Cyber resilienza, le aspettative della Bce

Al termine di un lavoro iniziato nel 2015, e che ha previsto anche una consultazione pubblica, la Banca Centrale Europea ha pubblicato la versione definitiva del documento Cyber resilience oversight expectations (Croe, qui il link al documento), mettendo nero su bianco quelle che sono state indicate come le “aspettative” della banca centrale rispetto alla resilienza informatica delle infrastrutture che operano nel mercato finanziario (Fmi).

Il nuovo documento sulle aspettative di controllo sulla resilienza informatica si basa a sua volta su un altro documento Bce del giugno 2016. Si tratta della Guida globale sulla resilienza informatica per le infrastrutture del mercato finanziario ( qui il documento ), pubblicata sotto la supervisione della Commissione per i pagamenti e le infrastrutture del mercato e dal Consiglio dell'Organizzazione internazionale delle commissioni sui valori mobiliari (Cpmi-Iosco) e diventate così ora il riferimento comune per i percorsi di verifica e di miglioramento della resilienza tecnologica in tutto l’Eurosistema.

In ambito tecnologico-informatico, si intende con il termine resilienza la capacità di un sistema di adattarsi alle condizioni d'uso e di resistere all'usura, per garantire la disponibilità dei servizi erogati; nel caso specifico, l’attenzione della Bce è rivolta alla capacità dei sistemi di mantenere l’operatività e la sicurezza in caso di attacchi informatici, una minaccia sempre crescente e sempre più sofisticata: la criminalità digitale ha davvero oggi gli strumenti per mettere in crisi interi sistemi-Paese (lo dimostrano i recenti attacchi che hanno paralizzato settori specifici, come per esempio quello della Sanità). Come sottolinea infatti il documento della Bce, «la resilienza informatica è un aspetto importante della resilienza operativa dei Fmi ed è quindi anche un fattore che influenza la capacità di ripresa complessiva del sistema finanziario e dell'economia in generale».

Le aspettative definite dalla BCE hanno tre obiettivi sostanziali:

1. Fornire alle Fmi misure dettagliate per rendere operative le Linee guida, assicurando che siano in grado migliorare la loro capacità di reazione cibernetica per un periodo prolungato di tempo.

2. Fornire alle autorità di sorveglianza gli strumenti per valutare il livello di resilienza delle Fmi e i percorsi di miglioramento messi in atto.

3. Porre le basi per una discussione e un confronto tra le Fmi e le autorità di sorveglianza su un tema che è e sarà sempre più vitale per la gestione delle attività.

Più in generale, il passo chiaro e articolato della Banca Centrale Europea ha anche lo scopo di porre un punto fermo di riferimento per tutte le Istituzioni e gli operatori finanziari, e per tutti i Paesi Ue, tracciando una linea necessaria per ridurre la frammentazione delle strategie di intervento e nel contempo facilitando le attività di sorveglianza e di supervisione.

Si tratta, com’è evidente nell’impostazione del documento, di un work in progress che chiama a una continua a costruttiva collaborazione tutti gli enti interessati: le indicazioni sono infatti scandite da tre step di sviluppo, che consentono tanto ai supervisori quanto alle stesse Fmi di poter misurare costantemente il cammino verso la resilienza cibernetica delle proprie pratiche operative. I tre “livelli di aspettativa”, man mano crescenti, sono:

1. Evoluzione. Ossia le capacità essenziali di resistenza del sistema informatico sono stabilite e sostenute dalla ’Fmi per identificare, gestire e mitigare i cyber-rischi, in linea con la strategia e la struttura di resilienza informatica stabilite. Le prestazioni delle pratiche sono costantemente monitorate e gestite.

2. Avanzamento. Oltre a soddisfare il requisito 1, le pratiche a questo livello implicano l'implementazione di strumenti più avanzati per la gestione della sicurezza e del rischio, integrati nelle linee di business della Fmi e migliorati nel tempo per gestire proattivamente le minacce.

3. Innovazione. Siamo nel livello di protezione più sofisticato. Oltre a soddisfare i requisiti dei livelli 1 e 2, le Fmi qui hanno capacità che vengono potenziate secondo necessità e in base all’evoluzione rapida del panorama delle minacce informatiche. La cyber resilienza del proprio ecosistema viene rafforzato collaborando proattivamente con i vari stakeholder esterni. Questo livello si traduce per l'Fmi in innovazione nelle persone, nei processi e nella tecnologia. Ciò potrebbe richiedere la creazione di nuovi controlli e strumenti o la creazione di nuovi gruppi di condivisione delle informazioni.

«I rischi informatici devono essere gestiti come parte del quadro generale di gestione del rischio operativo delle Fmi», sottolinea il documento. «Ogni Fmi è una potenziale “porta di ingresso” per azioni di cyber crimine, che possono compromettere l’intero sistema. A causa della loro interconnessione, infatti, gli attacchi informatici portati a segno contro una singola infrastruttura – per esempio attraverso malware - possono propagarsi a tutte le altre Fmi collegate e a tutti i fornitori di servizi terzi. A differenza delle interruzioni operative fisiche, il rischio cibernetico posto da un'entità interconnessa non è necessariamente correlato al grado di rilevanza di tale entità. Da un punto di vista cibernetico, un soggetto anche di piccolo valore o volume o un fornitore che fornisce servizi anche non critici rappresentano lo stesso livello di potenziale rischio di una grossa realtà del sistema». Ecco perché l’impegno, su questo fronte, deve essere disciplina comune.

In linea con la Guida del 2016, il nuovo documento della Bce individua 5 categorie di rischio all’interno di 3 “aree di intervento”. Ecco la mappa.