Il costo del cyber crime

È quello bancario il settore industriale maggiormente colpito dal cyber crime, con danni economici cresciuti a livello globale dell'11% nel 2018. A rilevarlo è l'ultima edizione della ricerca "The cost of Cyber Crime" realizzata da Accenture, in collaborazione con Ponemon Institute, sulla base di interviste condotte con più di 2600 professionisti della sicurezza e informatici di 355 organizzazioni in tutto il mondo.

Ne abbiamo parlato con Andrea Agosti, Managing Director, Financial Services Portfolio Lead ICEG Accenture Security, tra i relatori che, tra pochi giorni a Milano, animeranno le sessioni di Banche e Sicurezza 2019, l'evento annuale promosso dall'Abi sui temi della sicurezza.

“Secondo l’edizione 2019 dello studio – spiega Agosti - il costo medio che le grandi aziende sostengono a causa del cyber crime è in crescita in tutti i Paesi: nel 2018 è stato pari a 13 milioni di dollari a livello globale, con un aumento del 26% rispetto al 2017. Per l’Italia il costo medio è stato di 8,01 milioni di dollari per azienda, con un aumento del 19% rispetto al 2017. Il settore maggiormente colpito in termini economici è quello dei servizi bancari, dove il costo medio nel 2018 è stato di 18,37 milioni di dollari. E, aspetto ancora più significativo, si tratta di un costo che sta crescendo a doppia cifra. Dati importanti, anche se va preso in considerazione che nel campione preso in esame dalla ricerca non ci sono realtà piccole, ma solo quelle con una dimensione nazionale o internazionale. Dalla ricerca emerge anche come ogni tipo di attacco stia diventando più costoso, in particolare i malware e gli attacchi web based. Tra quelli cresciuti più rapidamente nell’ultimo anno ci sono i costi dei ransomware (21%) e dei malicious insider attack (15%). L’impatto generato dal cybercrime (interruzione delle attività, perdita di informazioni, perdita di entrate), soprattutto quello finanziario, è in continua crescita. E per questo il legislatore sta iniziando ad imporre sanzioni con l’intento di rendere più responsabili le aziende e i loro dirigenti per quanto riguarda la protezione di informazioni e l’utilizzo responsabile dei dati dei clienti”.

“Perché gestisce ancora la quasi totalità delle modalità di pagamento. Inoltre, è un'industria che permette agli aggressori di monetizzare più facilmente un attacco cyber. Per quanto riguarda le aree di rischio, innanzitutto, c'è il tema delle frodi legati ai sistemi di pagamento. Che sarà ancora più critico con l'effettiva operatività della Psd2 e la conseguente apertura del settore a una nuova famiglia di terze parti che utilizzerà le banche come “ultimo miglio” per offrire servizi ai clienti. Ma un salto di qualità lo richiede anche la crescente diffusione degli instant payments, che impone un monitoraggio in tempo reale. Un altro rischio da presidiare con attenzione è quello dei data breaches massivi, perché l'adozione da parte delle banche di modelli di business “data driven” richiede la gestione di una grande quantità di dati relativi ai clienti. Dati che diventano un obiettivo interessante per la criminalità organizzata che ha possibilità di valorizzarli facilmente sul dark web. Ci sono poi gli attacchi che arrivano da attori come i nation-state. Sono normalmente di tipo denial-of-service attack (DoS attack) e hanno l'obiettivo di andare a minare la cyber resilience delle infrastrutture critiche, quindi anche quelle del settore bancario. Infine, ci sono gli attacchi come WannaCry e Petya, basati su tecniche di ransomware, che hanno l'obiettivo di causare la business disruption dei processi operativi delle organizzazioni che vengono colpite. Una modalità in crescita, anche se non è tipicamente rivolta al mondo bancario, ma colpisce in maniera indifferenziata tutti i settori industriali”.

“Tecnologie, info sharing e una governance della sicurezza più efficace. Negli ultimi anni le banche hanno iniziato ad investire e a gestire i cambiamenti organizzativi, ma il livello di protezione raggiunto non è ancora sufficiente. La cyber security non rappresenta solamente una questione di adeguamento o compliance, ma va intesa come un percorso volto a tenere il passo con minacce, rischi e scenari aziendali in evoluzione, adattando a questi cambiamenti l'intero spettro di contromisure tecniche, umane e organizzative. Ad esempio, è necessario introdurre soluzioni di intelligenza artificiale e machine learning per gestire fenomeni nuovi, non classificabili all'interno di un quadro di minacce note. Per individuare, e in alcuni casi anche predire attacchi di tipo evoluto, occorre, infatti, confrontare comportamenti anomali rispetto a quelli attesi, possibili segnali che è in atto, o è in preparazione, un'incursione da parte della criminalità organizzata. In questo senso la sicurezza informatica sarà sempre più legata alla gestione dei big data. Un'altra area sui cui le banche hanno fatto molto, ma dove è possibile ancora migliorare, è quella della Threat Intelligence. È necessario intensificare lo scambio di informazioni tra tutti gli operatori, associazioni, organismi come il CERTFin, autorità di regolamentazione, creando anche un'ecosistema con le aziende partner per una gestione della sicurezza integrata a livello globale e per predisporre adeguate contromisure in relazione a nuove minacce.

“Il Chief Information Security Officer (Ciso) non deve essere più visto come una figura tecnica, ma di dialogo verso il business. Si tratta di un ruolo centrale per individuare come attuare le trasformazioni digitali in modalità sicura, prevenendo rischi e minacce. Deve diventare un interlocutore privilegiato per le funzioni di controllo, compliance, risk managemente e audit. E, soprattutto, deve essere coinvolto all'interno dei comitati di direzione e di controllo rischi, e in alcuni casi, anche nei consigli di amministrazione per realizzare una corretta awareness induction a tutti i livelli, in uno scenario in cui le banche stanno ripensando radicalmente i propri modelli di business”

“Ormai da una decina di anni le banche devono continuamente adeguare procedure e soluzioni sotto la spinta di sempre nuovi interventi del regolatore. Una pressione che non credo si attenuerà in futuro, e che si aggiunge a quella crescente delle minacce esterne. È vero che la sicurezza non è solo compliance, ma l'autorità regolamentare si sta muovendo in maniera intelligente e sta spingendo nella stessa direzione dettata dall'evoluzione dello scenario di rischio. Ad esempio, dopo Psd2 e Gdpr, che hanno spinto l'adozione di contromisure più efficaci in tema di frodi nei pagamenti e di protezione dei dati, al centro della prossima ondata di regolamentazione per i servizi finanziari ci sarà la Cyber Resilience. Inoltre, gli interventi normativi aiutano a spostare i temi della sicurezza dai tavoli operativi a quelli direzionali, e questo è sicuramente positivo”.

“La stima a livello mondiale è di circa 2 milioni di posizioni scoperte per mancanza di skill sulla cyber security. Uno shortage che si acuisce a livello di industria e anche di Paese: il settore bancario, e più in generale l'Italia, soffrono di una mancanza di attrattività nei confronti di chi possiede le professionalità richieste. Quindi, devono essere adottate strategie di recruiting aggressive o bisogna integrare modelli di sourcing di queste competenze attraverso partnership con società esterne specializzate in cyber security che possono garantire la copertura del gap di skill in maniera strutturale”.