Esperienze
Sicurezza, è il web
l’anello debole
Sono 9 milioni i clienti
bancari che hanno
subito frodi e attacchi
via web nel 2010. Nella
quasi totalità dei casi
le cause sono esterne,
per il 50% legate ad
attività di hacking e per
il 49% all’intrusione
di malware, mentre
responsabilità interne
sono da ricercare tra
dipendenti, responsabili
IT e società di
consulenza
72 AZIENDABANCA - APRILE 2012
“Security is broken”, afferma Marco
Morana, Rappresentate della organizzazione OWASP e Senior Vice President Rischi Technologici e Controlli presso una delle principali banche
USA, all’apertura della tavola rotonda “Evoluzione degli attacchi e delle frodi via web e impatti economici
nel settore finance”, in occasione del
Security Summit 2012. “Negli ultimi
anni, spiega Morana, il crimine organizzato ha modificato i suoi scenari
di attacco, muovendosi verso il settore finance. Nel 2010 nove milioni
di clienti hanno subito attacchi via
web, con conseguente perdita di dati.
Quindi non solo bisogna modificare e
sostituire i token per le transazioni on
line, ma bisogna rivedere i sistemi di
protezione utilizzati dalle banche”.
Scenario di attacco
Se fino al 2000 sono stati spesi 3 miMarco Morana, Rappresentate della organizzazione
OWASP e Senior Vice President Rischi Technologici
e Controlli presso una delle principali banche USA
liardi di dollari per patchare nuovamente i sistemi in seguito all’attacco
di ILOVEYOU, negli anni successivi
l’impatto del crimine organizzato ha
visto una accelerazione: nel 2007
Gonzalez, hacker ed ex informer
dell’FBI, ha rubato 130 milioni di
numeri di carte di credito violando un Card Processing Center, nel
2010, dopo l’impatto dello spyware
ZeuS, sono state fermate dall’FBI 37
persone coinvolte e, nel dicembre
dello stesso anno, Anonymous ha
lanciato attacchi DDoS contro Visa e
MasterCard, mettendo off line i loro
siti web. Il data breach più recente
riguarda Epsilon, aggregator al servizio di Visa e American Express, che
in seguito ad un attacco informatico
ha visto compromettere 60 milioni di
indirizzi email clienti, resi visibili; la
colpa non è imputabile all’organizzazione, ovvero Visa e Amex, piuttosto
la falla è da ricercare nei sistemi di
sicurezza dell’aggregator. Le nuove
tecnologie possono comunque contribuire alla diminuzione delle frodi.
Ad esempio, l’adozione della tecnologia Chip & PIN in Inghilterra, nel
2004, ha contribuito alla diminuzione delle frodi per contraffazione,
spostando gli attacchi verso il nuovo
continente, dove si utilizza ancora la
banda magnetica. “In Italia, aggiunge Stefano Saibene, Responsabile
E-Commerce e Sicurezza Logica in
Deutsche Credit Card, la migrazione dei sistemi di pagamento a EMV
(carte e terminali a chip) e l’introduzione di protocolli di sicurezza nelle
transazioni E-Commerce, ha portato
ad una riduzione delle frodi che negli ultimi anni si attesta a meno dello
0,05% del transato. Tuttavia sarebbe
Esperienze
Stefano Saibene, Responsabile E-Commerce e Sicurezza Logica in Deutsche Credit Card
Raoul Chiesa, OPSA, OPST, ISECOM International
Trainer e membro del Comitato Direttivo Clusit
Marco Beozzi, Business Continuity Manager
e Responsabile Risk Management di BSI AG
estremamente riduttivo considerare
solo questa percentuale, come elemento decisionale, per investimenti
in sicurezza. L’esperienza insegna
che possono essere ingenti i danni
a carico di società che hanno subito compromissioni di dati relativi a
carte di pagamento. A volte, il tutto
viene alla luce con la contestazione/
reclamo di un’operazione non riconosciuta dal legittimo titolare. Inoltre,
ogni utilizzo fraudolento di tali dati,
illecitamente trafugati, comporta
un’operatività, tra vari soggetti, per
attribuire la corretta liability shift finanziaria della transazione”.
di hacking (50%) e malware (49%),
che impattano principalmente sui
dati delle carte di credito e sulle credenziali di autenticazione anche attraverso il phishing o lo sniffer. Una
maggiore sicurezza, quindi, è essenziale non solo per i canali on line, ma
anche per altri sistemi, come gli ATM
e i nuovi device. “Bisogna aumentare la consapevolezza sugli attacchi mobile, dichiara Raoul Chiesa,
OPSA, OPST, ISECOM International
Trainer e membro del Comitato Direttivo Clusit, e iniziare a controllare
anche i servizi in outsourcing, come
la gestione degli ATM, facili da compromettere, grazie a una chiave universale comune a tutti gli sportelli
dell’agenzia”.
soldi sul proprio conto”. Tuttavia, bisogna tenere presente anche il rischio
interno. “Anche internamente esistono ovviamente dei rischi di frode legati al trattamento dei dati, sostiene
Marco Beozzi, Business Continuity
Manager e Responsabile Risk Management di BSI AG. Penso in particolare ai collaboratori, come riportato
anche di recente dalle cronache in
merito alle questioni dei CD rubati,
ai responsabili della sicurezza IT, che
hanno accesso a informazioni sensibili come ad esempio le password, e
alle società di consulenza alle quali
gli istituti finanziari si rivolgono per
i certificati digitali”.
Cause ed effetti
degli incidenti web
Esistono diverse tipologie di frodi on
line. L’account takeover è causato
da un malware che compromette la
sessione on line dei bonifici bancari,
la card not present fraud ha come
conseguenza la sottrazione dei numeri delle carte di credito anche in
assenza della carta fisica, mentre la
contraffazione delle carte e la cattura
dei dati sono legati ad impatti malware. Per percentuali di record di attacchi, quindi, la maggior parte delle frodi via web è legata ad attacchi
Attacchi interni ed esterni
Gli attacchi di natura esterna sono
sicuramente i più frequenti, data la
semplicità con cui è possibile “acquistare un malware con rendimento garantito, commenta Morana. Una volta comprato, il malware aspetta un
key login e va subito a compromettere il canale di trasferimento portando i dati al drop server e rendendoli
accessibili all’hacker che può rubare
i dati necessari e trasferire, infine, i
La comunicazione
tra banca e cliente
“E’ importante operare una sensibilizzazione a tutti i livelli, auspica Anthony Cecil Wright, Presidente di
ANSSAIF. Ci sono ancora molti anelli
insicuri all’interno della catena della
sicurezza: il cittadino, che va ulteriormente sensibilizzato sui rischi e sulle contromisure esistenti; le aziende
nella supply chain delle infrastrutture critiche per il Paese, che dovrebbero essere obbligate a certificarsi agli
standard di sicurezza e business conAPRILE 2012 - AZIENDABANCA 73
Esperienze
Anthony Cecil Wright, Presidente di ANSSAIF
Stefano Cabianca, Responsabile dell’Antiriciclaggio
Internazionale e lotta al finanziamento del terrorismo di Intesa Sanpaolo
Ferdinando Torazzi, Country Manager di McAfee
tinuity; le stesse aziende critiche per
la continuità del servizio al cittadino
che dovrebbero essere obbligate ad
eseguire test improvvisi sulla sicurezza, come avviene da anni nel sistema
finanziario italiano, grazie alla Banca
d’Italia. ANSSAIF cerca di dare il suo
contributo in tutte queste aree, ma lo
Stato dovrebbe decidersi ad intervenire”. E’ per la protezione del cliente
che si mettono in campo questi sistemi di sicurezza, per proteggerlo da
frodi e da furti di identità, ciò nonostante è necessario anche proteggersi
dai clienti per evitare frodi e azioni
di riciclaggio. “Il presidio del rischio
da questo punto di vista oggi è legato
strettamente alla necessità di conoscere bene la nostra clientela, spiega Stefano Cabianca, Responsabile
dell’Antiriciclaggio Internazionale e
lotta al finanziamento del terrorismo
di Intesa Sanpaolo. Per avere un presidio del rischio adeguato alle attuali
minacce è indispensabile un adeguato livello di conoscenza della propria
clientela, conoscenza acquisita sia
nella fase di apertura della relazione,
ma soprattutto nel corso del tempo,
attraverso l’analisi dell’operatività
posta in essere dalla stessa. Diventa pertanto importante, vista anche
come una opportunità, ricercare una
logica di approccio che partendo dalla centralità della relazione con il
cliente, nelle sue diverse modalità e
per i diversi ambiti operativi, possa
permettere di acquisire tutte le informazioni possibili e metterle a fattore
comune a tutti i sistemi di protezione
e prevenzione contro le frodi, contro
gli accessi non autorizzati, contro
il riciclaggio, ecc. In pratica solo se
conosco bene il mio cliente posso sapere se le operazioni che sta facendo
sono corrette ed escludere in questo
modo la possibilità che si tratti di
frodi da parte di terzi oppure che lo
stesso abbia messo in atto pratiche
scorrette che espongono la banca a
rischi reputazionali importanti. Tramite un vero rapporto di relazione
‘trusted’ tra banca e cliente la protezione è sicuramente più semplice ed
efficace”.
transazioni, sostiene Ferdinando Torazzi, Country Manager di McAfee.
Questi dispositivi memorizzano una
quantità sempre maggiore di dati
personali e aziendali, perciò devono
essere protetti per evitare violazioni
ai dati potenzialmente pericolose, intrusioni sulla rete o attacchi da parte
di hacker. Noi cerchiamo di assicurare anche su questo tipo di dispositivi
la protezione necessaria durante le
transazioni mobile, con un approccio onnicomprensivo e una gamma
completa di funzioni di sicurezza per
contrastare le minacce alla sicurezza
mobile e per proteggere la privacy
dell’utente durante l’utilizzo di smartphone e tablet offrendo funzionalità
antivirus, anti-furto, filtro di chiamate e SMS, protezione per web e app”.
74 AZIENDABANCA - APRILE 2012
La sicurezza mobile
I nuovi device hanno conquistato i
clienti, tanto che l’80% non si reca
più in banca ma opera da remoto oltre che per i sevizi di ebanking anche
per i pagamenti, portando gli istituti
finanziari ad adottare sistemi di sicurezza integrata. “I telefonini android
stanno diventando i dispositivi più
importanti anche nell’ambito delle
G.C.