Pensato per elevare la cyber resilienza a livello sistemico nel mondo finanziario, il regolamento DORA (Digital Operational Resilience Act), entrato in vigore il 17 gennaio 2023, diventerà vincolante a decorrere dal 17 gennaio 2025, quindi gli attori del mondo finanziario hanno a disposizione poco più di un anno per adeguarsi.
Il DORA, che si applica alla totalità delle società operanti nel settore finanziario (banche, assicurazioni, Fintech) oltre che ai relativi fornitori di servizi ICT, fissa un quadro regolamentare comune per
- Un’efficace gestione dei rischi ICT
- Il monitoraggio dei fornitori di ICT critici
- La segnalazione e la condivisione di informazioni sugli incidenti
- La verifica e l’auditing dei sistemi e dei processi ICT.
Concretamente, cosa dovrebbero fare le aziende per conformarsi agli obblighi più imminenti? Nel corso del Banking Summit 2023 di The Innovation Group, lo scorso settembre a Baveno, in particolare durante il Workshop “Il Trust come Valore: Cyber Security e Protezione dei Dati”, sono stati analizzati gli impatti di DORA con un Panel di esperti del settore.
Il regolamento DORA impone a terze parti come fornitori di servizi IT di elevare processi e misure di cybersecurity. Questo andrebbe fatto con un approccio olistico, che consideri non solo il DORA stesso e la sua normativa secondaria, ma anche tutto il quadro normativo esistente in materia di protezione delle informazioni. “Credo che ci fosse necessità del regolamento DORA – ha commentato Alessandro Bulgarelli, Group CISO di BPER Banca -. Il mondo della supply chain è diventato molto rischioso per la sicurezza delle grandi organizzazioni, che potrebbero scoprire il fianco alle terze parti non in linea con gli indirizzi che ci si è dati internamente. Il regolamento obbliga chi fa parte dell’ecosistema a elevare i propri presidi. Potrebbe essere molto difficile adeguarsi ed essere conformi a questa norma in tempi così brevi, gennaio 2025 è una scadenza prossima. Chi non sarà pronto ad adottare queste logiche potrebbe rimanere escluso dagli ecosistemi digitali sempre più sfidanti. Per essere resilienti e reattivi a determinate tipologie di incidenti servirebbe però poter contare su una community più attiva dal punto di vista della cooperazione. Potrebbe servire a questo scopo un orchestratore comune”.
Tra le novità di DORA, in primo piano va sottolineata l’introduzione di un nuovo mindset, in particolare il passaggio da requisiti di continuità operativa a una visione più ampia di cyber resilienza, che deve essere incorporata in tutti i processi organizzativi. “Intesa Sanpaolo ha investito molte risorse nella cybersecurity – ha detto Domenico De Angelis, Head of Cybersecurity Group Architecture and Framework di Intesa Sanpaolo -. Il regolamento non ci coglie quindi impreparati, lo consideriamo uno strumento utile e necessario per tutti gli attori che insistono nella digitalizzazione dei servizi. Il singolo operatore bancario, per portare il servizio fino alla clientela, deve utilizzare una serie di attori che concorrono a garantire la resilienza end-to-end, che ora avranno gli stessi requisiti di cybersecurity da dover soddisfare.
Per il settore finanziario questo deve essere visto come un vantaggio, considerando il passaggio che sta avvenendo verso i concetti di cyber resilienza, quindi di una sicurezza di sistema. Resta invece qualche perplessità sulla possibilità di fare sinergia e di omogeneizzare i requisiti. L’esempio classico in questo caso è quello del processo di Incident Reporting, dove, in caso di incidente, è sempre maggiore il tempo necessario per riconciliare template di comunicazione, informazioni richieste e tempistiche di notifica da rispettare nei confronti dei regolatori, con possibili ripercussioni sulla gestione degli incidenti stessi. Servirebbe quindi un’omogeneizzazione dei requisiti di compliance, mentre la stratificazione delle normative nazionali e internazionali rende molto difficile il percorso. Inoltre, restano alcune perplessità sulla supervisione delle terze parti che dovranno adeguarsi a queste normative. Le banche sono vigilate, le terze parti invece da chi saranno supervisionate? Questo onere non dovrebbe ricadere sugli istituti, in quanto il rapporto tra cliente e fornitore potrebbe rendere poco efficace la supervisione”.
Una delle sfide maggiori per le banche che puntano a un più ampio miglioramento della propria capacità di risposta a eventi cyber riguarda però la revisione della propria organizzazione. “DORA è una grande opportunità perché allinea il regolamento di tutte le banche italiane a quello delle banche europee. Faremo riferimento, di fatto, al regolamento europeo condividendone il piano delle regole e i requisiti di sicurezza. Affronteremo inoltre le stesse sfide, in alcune occasioni faremo altresì scelte comuni forti di esperienze identiche. Questa iniziativa rappresenta quindi un’importante occasione per gestire al meglio le situazioni di crisi aumentando al contempo il livello di scambio di informazioni e di cooperazione – ha commentato Giuseppe Galati, Head of Group ICT and Security Risk di Mediobanca -. Inoltre, DORA sancisce ufficialmente regole già applicate. Chi lavora nel mondo bancario sa che il 40mo aggiornamento di Banca d’Italia ha già richiesto agli istituti finanziari di adeguarsi a questi temi, di creare le unità di controllo di secondo livello per la gestione dei rischi IT oltre che di lavorare sui rischi ICT e di sicurezza dei fornitori, tutte tematiche ampliamente incluse e dettagliate ora all’interno di DORA. Oggi tutte le organizzazioni, per competere sui mercati finanziari, devono essere attrezzate per gestire rischi IT e di sicurezza supportando in modo adeguato e robusto le unità di business. I clienti retail e istituzionali sono sempre più consapevoli della necessità di lavorare con servizi bancari sicuri scambiando informazioni confidenziali in modo protetto. Siamo oramai abituati a essere attaccati sempre più frequentemente da organizzazioni criminali, negli ultimi anni spalleggiate in alcuni casi anche da agenzie governative e apparati militari, quindi sempre più forti, strutturate e con importanti risorse finanziarie e tecnologiche. Rispondere solo con il CISO è una lotta impari. Il Gruppo Mediobanca già da tempo si è ampiamente strutturato per rispondere come Organizzazione a questo genere di attacchi, continuando a rafforzare le proprie strategie di difesa grazie anche agli stimoli regolatori (vedi ad esempio il Cyber resilience stress test di ECB). Le organizzazioni che non si stanno ancora muovendo in tal senso saranno forzate a farlo dalle nuove norme, come DORA e NIS2. Chi lo ha compreso in anticipo, ha già creato al proprio interno dei centri di competenza per la gestione della crisi cyber, centri trasversali che coinvolgono il DPO, il legale, la comunicazione di gruppo, passando dal procurement e includendo chiaramente le strutture IT e le nuove unità di controllo per la gestione del rischio IT e di sicurezza. DORA non ha fatto altro che prendere atto di questa situazione e mettere ordine richiedendo alle aziende di organizzarsi per rispondere agli attacchi come un’organizzazione unita, strutturata e resiliente, altrimenti nel nuovo contesto cyber potranno avere diversi problemi e importanti impatti”.
Piani di incident response, esercitazioni, test, ma anche revisione della gestione degli asset IT, data protection, capacità di detection. Sono molti gli aspetti da considerare per incrementare la cyber resilienza nel mondo finanziario. “Bisogna prendere coscienza di una cosa molto importante: i vettori di attacco possono essere diversi, dobbiamo conoscere meglio i nostri avversari – ha detto Luigi Della Monica, Sales Directory Italy di CrowdStrike –. Noi lo scorso anno abbiamo mappato più di 250 gruppi criminali. In altri Paesi già oggi il CISO riporta direttamente al Board o al CEO: questi temi sono oggi fondamentali per le aziende, il problema non è più “se” o “quando” sarò attaccato, ma piuttosto, come sarò in grado di rispondere. Le tecnologie ci sono, ma il tema culturale viene prima. Le esercitazioni si possono fare in vari modi, bisogna prepararsi in anticipo, e questo deve essere fortemente sponsorizzato dai vertici. Stiamo parlando di criminali, di persone che si organizzano per attaccare settori verticali di mercato. Le ricadute di questi attacchi si vedono nel quotidiano. I danni sono stimati pari a otto milioni di dollari al giorno. La tecnologia deve essere un abilitatore, deve semplificare e aiutare le aziende a proteggere le proprie infrastrutture nel contrasto a questi attacchi. In Italia potremmo seriamente creare un’industria con molti nuovi posti di lavoro nella cybersecurity: noi abbiamo una cinquantina di ingegneri impegnati nello sviluppo della nostra piattaforma e in attività di threat hunting, monitorano cosa succede in internet oltre che nel deep e dark web”.
Un punto su cui dobbiamo interrogarci, nella definizione della migliore strategia, è quali sono le interdipendenze tra il regolamento DORA, il GDPR e la data protection. “Come partner tecnologico stiamo aiutando i nostri clienti in questo percorso verso la compliance a DORA, aiutandoli a coprire i gap identificati con gli assessment – ha detto Alessandro Nava, Enterprise Security Sales Executive di Microsoft –. Il nostro approccio all’incident response è quello che prevede una detection sempre più accurata. Le banche sono in questo momento gli operatori del settore finanziario più maturi su aspetti di incident response.
Stiamo vedendo, anche se non è esplicitato nel regolamento DORA, una correlazione tra questa norma e il GDPR in termini di protezione dei dati personali. Ad esempio, facendo riferimento alla richiesta di notifica del DORA in caso di incidente, se si tratta di un data breach bisogna considerare quanto è accurata e strutturata o meno la politica interna di data protection. Importante quindi aiutare i clienti a conoscere dove sono i dati e chi vi accede. Poiché la classificazione del dato è ancora un aspetto complesso, aiutiamo i clienti a utilizzare classificatori avanzati con tecnologie AI”.
Oltre al DORA, gli operatori finanziari sono oggi chiamati a considerare l’impatto di altre norme sulla cybersecurity. “Concordo sul fatto che il DORA rappresenti un’importante novità – ha detto Andrea Renna, Senior Vice President of Sales di Comforte –. Una norma però altrettanto importante nel mondo finanziario è il PCI DSS, che esiste dal 2004 ma arriva ora in una nuova versione con modifiche significative. Nella nostra esperienza, il PCI DSS porta i principali requisiti alla protezione di dati sensibili degli operatori finanziari, continua a essere l’elemento che orienta maggiormente la strategia di data protection. Nella versione quattro, ha delle modifiche importanti e un impatto significativo sulla sicurezza informatica: tra i punti che impattano di più, i seguenti: sicurezza informatica come processo di miglioramento continuo; requisiti di flessibilità perché sia facilitata una costante innovazione digitale; approccio zero trust nelle attività di autentificazione; scelta della crittografia avanzata in progressiva sostituzione di quella tradizionale. Il consiglio che noi diamo agli operatori è quello di incentrare la sicurezza sulla protezione dei dati, perché l’approccio tradizionale basato sulla difesa perimetrica è oramai fallito da anni. I dati finanziari e sensibili sono il vero tesoro da proteggere dagli attaccanti, devono essere resi inutilizzabili cosicché, anche nel caso in cui siano oggetti di un attacco, siano privati di qualsiasi valore e possibilità di riutilizzo”.
A cura di:
Elena Vaciago, Research Manager, The Innovation Group
Accedi alla registrazione completa della sessione: