Cyber estorsioni e minacce da frodi interne saranno nel 2015 i rischi cyber più gravi per le istituzioni bancarie.
E’ quanto afferma in una recente intervista a Avivah Litan, analista Gartner, in cui si sottolinea la crescita registrata nel 2015 dalle nuove forme di ricatto successive a un attacco cyber, o cyber estorsioni. Quest’anno un gruppo di cyber criminali, la banda DD4BC (l’acronimo sta per attacco DDOS in cambio di Bitcoin), ha preso di mira diverse istituti di credito con un metodo che combina la diffusione di malware e attacchi DDoS (distributed denial-of-service). Vengono sottratti file dai sistemi e la Banca è minacciata della pubblicazione degli stessi: contestualmente l’attacco DDoS mette in crisi i servizi e la rete. Molte banche sono portate quindi a risolvere il problema pagando il ricatto.
Il secondo rischio cyber più grave è quello più tradizionale delle frodi interne: oggi si parla della collaborazione di “free agent” interni alla Banca con le organizzazioni criminali esterne. Le azioni criminose partono infatti spesso da accessi autorizzati: secondo la rivista USA American Banker, il 78% delle frodi ha origine da cosiddetti “malicious insiders” o da terze parti che sono riuscite a impadronirsi di un profilo utente autorizzato per avere accesso a database con informazioni riservate (in questa classifica rientrano anche gli accessi ottenuti per errori o inavvertenze degli utenti).
Quali saranno le misure che le Banche dovranno predisporre per ridurre rischi cyber legati a frodi e estorsioni?
Secondo l’analista Gartner gran parte degli sforzi dovranno andare in futuro a una migliore autenticazione degli utenti. Le misure attuali potranno essere rese più sicure con l’utilizzo di analytics e tecnologie biometriche. Vedremo sempre di più l’utilizzo di strumenti di AI (artificial intelligence) fare il loro ingresso in Banca ai fini della sicurezza, e l’autentificazione degli utenti potrebbe prevedere misure più efficaci delle attuali, ad esempio tramite l’invio contestuale di immagini (image e video-capture) relative alla persona o a suoi documenti personali (carta d’identità).
“The password is gone” ha dichiarato Ajay Banga, CEO of MasterCard, in occasione di un Summit lo scorso febbraio alla Casa Bianca tra istituzioni finanziarie, CEO di industrie high tech e il presidente Obama. Quali saranno le innovazioni in grado di rivoluzionare l’approccio alla Cybersecurity? “Everything from biometrics to new technology that looks at the underlying heartbeat with a bracelet…that is where it is going” ha detto Ajay Banga.
Dimentichiamoci in sostanza UserId e password – un sistema arcaico, che con troppa facilità può cadere in mani sbagliate. Il nuovo mantra è la tokenization, ossia la possibilità di impedire che informazioni sensibili, come ad esempio il numero della carta di credito, viaggino in chiaro tra sistemi diversi (banca, merchant). Un sistema che si basa sul concetto della tokenization è ad esempio l’Apple Pay – il nuovo sistema di pagamento Mobile della Apple, con cui il mercant riceve un “device account number” per ogni transazione.
Infine: Information Sharing. Le banche, ma anche le aziende, il settore pubblico, devono attivare procedure efficaci di condivisione delle informazioni sulle minacce al fine di avviare azioni di contrasto comuni. L’incontro di febbraio con il Presidente Obama è stato il momento per presentare la nuova iniziativa di Information Sharing voluta dall’Amministrazione USA, con l’avvio di un’agenzia dedicata (Cyber Threat Intelligence Integration Center) attivata appunto con lo scopo di fornire analisi e facilitare lo scambio di informazioni tra settore pubblico e privato. Un accordo che ha ricevuto l’approvazione delle istituzioni finanziarie presenti. “Information sharing may be the single, highest-impact, lowest-cost and fastest way to implement capabilities that we have at hand as a nation to accelerate our overall defense from the many varied and increasing threats that we are facing every second,” ha dichiarato appunto Kenneth Chenault, CEO di American Express.
A cura di: Elena Vaciago, The Innovation Group