Risponde Giuseppe Carlo Vegas, Professore Università Cattolica del Sacro Cuore di Milano, Presidente di ARISK, spin off universitario di POLITO, già Presidente CONSOB:
1. La valutazione del rischio e quello Cyber è da sempre un punto percepito come “ostico” . Come è possibile creare una sinergia tra la scienza Risk Management e Cybersecurity in maniera progressiva e continua?
Tradizionalmente, il risk management è inteso come quel processo di gestione del rischio che si basa essenzialmente su diverse fasi: identificazione, analisi e valutazione, mitigazione e monitoraggio. Tuttavia, nella gestione di un cyber rischio, data la sua natura, si utilizza un approccio basato prevalentemente sulla fase di risposta al rischio, sotto l’ipotesi (più che realistica) che questo rischio si verifichi quasi sicuramente, vista l’impossibilità di costruire sistemi completamente impenetrabili. Inoltre, aspetti come la crescente digitalizzazione, la complessità delle connessioni presenti nell’ecosistema finanziario mondiale, lo storico degli attacchi passati (che hanno già colpito numerose banche centrali sparse in tutto il mondo) e il costo ad essi associato rendono quantomeno necessario un ulteriore focus sulla materia da parte degli istituti di regolazione, al fine di creare una serie di regolamenti e strumenti univoci che possano migliorare la fase di gestione dei cyber rischi. Nello specifico, il tema della cybersecurity rappresenta l’ultima frontiera del risk management nel settore finanziario e la sua importanza è destinata ad accrescersi.
Il sito Carnegie fornisce una timeline dei principali incidenti in ambito cybersecurity su scala mondiale avvenuti dal 2007 ad oggi attraverso i dati forniti dalla Cyber Threat Intelligence di BAE Systems. Al netto di quanto la stampa ormai comunichi ultimamente anche in maniera sprovveduta e sensazionalistica, basta vedere quei numeri per comprendere come per le istituzioni finanziarie in particolare, la cybersecurity rappresenti una nuova frontiera dei rischi operativi. In un settore con un tasso di digitalizzazione estremamente alto, la crescita delle cyber minacce ha raggiunto livelli inediti e gli attacchi informatici hanno raggiunto un grado di imprevedibilità, di impatto potenziale e di capacità diffusiva senza precedenti. Il processo di gestione dei cyber rischi risulta, pertanto, una pratica fondamentale per la sicurezza di un’organizzazione, indipendentemente dalle sue dimensioni e dalla sua collocazione geografica.
In un contesto globale segnato dall’incertezza e finché la Direttiva Europea D.O.R.A. non consegnerà in via definitiva uno standard normativo univoco, sono ancora troppe le infrastrutture con scarsa sensibilità e preparazione alle minacce provenienti dal cyber spazio.
2. Come deve essere questa percezione e comprensione del rischio Cyber?
I rischi provenienti dal cyberspazio sono tipicamente inclusi nella categoria dei rischi operativi, nonostante essi riguardino fenomeni differenti sia per modalità di impatto che per tipologia di diffusione. Nel corso degli anni la regulation sui rischi finanziari ha compiuto numerosi passi in avanti, stabilendo delle normative univoche da rispettarsi ed implementarsi in ciascun intermediario finanziario. Lo stesso non può essere affermato riguardo alle normative in materia di cybersecurity, nonostante questo problema abbia ricevuto, nel corso del tempo, un’attenzione via via maggiore dagli enti regolatori.
Numerose organizzazioni, come il Comitato di Basilea per la Supervisione Bancaria (BCBS), il Comitato per Pagamenti ed infrastrutture di mercato (CPMI), il Consiglio per la Stabilità Finanziaria (FSB), il Gruppo dei Sette (G7) e il Fondo Monetario Internazionale (FMI) hanno, recentemente, posto l’attenzione sulla criticità della sicurezza informatica, con una serie di regolamenti e raccomandazioni adottate da svariate istituzioni. Tuttavia, ancora oggi è possibile osservare l’assenza di un approccio internazionale globalmente condiviso e adottato da tutti i paesi: le regole da adottare variano infatti a seconda della giurisdizione e il loro utilizzo risulta spesso frammentato e fortemente discrezionale. Secondo l’ESRB (European Systemic Risk Board) il Cyber Risk rientra nella categoria dei rischi sistemici dal momento che può esporre un intero sistema finanziario, di scala nazionale o internazionale al collasso.
Quest’ultimo a causa di eventi e condizioni idiosincratiche, che possono propagarsi a cascata in tutte le istituzioni collegate e causando il crollo dell’intero sistema, causando una crisi di liquidità globale, dalla quale potrebbe scaturire una crisi sistemica e quindi conseguenze gravissime per l’economia reale. Questo è possibile dall’alterazione di dati sensibili e dei processi fondamentali su cui si basa l’intero sistema finanziario globale, impedendo il corretto svolgimento di alcune funzioni chiave, provocando perdite economiche e pregiudicando irreversibilmente la fiducia della popolazione nei confronti del sistema finanziario.
3.In Europa cresce il timore di cyber attacchi legati alla crisi ucraina. Per far fronte a questa emergenza, Arisk come ha pensato di intervenire?
Non fa eccezione il conflitto in corso tra Russia e Ucraina rispetto a quanto la Nato ha decretato già qualche anno fa. Oltre ad aria, spazio, terra e mare, il quinto dominio è il Cyberspazio che a differenza degli altri non non contempla limiti e confini giuridici ed ha un campo di battaglia molto più esteso di quello in cui si gioca lo scontro reale rispetto. E come tale anche il conflitto tra Ucraina e Russia è configurato come ibrido perché, come ormai noto, ad azioni militari si sono aggiunte le strategie di una guerra cibernetica, supportata dalla diffusione di fake news.
Con un raggio di propagazione maggiore che in passato, le notizie, false o partigiane, non si limitano al perimetro della propaganda più o meno ufficiale ma vengono create e diffuse da vere e proprie fabbriche in grado di fare dei social, tra cui Telegram e Twitter, l’ennesimo teatro di guerra. Infatti l’utilizzo di bot farm, account falsi in grado di far circolare notizie non veritiere per manipolare il sentiment, hanno messo piede in Ucraina prima delle truppe.
Ad accelerare il conflitto tra Russia e Ucraina nel quinto dominio e a renderlo noto all’opinione pubblica, il coinvolgimento del più grande gruppo hacker al mondo. Ma quanto successo negli ultimi giorni nel conflitto tra Russia e Ucraina, non èun nuovo capitolo ma la conferma di un trend che ormai sempre più intensificato negli ultimi anni, vede vere e proprie ondata di attacchi DDoS e defacement contro siti governativi istituzionali e di banche, laddove ad oggi, per fortuna, è stata preservata l’incolumità delle persone. Il livello di sofisticazione e preparazione tecnica di queste entità criminali è tale da non garantire a nessuna organizzazione la totale inviolabilità dei propri sistemi ed in tal senso stiamo assistendo a decisioni, talvolta, irrazionali, di imprese che chiudono i propri sistemi durante il week end rendendo impossibile la normale ripresa d’attività ad inizio settimana, piuttosto che la dismissione di hardware e software a marchio russo nel sospetto che malware fossero agevolati nella diffusione. La verità è che gli attacchi cyber si fanno in tempi di pace, quando l’allerta non spinge ad alzare i livelli di sicurezza e quindi un parcheggio di ransomware e malware da attivare in momenti successivi.
Non è facile fare una previsione, per quanto possibile in un momento di tale instabilità, ma l’ipotesi di massicci attacchi malware con l’obiettivo di colpire infrastrutture critiche è cosa che fa paura specie per l’esposizione al rischio della popolazione. Gli esempi si sprecano e purtroppo sono di facile immaginazione. Basti pensare al danno causato da un’interruzione prolungata dell’erogazione di servizi essenziali, la manomissione di una centrale idroelettrica, l’alterazione del funzionamento di una diga per non parlare di linee aeree e ferroviarie. In tal senso, il CSIRT italiano (Computer Security Incident Response Team) ha raccomandato di implementare urgentemente gli indicatori di compromissione relativi ad un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione – e di elevare il livello di attenzione adottando, in via prioritaria, le azioni di mitigazione individuate. Se intanto abbiamo assistito ad attacchi intimidatori per un gioco di affermazione della propria forza, nel caso in cui il conflitto tra Russia e Ucraina si amplifichi, si amplificherà con ogni probabilità anche la gravità degli attacchi.
La raccomandazione per le aziende è quindi di innalzare il livello di attenzione, assicurandosi che i propri sistemi abbiano una corretta gestione delle patch contro le vulnerabilità, dare priorità ai sistemi esposti includendo web mail, VPN e sistemi di accesso remoto. Senza dubbio bisogna razionalmente prepararsi contro attacchi mirati alla distruzione dei dati disponendo di backup fuori linea e assicurarsi di testare i piani di recovery che coprano tutti gli oggetti di business e individuare figure chiave in tutte le aree dell’organizzazione per definire metodi di comunicazione testati, evitando qualsiasi servizio e navigazione non necessaria per il business. D’altra parte, i trend globali con cui gli attacchi informatici stanno evolvendo, stanno raggiungendo i target più disparati, dalle infrastrutture critiche, portali universitari, compagnie telefoniche ecc. e quindi necessaria l’adozione di metodi e strumenti maggiormente evoluti. Alla luce di queste considerazioni, ARISK ha sviluppato soluzioni software che sottendono metodologie e algoritmi di intelligenza artificiale per favorire un approccio quantitativo e più oggettivo.
L’utilizzo, comunque, di strumenti di self-assesment soggettivi, come le matrici, non devono comunque essere del tutto abbandonati ma possono essere conservati come mezzo di partenza per un’analisi preliminare, o a livello comunicativo. Quindi mette a disposizione uno strumento tecnologicamente evoluto che, ingegnerizzando la compliance di riferimento e con il supporto dell’AI,consente la gestione di molteplici rischi informatici utili anche per il Sistema Pubblico perla sorveglianza delle Infrastrutture Critiche. Quindi con la possibilità di compiere un’ analisi supportata da metodi quantitativi per quei rischi che si ritengono meritevoli di approfondimento,considerandoli, eventualmente, nella loro totalità per avere una panoramica globale, oppure analizzandoli singolarmente e confrontando i risultati finali.