Esperienze Sicurezza, è il web l’anello debole Sono 9 milioni i clienti bancari che hanno subito frodi e attacchi via web nel 2010. Nella quasi totalità dei casi le cause sono esterne, per il 50% legate ad attività di hacking e per il 49% all’intrusione di malware, mentre responsabilità interne sono da ricercare tra dipendenti, responsabili IT e società di consulenza 72 AZIENDABANCA - APRILE 2012 “Security is broken”, afferma Marco Morana, Rappresentate della organizzazione OWASP e Senior Vice President Rischi Technologici e Controlli presso una delle principali banche USA, all’apertura della tavola rotonda “Evoluzione degli attacchi e delle frodi via web e impatti economici nel settore finance”, in occasione del Security Summit 2012. “Negli ultimi anni, spiega Morana, il crimine organizzato ha modificato i suoi scenari di attacco, muovendosi verso il settore finance. Nel 2010 nove milioni di clienti hanno subito attacchi via web, con conseguente perdita di dati. Quindi non solo bisogna modificare e sostituire i token per le transazioni on line, ma bisogna rivedere i sistemi di protezione utilizzati dalle banche”. Scenario di attacco Se fino al 2000 sono stati spesi 3 miMarco Morana, Rappresentate della organizzazione OWASP e Senior Vice President Rischi Technologici e Controlli presso una delle principali banche USA liardi di dollari per patchare nuovamente i sistemi in seguito all’attacco di ILOVEYOU, negli anni successivi l’impatto del crimine organizzato ha visto una accelerazione: nel 2007 Gonzalez, hacker ed ex informer dell’FBI, ha rubato 130 milioni di numeri di carte di credito violando un Card Processing Center, nel 2010, dopo l’impatto dello spyware ZeuS, sono state fermate dall’FBI 37 persone coinvolte e, nel dicembre dello stesso anno, Anonymous ha lanciato attacchi DDoS contro Visa e MasterCard, mettendo off line i loro siti web. Il data breach più recente riguarda Epsilon, aggregator al servizio di Visa e American Express, che in seguito ad un attacco informatico ha visto compromettere 60 milioni di indirizzi email clienti, resi visibili; la colpa non è imputabile all’organizzazione, ovvero Visa e Amex, piuttosto la falla è da ricercare nei sistemi di sicurezza dell’aggregator. Le nuove tecnologie possono comunque contribuire alla diminuzione delle frodi. Ad esempio, l’adozione della tecnologia Chip & PIN in Inghilterra, nel 2004, ha contribuito alla diminuzione delle frodi per contraffazione, spostando gli attacchi verso il nuovo continente, dove si utilizza ancora la banda magnetica. “In Italia, aggiunge Stefano Saibene, Responsabile E-Commerce e Sicurezza Logica in Deutsche Credit Card, la migrazione dei sistemi di pagamento a EMV (carte e terminali a chip) e l’introduzione di protocolli di sicurezza nelle transazioni E-Commerce, ha portato ad una riduzione delle frodi che negli ultimi anni si attesta a meno dello 0,05% del transato. Tuttavia sarebbe Esperienze Stefano Saibene, Responsabile E-Commerce e Sicurezza Logica in Deutsche Credit Card Raoul Chiesa, OPSA, OPST, ISECOM International Trainer e membro del Comitato Direttivo Clusit Marco Beozzi, Business Continuity Manager e Responsabile Risk Management di BSI AG estremamente riduttivo considerare solo questa percentuale, come elemento decisionale, per investimenti in sicurezza. L’esperienza insegna che possono essere ingenti i danni a carico di società che hanno subito compromissioni di dati relativi a carte di pagamento. A volte, il tutto viene alla luce con la contestazione/ reclamo di un’operazione non riconosciuta dal legittimo titolare. Inoltre, ogni utilizzo fraudolento di tali dati, illecitamente trafugati, comporta un’operatività, tra vari soggetti, per attribuire la corretta liability shift finanziaria della transazione”. di hacking (50%) e malware (49%), che impattano principalmente sui dati delle carte di credito e sulle credenziali di autenticazione anche attraverso il phishing o lo sniffer. Una maggiore sicurezza, quindi, è essenziale non solo per i canali on line, ma anche per altri sistemi, come gli ATM e i nuovi device. “Bisogna aumentare la consapevolezza sugli attacchi mobile, dichiara Raoul Chiesa, OPSA, OPST, ISECOM International Trainer e membro del Comitato Direttivo Clusit, e iniziare a controllare anche i servizi in outsourcing, come la gestione degli ATM, facili da compromettere, grazie a una chiave universale comune a tutti gli sportelli dell’agenzia”. soldi sul proprio conto”. Tuttavia, bisogna tenere presente anche il rischio interno. “Anche internamente esistono ovviamente dei rischi di frode legati al trattamento dei dati, sostiene Marco Beozzi, Business Continuity Manager e Responsabile Risk Management di BSI AG. Penso in particolare ai collaboratori, come riportato anche di recente dalle cronache in merito alle questioni dei CD rubati, ai responsabili della sicurezza IT, che hanno accesso a informazioni sensibili come ad esempio le password, e alle società di consulenza alle quali gli istituti finanziari si rivolgono per i certificati digitali”. Cause ed effetti degli incidenti web Esistono diverse tipologie di frodi on line. L’account takeover è causato da un malware che compromette la sessione on line dei bonifici bancari, la card not present fraud ha come conseguenza la sottrazione dei numeri delle carte di credito anche in assenza della carta fisica, mentre la contraffazione delle carte e la cattura dei dati sono legati ad impatti malware. Per percentuali di record di attacchi, quindi, la maggior parte delle frodi via web è legata ad attacchi Attacchi interni ed esterni Gli attacchi di natura esterna sono sicuramente i più frequenti, data la semplicità con cui è possibile “acquistare un malware con rendimento garantito, commenta Morana. Una volta comprato, il malware aspetta un key login e va subito a compromettere il canale di trasferimento portando i dati al drop server e rendendoli accessibili all’hacker che può rubare i dati necessari e trasferire, infine, i La comunicazione tra banca e cliente “E’ importante operare una sensibilizzazione a tutti i livelli, auspica Anthony Cecil Wright, Presidente di ANSSAIF. Ci sono ancora molti anelli insicuri all’interno della catena della sicurezza: il cittadino, che va ulteriormente sensibilizzato sui rischi e sulle contromisure esistenti; le aziende nella supply chain delle infrastrutture critiche per il Paese, che dovrebbero essere obbligate a certificarsi agli standard di sicurezza e business conAPRILE 2012 - AZIENDABANCA 73 Esperienze Anthony Cecil Wright, Presidente di ANSSAIF Stefano Cabianca, Responsabile dell’Antiriciclaggio Internazionale e lotta al finanziamento del terrorismo di Intesa Sanpaolo Ferdinando Torazzi, Country Manager di McAfee tinuity; le stesse aziende critiche per la continuità del servizio al cittadino che dovrebbero essere obbligate ad eseguire test improvvisi sulla sicurezza, come avviene da anni nel sistema finanziario italiano, grazie alla Banca d’Italia. ANSSAIF cerca di dare il suo contributo in tutte queste aree, ma lo Stato dovrebbe decidersi ad intervenire”. E’ per la protezione del cliente che si mettono in campo questi sistemi di sicurezza, per proteggerlo da frodi e da furti di identità, ciò nonostante è necessario anche proteggersi dai clienti per evitare frodi e azioni di riciclaggio. “Il presidio del rischio da questo punto di vista oggi è legato strettamente alla necessità di conoscere bene la nostra clientela, spiega Stefano Cabianca, Responsabile dell’Antiriciclaggio Internazionale e lotta al finanziamento del terrorismo di Intesa Sanpaolo. Per avere un presidio del rischio adeguato alle attuali minacce è indispensabile un adeguato livello di conoscenza della propria clientela, conoscenza acquisita sia nella fase di apertura della relazione, ma soprattutto nel corso del tempo, attraverso l’analisi dell’operatività posta in essere dalla stessa. Diventa pertanto importante, vista anche come una opportunità, ricercare una logica di approccio che partendo dalla centralità della relazione con il cliente, nelle sue diverse modalità e per i diversi ambiti operativi, possa permettere di acquisire tutte le informazioni possibili e metterle a fattore comune a tutti i sistemi di protezione e prevenzione contro le frodi, contro gli accessi non autorizzati, contro il riciclaggio, ecc. In pratica solo se conosco bene il mio cliente posso sapere se le operazioni che sta facendo sono corrette ed escludere in questo modo la possibilità che si tratti di frodi da parte di terzi oppure che lo stesso abbia messo in atto pratiche scorrette che espongono la banca a rischi reputazionali importanti. Tramite un vero rapporto di relazione ‘trusted’ tra banca e cliente la protezione è sicuramente più semplice ed efficace”. transazioni, sostiene Ferdinando Torazzi, Country Manager di McAfee. Questi dispositivi memorizzano una quantità sempre maggiore di dati personali e aziendali, perciò devono essere protetti per evitare violazioni ai dati potenzialmente pericolose, intrusioni sulla rete o attacchi da parte di hacker. Noi cerchiamo di assicurare anche su questo tipo di dispositivi la protezione necessaria durante le transazioni mobile, con un approccio onnicomprensivo e una gamma completa di funzioni di sicurezza per contrastare le minacce alla sicurezza mobile e per proteggere la privacy dell’utente durante l’utilizzo di smartphone e tablet offrendo funzionalità antivirus, anti-furto, filtro di chiamate e SMS, protezione per web e app”. 74 AZIENDABANCA - APRILE 2012 La sicurezza mobile I nuovi device hanno conquistato i clienti, tanto che l’80% non si reca più in banca ma opera da remoto oltre che per i sevizi di ebanking anche per i pagamenti, portando gli istituti finanziari ad adottare sistemi di sicurezza integrata. “I telefonini android stanno diventando i dispositivi più importanti anche nell’ambito delle G.C.