La migrazione della vecchia tecnologia delle banche verso i sistemi di cloud computing sta creando un incubo in termini di sicurezza informatica per i loro team IT e di rischio, hanno avvertito gli esperti.
L’infrastruttura cloud, che consente di conservare software e dati off-site e di accedervi da qualsiasi parte di un’organizzazione, in qualsiasi luogo, sta aiutando le banche di tutto il mondo a sviluppare servizi digitali con maggiore facilità e velocità.
Ma gli esperti avvertono che l’adozione del cloud può anche essere altamente rischiosa per banche e gruppi finanziari, perché i criminali informatici sfruttano sempre più “buchi” di sicurezza e impostazioni non configurate correttamente nelle piattaforme cloud per rubare dati, frodare i clienti e interrompere le operazioni.
Con così tante informazioni finanziarie e personali sensibili archiviate nel cloud e con l'adozione diffusa del sistema bancario digitale, le violazioni dei dati sono diventate una delle principali preoccupazioni per i gruppi finanziari, afferma Simon Crocker, direttore senior dell'ingegneria dei sistemi per l'Europa occidentale presso la società di sicurezza informatica Palo Alto. Reti.
L'approccio dei criminali informatici consiste nell'accedere ai dati identificando le vulnerabilità e le configurazioni errate nei servizi cloud utilizzati dalle banche, spiega. Ma i danni non si fermano qui; i criminali possono anche impossessarsi dei conti dei clienti, commettere frodi finanziarie e accedere ad altre risorse bancarie, aggiunge.
“Una delle principali minacce che le banche devono affrontare quando proteggono il loro ambiente cloud è che gli aggressori ottengono un accesso non autorizzato attraverso il loro traffico in entrata, come le transazioni bancarie online di un cliente o l'apertura di un conto, o il traffico in uscita, che include attività come l'elaborazione dei pagamenti, il trading e la comunicazione interbancaria ”, spiega Crocker.
Secondo lui, gli hacker possono intercettare il traffico bancario lanciando attacchi DDoS (Distributed Denial of Service), che travolgono i server dei computer con grandi volumi di richieste, nonché attacchi SQL injection (structured query Language) e cross-site scripting, che iniettano dati dannosi codice in applicazioni e siti Web.
Il passaggio ai sistemi cloud è quindi un compromesso in termini di rischio, sostiene Crocker. “In definitiva, le banche si affidano ai fornitori di servizi cloud per fornire infrastrutture e servizi sicuri e affidabili”, afferma. “Tuttavia, le vulnerabilità nelle piattaforme cloud, le configurazioni errate o le debolezze della sicurezza nell’infrastruttura sottostante possono esporre le banche a significativi rischi per la sicurezza”.
La migliore opzione a disposizione delle banche per mitigarli è l'utilizzo di metodi di comunicazione crittografati, come reti private virtuali, connessioni private dedicate e server proxy web, consiglia Crocker. Inoltre, consiglia di utilizzare la segmentazione della rete, per cui le reti di computer sono separate in parti più piccole, per limitare l’impatto delle violazioni della sicurezza e migliorare il controllo sui flussi di traffico in uscita.
Una sfida più grande, tuttavia, riguarda la gestione delle falle di sicurezza sconosciute o non risolte per le quali i team IT delle banche non sono preparati, note come exploit “zero-day”..
“'Zero-day' descrive le vulnerabilità di sicurezza scoperte di recente che gli hacker possono utilizzare per attaccare i sistemi e significa letteralmente che un'organizzazione sotto attacco ha 'zero giorni' per risolverle”, spiega Sergey Lozhkin, principale ricercatore di sicurezza presso la società russa di software antivirus Kaspersky. ed ex vicepresidente delle operazioni di sicurezza informatica per JPMorgan Chase. Egli avverte che questi possono dare ai criminali informatici una solida posizione nei sistemi bancari nel cloud.
Le minacce persistenti avanzate, o APT, sono attacchi che possono anche non essere rilevati, offrendo agli hacker un grande vantaggio. “APT. . . sfruttare le vulnerabilità per ottenere un accesso prolungato all’infrastruttura cloud di una banca, consentendo loro di esfiltrare dati sensibili nel tempo”, afferma Lozhkin.
Sebbene entrambi i tipi di attacco presentino notevoli rischi per la sicurezza informatica, la natura sofisticata delle APT sta costringendo le banche a rafforzare le proprie difese. Lozhkin sottolinea che le tecniche di hacking APT sono state determinanti nell'attacco informatico del 2016 al gruppo Standard Bank del Sud Africa, quando i criminali informatici hanno rubato 13 milioni di dollari falsificando 1.600 carte. “Gli APT sono come un ladro furtivo che può rimanere all'interno delle reti completamente invisibile per un certo periodo di tempo prima di colpire”, afferma.
Per mitigare gli exploit zero-day, Lozhkin raccomanda l’uso di soluzioni di monitoraggio avanzate per rilevare “attività insolite indicative di un attacco zero-day”. Gli strumenti automatizzati possono anche “semplificare questo processo” e ridurre “la finestra di opportunità per gli aggressori”, aggiunge.
Inoltre, per mitigare gli APT, suggerisce soluzioni di rilevamento delle minacce, analisi del traffico di rete e sistemi di rilevamento e risposta degli endpoint (EDR), che forniscono monitoraggio continuo della sicurezza informatica e analisi del comportamento degli utenti (UBA).
Lozkhin è fiducioso che questo approccio funzionerà. “Attraverso l’implementazione di una strategia di sicurezza completa che include aggiornamenti regolari, gestione della configurazione, rilevamento avanzato delle minacce e robusti piani di risposta agli incidenti, le banche possono mitigare i rischi posti dagli exploit zero-day e dalle minacce persistenti avanzate, proteggendo le proprie risorse e mantenendo la fiducia dei clienti in un mercato sempre più mondo digitale”, afferma.
Tuttavia, Jake Moore, consulente per la sicurezza informatica globale con sede nel Regno Unito presso la società di sicurezza ESET con sede a Bratislava, teme che molte istituzioni non stiano agendo abbastanza rapidamente. “Il settore bancario è stato lento nell'adottare la sicurezza nel cloud e ciò è stato reso più lento a causa delle rigide normative che il settore deve affrontare”, afferma. “Gli attacchi ransomware, che ora comunemente includono tecniche di compromissione dei dati, rappresentano uno dei rischi più significativi per le istituzioni finanziarie”.
Secondo Moore, l’implementazione di un “approccio di sicurezza a più livelli” aiuterà le banche a mitigare questi rischi. Questi livelli dovrebbero includere protocolli di autenticazione rigorosi, come chiavi di sicurezza fisiche, password univoche e identificatori dei dispositivi, per impedire a persone non autorizzate di accedere ai sistemi cloud.
Controlli di sicurezza regolari aiuteranno anche i team IT a individuare e correggere le vulnerabilità nei sistemi bancari basati su cloud, suggerisce, mentre una crittografia avanzata può rendere illeggibili i dati sensibili, anche se vengono rubati dai criminali informatici.
Ma, secondo un rapporto del gruppo di difesa ThalesMoore esorta le banche a formare il proprio personale per affrontare le minacce informatiche.
Molti possono essere mitigati utilizzando modelli zero-trust, afferma Tristan Morgan, amministratore delegato della sicurezza presso il gruppo di telecomunicazioni BT. Queste richiedono che tutti coloro che tentano di utilizzare la rete WiFi di una banca, siano essi dipendenti o clienti, siano “costantemente controllati e validati”.
“Fornisce inoltre visibilità su chi è presente sulla rete, riducendo i rischi e supportando le esigenze operative delle aziende in un ambiente di lavoro ibrido”, afferma Morgan.
Bernie Wright, responsabile della sicurezza informatica presso il fornitore di infrastrutture cloud ClearBank, consiglia alle banche di attuare un “processo completo di onboarding dei fornitori”, per sradicare i rischi per la sicurezza nelle loro catene di approvvigionamento. Nota che molti fornitori offrono prodotti Software-as-a-Service (concessi in licenza in abbonamento) che vengono eseguiti nel cloud e, se protetti in modo improprio, possono fornire agli hacker un accesso backdoor agli ambienti IT dei clienti bancari.
“Sono necessari determinati livelli di fiducia, quindi, nell'ambito della due diligence, è fondamentale esaminare il modo in cui operano i fornitori, le politiche aziendali associate e le capacità di resilienza”, sottolinea Wright.
Tuttavia, nei prossimi anni si prevede che i computer quantistici svilupperanno applicazioni e minacce di cloud computing molto più grandi. Questi dispositivi sfruttano la meccanica quantistica per eseguire operazioni di elaborazione molto più numerose e più veloci di quelle che i computer di oggi potrebbero mai gestire.
Kamran Ikram, direttore generale senior dei servizi finanziari presso Accenture, divisione di consulenza per Regno Unito e Irlanda, vede sia i pro che i contro. “Le banche possono costruire sistemi finanziari più resilienti e sicuri con algoritmi quantistici costruiti per trovare opportunità di credit scoring e ottimizzare le traiettorie commerciali”, afferma. “Ma l’informatica quantistica consentirà anche di decifrare i codici di crittografia in una frazione del tempo necessario adesso”.