelli e metodologie di varia natura che consentono di asserire con sufficiente sicurezza il loro livello di criticità sul piano dei rischi operativi. Occorre quindi elaborare metriche di giudizio che aiutino gli owner di processo a considerare la probabilità e l'impatto dei vari scenari di rischio che si attivano nel momento in cui l'asset in questione viene compromesso.
L'approccio al project management ICT è decisamente più complesso, e dipende in buona sostanza dal tipo di progettualità che si sta analizzando. Per comprendere di cosa si sta parlando, conviene fare un esempio pratico: ipotizziamo che una banca debba valutare la sostituzione del servizio di home banking, una funzione che comprende diversi processi, per orchestrare i quali occorre un raggio d'azione ben più vasto di quello offerto dall'asset management. D'altra parte, in ottica di project management, la pura componente tecnologica costituisce solo uno degli elementi che concorrono alla valutazione della resilienza del sistema aziendale rispetto alla generazione del servizio.
Bisogna prendere in considerazione anche l'accuratezza delle fasi di progettazione del nuovo prodotto, l'affidabilità di eventuali nuovi fornitori, gli effetti collaterali potenzialmente provocati dallo switch e dalle procedure di migrazione, così come il possibile aumento dei reclami da parte dei clienti una volta lanciata l'offerta. Sempre rimanendo nell'ambito dell'esempio, nell'ottimizzare il presidio in termini di project management è necessario mettere in conto pure l'assunzione di nuove risorse, o la collaborazione di professionalità esterne nel caso di un output derivato.
Se il progetto, infine, è giudicato particolarmente rischioso in quanto non si possiede il know-how necessario per affrontarlo, si possono avviare, in base alle tempistiche per la distribuzione del nuovo servizio, operazioni di acquisizione o esternalizzazione, che dovranno essere ugualmente messe al vaglio degli analisti.
Un altro elemento di novità introdotto dal Regolamento DORA è quello che eleva la gestione degli incidenti ICT (eventi di compromissione della sicurezza o legati alla riservatezza dei dati) da mera operazione di remediation a premessa fondamentale per arricchire le future sessioni di assessment. Il concetto d'altronde è abbastanza intuitivo: far emergere le dinamiche che hanno portato a un'interruzione della catena del valore è essenziale per riconoscerle e mitigarle nel momento in cui dovesse presentarsi una minaccia simile.
Con il Regolamento DORA, quindi, si irrobustisce il processo di raccolta dei dati sugli incidenti accaduti, in modo che si possa non solo annotare le caratteristiche dell'evento, ma costruire, a partire da queste, strumenti di reportistica avanzati. In grado cioè di garantire un presidio di governance più efficace, sia per agevolare la risposta nel minor tempo possibile, sia per ripristinare l'operatività e garantire la resilienza nei modi e nei tempi appropriati. L'obiettivo è superare la logica del mero censimento degli incidenti, e imparare col tempo a trarre vantaggio anche dalle esperienze negative.
La fase di indagine e analisi introdotta con il Regolamento trova del resto corrispondenza con la nuova versione del framework di cybersecurity NIST, che sottolinea l'importanza di governare il processo con un approccio end-to-end, e si integra coerentemente con le buone pratiche imposte dal GDPR, che definisce precisi obblighi temporali per elaborare e inviare comunicazioni dettagliate ai diretti interessati o a soggetti esterni (a partire dalle authority) in caso di data breach o esfiltrazioni di informazioni personali.
La reportistica si trasforma così in uno strumento che da una parte offre trasparenza a tutti i soggetti coinvolti in un incidente, come i clienti e i fornitori, dall'altra diventa il fulcro di un meccanismo di condivisione teso a raccogliere, profilare e analizzare dati che diverranno driver, indicatori esterni e benchmark per gestire in modo sempre più efficace gli eventi futuri.