Il Covid-19 ha costretto il settore finanziario, e non solo, a fare leva su nuove modalità di lavoro, come smart e remote working, che mettono ancor più in evidenza la necessità di un approccio proattivo da parte dei team di incident response (IR)* - gli esperti che si occupano della risposta agli incidenti di sicurezza - nel supportare il lavoro in remoto ovunque il dipendente si trovi.
Negli ultimi mesi, in particolare, CrowdStrike ha rilevato un significativo aumento dell’attività criminale ed un incremento delle campagne di phishing che sfruttano l’interesse della comunità verso gli aiuti finanziari concessi dai governi e le informazioni legate al Covid-19. Inoltre, oggi più che mai, le banche di tutto il mondo sono divenute il target primario di attacchi denial-of-service (DoS) mediante ransom con richiesta di riscatto, mentre l’attività dell’eCrime è aumentata di oltre il 330 per cento dall’inizio dell’anno rispetto allo stesso periodo del 2019.
Secondo quanto emerso dall’analisi effettuata dagli esperti di CrowdStrike, inoltre, anche gli istituti bancari rientrano nel mirino degli attacchi informatici. Il Global Threat Report 2021 recentemente rilasciato dall’azienda evidenzia inoltre come gli autori degli attacchi stiano diventando più veloci. Nel 2020, il tempo medio di breakout - cioè il tempo necessario per entrare in un punto di accesso all'interno di un'organizzazione - è stato di 4 ore e 28 minuti, con una riduzione significativa rispetto al 2019, quando il tempo medio registrato era di circa 9 ore.
Gli istituti finanziari hanno l’obbligo di proteggere le informazioni aziendali e quelle relative ai propri clienti, un dovere reso ancor più arduo in un’era caratterizzata da un nuovo modo di fare banca sempre più “aperto” e digitalizzato, che tende quindi ad aumentare il livello di vulnerabilità ampliando l’esposizione a possibili attacchi. Questi obblighi fiduciari nei confronti degli investitori sono raddoppiati con il diffondersi del lavoro da remoto, incentivato a causa della pandemia. Molti istituti finanziari, infatti, hanno dovuto rispondere prontamente alla necessità di ricorrere a questa modalità nei primi mesi del 2020. Alla luce delle nuove esigenze, l’incident response, cioè la risposta agli incidenti, deve quindi diventare un processo fondamentale in questo contesto affinché ogni azienda, sfruttando la propria capacità di reagire in maniera efficace, possa mitigare le perdite, ridurre i rischi per il futuro e aumentare la propria resilienza.
Sono diverse le modalità con cui i team di incident response possono assicurare la continuità aziendale e la soddisfazione dei clienti, anche durante i periodi più complessi come quello attuale.
Maggiore consapevolezza dei C-level
I team di incident response giocano un ruolo sempre più importante in ottica di sensibilizzazione del management e dei C-level rispetto al tema dell’igiene informatica e di definizione di piani di azione che prevedano l’attivazione, da parte degli addetti alla sicurezza informatica, di tutte le procedure necessarie in risposta all’emergenza, inclusa la revoca degli account colpiti dall’attacco e le richieste di modifica dei firewall con carattere di urgenza.
Il lavoro a stretto contatto con i team di incident response per simulare scenari d’allarme, come la segnalazione di comportamenti anomali, l’identificazione delle vulnerabilità e il rilascio di patch di emergenza, dovrebbe essere considerato una priorità al fine di garantire che ciascuno abbia chiaro il proprio ruolo e sia pronto a reagire nel caso di una violazione. Come regola generale, soltanto la pratica può servire ad affrontare la situazione.
Oggi più che mai, i responsabili aziendali devono avere alcune conoscenze informatiche nella loro area di competenza e i team di IR svolgono un ruolo fondamentale nel consentire questa formazione. Anche il manager più capace e brillante corre il rischio di operare in modo inadeguato sotto stress in una situazione che è impreparato ad affrontare.
‘Breach counseling’: oltre l’aspetto tecnico
Le persone normalmente non sono pronte a far fronte a eventi catastrofici quando viene commessa una violazione e finiscono per cadere nella spirale delle teorie cospirazioniste di qualsiasi tipo, negando la gravità del problema. Le cinque fasi del dolore (negazione, rabbia, elaborazione, depressione e accettazione) trovano applicazione anche nel contesto in cui si subisca una violazione dei dati. Spesso la reazione personale non è lineare, ed è amplificata dal lavoro da remoto e dall’impossibilità di ricevere assistenza da parte di un team di supporto IT in presenza.
La figura in evoluzione degli esperti in incident response integra skill quali la consapevolezza emotiva e la capacità di guidare il management, che nella situazione di violazione tende a prendere decisioni basate su informazioni infondate o poco ragionate, talvolta commettendo l’errore di isolarsi o di cercare di gestire il problema autonomamente. In genere, in due casi su tre la vittima non è consapevole della violazione subita finché non viene informata da una terza parte, cadendo poi in uno stato di crescente angoscia e stress.
Gli esperti di incident response facilitano il pensiero razionale e, facendo leva sull’empatia, riescono ad assicurare il lavoro in team anche durante la fase di indagine. La loro competenza nel proteggere e la capacità di fornire ciclicamente comunicazioni puntuali e chiare sul tema dovrebbero essere applicate alla definizione di nuovi metodi di risoluzione dei problemi che aiutino a prendere le giuste decisioni e a rafforzare la fiducia nei confronti della soluzione.
Infrastruttura di sicurezza e gestione del cambiamento
Il team di incident response assicura la disponibilità di un’infrastruttura basata su un sistema di sicurezza in loco, efficiente anche da remoto. La loro expertise dovrebbe essere messa a frutto nella pianificazione strategica e nella predisposizione di soluzioni a lungo termine, perché il tentativo di porre rimedio ad un problema solo nel momento in cui si verifica tende a rivelarsi pressoché inutile.
Molti dirigenti cadono nella trappola di approvare infrastrutture senza basarsi su test adeguati, esponendosi al rischio di pericolose vulnerabilità per la rete. In sinergia con i team di incident response, le aziende devono dare la priorità all’aggiornamento delle policy che contemplano dispositivi personali, considerazioni sulla privacy dei dati e la possibile adozione di nuove tecnologie.
I sistemi legacy e servizi forensi tradizionali non sono più sufficienti per combattere le tecniche sempre più sofisticate adottate oggi dai criminali informatici. L’implementazione di soluzioni di sicurezza di prossima generazione consente una maggiore visibilità degli endpoint, fornendo funzionalità di scansione proattiva delle minacce tipiche della sorveglianza. In assenza di un reparto IT facilmente accessibile, è importante che le modifiche alla policy vengano comunicate in modo chiaro per limitare il rischio di errore umano.
Il numero di attacchi sta aumentando esponenzialmente ed è impossibile predire quando e dove si verificheranno. In tempi incerti come quello attuale, affidarsi a team di incident response per far fronte alle sfide dei cyber-criminali nei confronti di una forza lavoro in remoto e della digitalizzazione è vitale per garantire al settore finanziario sostenibilità e resilienza.
* la struttura che in azienda ha la responsabilità di monitorare, intercettare, analizzare e rispondere alle minacce cyber
