Supponiamo che i sistemi di una banca subiscano un incidente così grave da impedire un immediato ripristino dei dati dei clienti. Quanto tempo può passare prima che questi ultimi possano accedere a saldi e fondi? Quali le ripercussioni sulla reputazione dell’istituto e in generale la resilienza di tutto il sistema? Porsi queste domande significa anche trovare una soluzione. Un’idea per prepararsi a un “Piano B” in caso di eventi disastrosi è quello di Sheltered Harbor, ossia, “Porto Sicuro, Riparato”: con questo nome nasce un nuovo concetto di difesa per il mondo finanziario USA, un sistema che garantisce un’archiviazione estremamente sicura dei dati finanziari con lo scopo di prevenire un’emergenza sistemica nel settore.
L’associazione no-profit, fondata da 37 istituti finanziari e controllata da FS-ISAC (il centro di information sharing e gestione delle crisi cyber del mondo bancario USA), grazie all’ampia collaborazione sottoscritta tra banche, provider, enti di categoria e fornitori di servizi di base, mette a disposizione di tutti una risposta coordinata e sinergica per prevenire gli effetti di un eventuale evento catastrofico di natura informatica. Come dichiara FS-ISAC, il programma Sheltered Harbor “permette agli istituti finanziari di archiviare in modo sicuro e ricostruire velocemente” tutte le informazioni sui conti dei clienti: quindi, in modo molto più efficace di quanto i singoli istituti non facessero già in precedenza. Il modello merita di essere conosciuto perché può diventare una best practice da seguire in tutto il mondo, non solo nel settore finanziario. Ha anche il vantaggio di innalzare la fiducia dei clienti finali nella resilienza del sistema finanziario nel suo complesso.
Come funziona Sheltered Harbor?
L’alleanza ha innanzi tutto lo scopo di garantire uno standard comune nell’ambito della protezione dei dati dei clienti delle banche, oltre che la possibilità di recupero dei fondi in caso di guasto a sistemi critici. Questa è chiaramente un’esigenza molto sentita nel mondo bancario, che può soffrire, come avviene in altri settori (pensiamo ad esempio alla pandemia dei cryptoworm WannaCry e NotPetya), di eventi disastrosi che comportino la cancellazione di informazioni critiche dei clienti. L’implementazione dello standard Sheltered Harbor prepara le istituzioni a fornire ai clienti un accesso tempestivo a informazioni sul conto corrente e fondi in uno scenario distruttivo di elevata gravità.
Elementi fondamentali coperti con il programma sono il data vaulting (o off-site data protection), la pianificazione della resilienza e la certificazione.
(Fonte: https://www.shelteredharbor.org/how-it-works)
I tre pilastri dello schema Sheltered Harbor
- Archiviazione dei dati (Data Vault): gli istituti effettuano un backup dei dati critici degli account dei clienti ogni notte nel formato standard definito per il Sheltered Harbor, gestendo in proprio il vault o affidando questa attività a un proprio provider. L’archivio è crittografato, non modificabile, e completamente separato dall’infrastruttura della banca, così come anche tutti i backup.
- Pianificazione della resilienza: le istituzioni preparano i processi aziendali e tecnici e le decisioni chiave da attivare in caso di un “evento Sheltered Harbor”, ossia, nel caso in cui tutte le altre opzioni disponibili alla banca per ripristinare i propri sistemi critici, inclusi i backup, hanno dato esito negativo. Con questo “Piano B”, gli istituti designano una seconda piattaforma di ripristino in modo che se il piano di resilienza Sheltered Harbor viene attivato, questo può recuperare i dati dal vault e ripristinare l’accesso ai fondi dei clienti molto rapidamente (mentre l’istituto sta lavorando per tornare online).
- Certificazione: è questa una componente fondamentale dell’iniziativa Sheltered Harbor. I partecipanti adottano tutta una serie di misure di salvaguardia e controlli molto robusti, e vengono fatte delle verifiche perché questi siano conformi agli standard Sheltered Harbor. Portando a termine i processi di Data Vaulting, le banche ricevono una certificazione e un marchio che attesta ai loro clienti il fatto che tutti i dati dei conti sono protetti.
Varie alternative a disposizione
Come riporta SBS Security, nel momento in cui un istituto entra a far parte del Sheltered Harbor, le informazioni critiche sono estratte dai suoi database e convertite nel formato standard dell’iniziativa. Vengono validate, crittografate e quindi trasmesse agli archivi sicuri di Sheltered Harbor. I clienti possono però decidere se mantenere queste informazioni in un data vault in-house, o se avere la soluzione outsourced. Il modello non prevede infatti che la gestione dello storage sia centralizzata, può essere anche distribuita.
Quali sono le specifiche tecniche? una serie di caratteristiche dei dati possono essere trovate sul website dell’iniziativa, ad esempio, il fatto che i dati devono essere:
- Air-gapped (senza connessioni di rete ad altri computer)
- Non modificabili
- Sempre disponibili e accessibili
- Aperti solo ad accessi autorizzati
- Decentralizzati
- Di proprietà di ciascun partecipante
Livello di adozione raggiunto
Oggi Sheltered Harbor è a disposizione di banche USA, banche cooperative, broker e dealer, asset manager, associazioni e service provider. Molti dei grandi service provider che si rivolgono al settore (FIS, Fiserv, Jack Henry, COCC, Broadridge, Talisys, Thomson Reuters – Wealth Management) hanno annunciato l’intenzione di offrire queste funzionalità ai propri clienti. L’adozione raggiunta è già molto ampia, se si considera che corrisponde ad oggi a circa il 70% dei conti di deposito USA.
Quanto costa Sheltered Harbor ?
Come spiegato sul sito dell’iniziativa (nelle pagine sulle modalità di accesso) il prezzo può variare in modo da andare il più possibile incontro alle singole esigenze. Dipende anche dalla dimensione della banca, in termini di numero di conti e di asset gestiti: i prezzi vanno quindi dai 250 ai 25.000 dollari all’anno.
In conclusione, quali i vantaggi offerti?
Ogni organizzazione può liberamente decidere se partecipare all’iniziativa (anche se la larga adozione raggiunta già oggi fa pensare che in molti l’hanno valutata positivamente).
In molti probabilmente avranno valutato che il costo del servizio è superiore a quello delle attività di backup già intraprese in-house: il vantaggio offerto è però quello di confrontarsi con best practice di settore per un aspetto – la protezione dei dati critici – su cui nessuno mette in discussione la gravità di un’eventuale perdita. Alla fine, ha il valore di una polizza assicurativa che può essere utilizzata oppure no.
A cura di:
Elena Vaciago, The Innovation Group
