Innovazione e cyber security nel settore finanziario Il ... · Il CERT principale svolge una...
Transcript of Innovazione e cyber security nel settore finanziario Il ... · Il CERT principale svolge una...
InsurTECH – l’innovazione tecnologica nel mercato assicurativo, Convegno IVASS, Roma 15 dicembre 2017
BANCA D’ITALIAEUROSISTEMA
Gino Giambelluca
Dipartimento Mercati e sistemi di pagamento
Servizio Supervisione mercati e sistema dei pagamenti
TLP-GREEN
Innovazione e cyber security nel settore finanziario
Il CERT Finanziario Italiano (CERTFin)
2BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Innovazione e
cyber security nel
settore finanziario:
iniziative e ruolo
delle autorità
Agenda
1
Il CERTFin:
obiettivi,
organizzazione e
governance
2
Il CERTFin: le
attività nel 2017 e
gli sviluppi futuri
3
3BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Innovazione e
cyber security del
settore finanziario:
iniziative e ruolo
delle autorità
Agenda
1
Il CERTFin:
obiettivi,
organizzazione e
governance
2
Il CERTFin: le
attività nel 2017 e
gli sviluppi futuri
3
4BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
I temi dell’innovazione digitale e della sicurezza (cyber) sono sempre più presenti
nelle agende delle autorità del settore finanziario per gli impatti sulle finalità di
stabilità finanziaria, efficienza e affidabilità del sistema pagamenti, fiducia nella
moneta
Innovazione e cyber security nel settore finanziario
Digital innovation
Advanced Analytics
E-Identity
Fintech
Big Data
Blockchain
Cybersecurity
National Competent Authorities
5BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
� Motivazioni economiche degli attaccanti (frodi)
� Alta intensità tecnologica
� Apertura dei servizi su internet
� Forti interdipedenze tra gli attori
…. e il settore finanziario, più di altri, è esposto ai rischi cyber
Innovazione e cyber security nel settore finanziario
6BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
� 11,000 banks, market infrastructures,
corporates
� 200 countries
Il network SWIFTLe interconnessioni tra le infrastrutture di
mercato europee
Le interdipendenze
Innovazione e cyber security nel settore finanziario
7BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
� Dalle relazioni bilaterali ai modelli distribuiti e
decentrati della sharing economy
� Nuove forme di intermediazione nella relazione
finanziaria (piattaforme, terze parti, OTT)
� Esigenze più evolute degli utenti (domanda di
“usabilità”)
I fattori di rischio tradizionali sono amplificati dall’innovazione digitale
Innovazione e cyber security nel settore finanziario
8BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Nel nuovo contesto della «digital economy» le autorità di settore devono :
� assicurare gli obiettivi di stabilità finanziaria, affidabilità ed efficienza
dei servizi finanziari, tutela degli utenti, senza ostacolare l’innovazione
� tener conto delle complessità e interdipendenze, sistemiche, cross-
border e cross-sector
� ampliare il raggio di osservazione, migliorare la comprensione dei
fenomeni innovativi e adeguare gli strumenti di intervento
Le sfide per le autorità
Innovazione e cyber security nel settore finanziario
9BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Le sfide per le autorità
IndifferenzaDissuasione/Attenzione
Dialogo -Considerazione
Monitoraggio
continuo
� Sand Box� Innovation Hub� Accelerator
Superamento degli strumenti di
intervento tradizionali
L’approccio all’innovazione (fintech)…
Innovazione e cyber security nel settore finanziario
10BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Le sfide per le autorità
Regole di base (es. continuità di servizio)
Ampi princìpi e regole più stringenti
Cooperazione
Analisi dei
fenomeni
…. l’approccio alla cyber security
Innovazione e cyber security nel settore finanziario
11BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Le sfide per le autorità
Alcuni esempi concreti:
� Nuovo e più ampio approccio del regolatore ai temi
della sicurezza (es. PSD2, NIS)
� Principi e standard (soft law): la Cyber Guidance BRI per
le infrastrutture di mercato (2016)
� Il rafforzamento della cooperazione di sistema, pubblico-
privato
Innovazione e cyber security nel settore finanziario
12BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Le indicazioni del G7
Ottobre 2016 Pubblicazione dei “Fundamental elements of cyber
security for financial sector” del G7
OBIETTIVO: sviluppare una visione comune e condivisa sui rischi
cyber e rafforzare la cyber security nelle giurisdizioni
rappresentate (G7 + UE) con l’obiettivo della stabilità finanziaria.
Fornire raccomandazioni di sviluppo delle capacità di sicurezza
cibernetica dei paesi del G7
Innovazione e cyber security nel settore finanziario
13BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Le indicazioni del G7
� Building blocks per entità pubbliche e private su cui
disegnare strategie di cyber security…..ma anche
� Linee guida per le autorità nello sviluppo di policy, regole
e interventi di supervisione, anche “across jurisdiction”
1. Cyber strategy and framework
2. Governance
3. Risk and control assessment
4. Monitoring
5. Response
6. Recovery
7. Information sharing
8. Continous learning
Ottobre 2016
I lavori sono continuati nel 2017 sotto presidenza
italiana del G7
Innovazione e cyber security nel settore finanziario
14BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Le indicazioni del G7
“
……..we mandate the G7 Cyber Expert Group (G7 CEG) to develop a set of
high level and non-binding fundamental elements for effective assessment
of cybersecurity by October 2017. Highly aware of the cross-border and
cross-sector relevance of cyber-threats, we task the G7 CEG to advance work
on the third party risks and the coordination with other critical sectors.
Furthermore, we encourage international coordination and knowledge
sharing”
Comunicato del 13 Maggio 2017, G7 Bari
“We recognise that cyber incidents represent a growing threat for
our economies and that appropriate economy-wide policy
responses are needed”
Innovazione e cyber security nel settore finanziario
15BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Innovazione e
cyber security del
settore finanziario:
iniziative e ruolo
delle autorità
Agenda
1
Il CERTFin:
obiettivi,
organizzazione e
governance
2
Il CERTFin: le
attività nel 2017 e
gli sviluppi futuri
3
16BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Il CERTFin: obiettivi, organizzazione e governance
Cosa è il
CERTFin?
La Banca d’Italia e l’Associazione Bancaria Italiana hanno promosso la
realizzazione del CERTFin – CERT Finanziario Italiano, un’iniziativa
cooperativa pubblico-privata finalizzata a innalzare la capacità di gestione
dei rischi cyber degli operatori bancari e finanziari e la cyber resilience del
sistema finanziario italiano.
Chi può
partecipare
(Constituency)
La partecipazione al CERTFin è aperta, su base volontaria, a tutti gli
operatori del settore bancario e finanziario nazionale, come: prestatori di
servizi di pagamento, intermediari bancari e finanziari, imprese di
assicurazione, gestori di infrastrutture di mercato, centri servizi e
provider di servizi tecnologici rilevanti per il settore.
Il 1° gennaio 2017 è stato avviato il CERTFin
17BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Obiettivi del CERTFin
Costituire un Single Point of Contact (PoC) per il settore finanziario
Promuovere la cooperazione pubblico-privato e intersettoriale
Favorire lo scambio informativo su incidenti, minacce, vulnerabilità e lezioni apprese
Svolgere analisi su specifici eventi cyber e valutarne l’impatto per il sistema
Supportare la risposta agli incidenti e il processo di gestione delle crisi (CODISE)
Definire linee guida, metodologie, prassi e strumenti per la gestione del rischio
Accrescere la consapevolezza e la cultura del rischio (formazione/educazione)
Il CERTFin: obiettivi, organizzazione e governance
18BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Comitato Strategico: indirizza le
politiche di conduzione del CERTFin e
le linee di sviluppo del settore a
fronte dell'evoluzione dei fenomeni
fraudolenti e di attacco informatico.
Comitato Direttivo: definisce e
guida la gestione operativa dei servizi
offerti agli aderenti e predispone per
il Comitato strategico la visione di
insieme sui fenomeni in atto, del loro
impatto sul settore e delle azioni di
risposta efficaci a livello cooperativo e
di singola banca.
Direzione Operativa: è
responsabile delle attività operative
del CERTFin, della gestione
segretariale dei Comitati e
amministrativa degli Aderenti.
Team Virtuale: gruppo di Aderenti
che contribuiscono attivamente con
proprie risorse al funzionamento del
CERTFin, sotto il coordinamento della
Direzione Operativa.
Gli organi di governo, i ruoli, le responsabilità e le modalità di coordinamento sono definiti in
una apposita convenzione tra Banca d’Italia, ABI e ABI-Lab sottoscritta a dicembre 2016
Il CERTFin: obiettivi, organizzazione e governance
19BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Organizzazione a campus (modello presente in letteratura – ENISA)
� Il CERT principale svolge una funzione di coordinamento e di principale punto di contatto
con l’esterno
� I soggetti del campus costituiscono un team virtuale e, attraverso il CERT principale,
mettono a disposizione proprie capacità per l’erogazione dei servizi di sicurezza alla
constituency. I soggetti del campus sono distribuiti sul territorio nazionale, sono
indipendenti e possono avere anche un proprio SOC/CERT aziendale
� La partecipazione al team virtuale, le regole di ingaggio e i processi operativi sono definiti
nel Regolamento di adesione al CERTFin
ADESIONI
39 soggetti aderenti al CERTFin9 partecipanti al Team Virtuale
Il CERTFin: obiettivi, organizzazione e governance
20BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Aree di operatività e servizi alla constituency
Financial info sharingand analysis center
(FinISAC)
Cyber knowledge and
security awareness
Centrale operativa di
gestione delle
emergenze cyber
• Rafforzamento delle capacità di prevenzione, preparazione e risposta ai rischi cyber del singolo partecipante al CERTFin
• Rafforzamento della cyber resilience del settore finanziario italiano
Il CERTFin: obiettivi, organizzazione e governance
21BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Network di collaborazioni
Telco Provider
CERT di settore / Entità
europee di cybersecurity
Nordic CERT
NCSC-UK
CERT Israele…
Constituency
Banche e operatori finanziari Team virtuale Assicurazioni e altri operatori
Organizzazioni europee
…attraverso ABI Lab
CERT nazionali di altri Paesi
CERT Austria
CERT Lussemburgo
CERT Polonia
CERT Svizzera…
Istituti nazionali e centri
di competenza
CERT Nazionale/ CERT-PA
MEF
Università
Cyber Advisor
…Forze dell’ordine
Il CERTFin: obiettivi, organizzazione e governance
22BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Innovazione e
cyber security del
settore finanziario:
iniziative e ruolo
delle autorità
Agenda
1
Il CERTFin:
obiettivi,
organizzazione e
governance
2
Il CERTFin: le
attività nel 2017 e
gli sviluppi futuri
3
23BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Il CERTFin: le attività nel 2017 e gli sviluppi futuri
Area di operatività FinISAC – resoconto periodo gennaio – novembre 2017
Sintesi operatività
Inviate circa 830 segnalazioni
Inviate oltre 150 segnalazioni a singole
banche su minacce, possibili compromissioni
o specifiche vulnerabilità sulla rete
Monitorate oltre 70 segnalazioni a singole
organizzazioni su specifiche vulnerabilità
sulla rete
Relazioni con la constituency e con gli stakeholder
35 sessioni di approfondimento con il Team Virtuale
6 sessioni infosharing estese con aderenti CERTFin
1 riunione di progettazione (SAL)
2 cantieri attivi su disegno architettura IT e MISP
Confronto e condivisione principali fenomeni con CNAIPIC, Telco Provider e CERT Nazionale
Tipologie segnalazioni
24BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Area di operatività FinISAC – operatività 2017
Principali fenomeni analizzati dal CERTFin – gennaio/settembre 2017
Frodi informatiche
• Fenomeni di SIM swap e di abilitazione fraudolenta device
• Malware che dispone bonifici
• Oltre 170 IBAN e 87 IP fraudolenti
Attacchi a dati/informazioni
• Compromissione software Ccleaner
• Diversi attacchi massivi in Ucraina
• Minacce Eye Pyramid/ WannaCry
• Malware Petya, Locky, Zeus-Panda
Attacchi che hanno interessato Aderenti
• Campagna malevola Western Union Agent Guidelines via PEC
• Breach ai danni di un gruppo bancario italiano
• Campagne di spear phishing
Principali fenomeni analizzati dal CERTFin – ottobre/novembre 2017
Frodi informatiche
• Fenomeni di CEO Fraud
• Attacchi ai servizi SWIFT
• 30 IBAN e 22 IP fraudolenti
Attacchi a dati e informazioni
• WIFI Key Reinstallation Attacks (KRACK)
• Banking malware (BankBot) veicolati
attraverso Google Play
• Malware Terdot, Silence, Ordinypt
Attacchi alla disponibilità di servizi/asset IT
• Probing & Reconnaissance
• Ransom DDoS
Lessons learned
Frodi informatiche
• Esigenza di rafforzare le azioni di contrasto e prevenzione con i Telcoprovider
Attacchi a dati e informazioni
• Aumento della frequenza del processo di aggiornamento SW
• Rafforzamento training / awareness su tematiche di cybersecurity
Attacchi alla disponibilità
• Monitoraggio continuo di vulnerabilità tecnologiche
• Uso di WAF per contrastare attacchi DDoS
Il CERTFin: le attività nel 2017 e gli sviluppi futuri
25BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
Il CERTFin: le attività nel 2017 e gli sviluppi futuri
1. Cyber strategy and
framework
2. Governance
3. Risk and control
assessment
4. Monitoring
5. Response
6. Recovery
7. Information sharing
8. Continous learning
Le raccomandazioni del G7
(Key fundamental elements) Le iniziative nazionali
National Cybersecurity assessment
framework
Assesment infrastrutture finanziarie
nazionali
Quadro nazionale sicurezza
cibernetica (DPCM 2013-2014,
Nuovo DCPM “Gentiloni”
feb2017)
CERTFin (e le altre
iniziative nazionali)
sono coerenti con
le indicazioni G7?
Il CERTFin è stata citata come iniziativa di successo in diverse occasioni nazionali e internazionali
Banca d’Italia – “Relazione annuale sul 2016 - Considerazioni finali del Governatore”
DIS - “Relazione sulla politica dell'informazione per la sicurezza - 2016”
26BANCA D’ITALIAEUROSISTEMA
TLP-GREEN
I principali fattori di successo
� Supporto delle istituzioni, delle associazioni di categoria e dei vertici aziendali
dei singoli aderenti
� Fiducia tra i partecipanti e disponibilità di alcune organizzazioni ad operare in
maniera innovativa e cooperativa (team virtuale)
� Capacità di erogare servizi di elevata qualità, in sostituzione o a complemento
dei servizi di terze parti (valore aggiunto per ciascun partecipante)
Il CERTFin: le attività nel 2017 e gli sviluppi futuri
Le prospettive a breve
� Ampliare la partecipazione ad altri soggetti finanziari, es. assicurazioni, infrastrutture di mercato
� Consolidare l’avvio e potenziare capacità e portafoglio dei servizi offerti alla constituency