Innovazione e cyber security nel settore finanziario Il ... · Il CERT principale svolge una...

InsurTECH – l’innovazione tecnologica nel mercato assicurativo, Convegno IVASS, Roma 15 dicembre 2017

BANCA D’ITALIAEUROSISTEMA

Gino Giambelluca

Dipartimento Mercati e sistemi di pagamento

Servizio Supervisione mercati e sistema dei pagamenti

[email protected]

TLP-GREEN

Innovazione e cyber security nel settore finanziario

Il CERT Finanziario Italiano (CERTFin)

2BANCA D’ITALIAEUROSISTEMA

TLP-GREEN

Innovazione e

cyber security nel

settore finanziario:

iniziative e ruolo

delle autorità

Agenda

1

Il CERTFin:

obiettivi,

organizzazione e

governance

2

Il CERTFin: le

attività nel 2017 e

gli sviluppi futuri

3


TLP-GREEN

Innovazione e

cyber security del


iniziative e ruolo

delle autorità

Agenda

1

Il CERTFin:

obiettivi,

organizzazione e

governance

2

Il CERTFin: le


gli sviluppi futuri

3


TLP-GREEN

I temi dell’innovazione digitale e della sicurezza (cyber) sono sempre più presenti

nelle agende delle autorità del settore finanziario per gli impatti sulle finalità di

stabilità finanziaria, efficienza e affidabilità del sistema pagamenti, fiducia nella

moneta


Digital innovation

Advanced Analytics

E-Identity

Fintech

Big Data

Blockchain

Cybersecurity

National Competent Authorities


TLP-GREEN

� Motivazioni economiche degli attaccanti (frodi)

� Alta intensità tecnologica

� Apertura dei servizi su internet

� Forti interdipedenze tra gli attori

…. e il settore finanziario, più di altri, è esposto ai rischi cyber



TLP-GREEN

� 11,000 banks, market infrastructures,

corporates

� 200 countries

Il network SWIFTLe interconnessioni tra le infrastrutture di

mercato europee

Le interdipendenze



TLP-GREEN

� Dalle relazioni bilaterali ai modelli distribuiti e

decentrati della sharing economy

� Nuove forme di intermediazione nella relazione

finanziaria (piattaforme, terze parti, OTT)

� Esigenze più evolute degli utenti (domanda di

“usabilità”)

I fattori di rischio tradizionali sono amplificati dall’innovazione digitale



TLP-GREEN

Nel nuovo contesto della «digital economy» le autorità di settore devono :

� assicurare gli obiettivi di stabilità finanziaria, affidabilità ed efficienza

dei servizi finanziari, tutela degli utenti, senza ostacolare l’innovazione

� tener conto delle complessità e interdipendenze, sistemiche, cross-

border e cross-sector

� ampliare il raggio di osservazione, migliorare la comprensione dei

fenomeni innovativi e adeguare gli strumenti di intervento

Le sfide per le autorità



TLP-GREEN


IndifferenzaDissuasione/Attenzione

Dialogo -Considerazione

Monitoraggio

continuo

� Sand Box� Innovation Hub� Accelerator

Superamento degli strumenti di

intervento tradizionali

L’approccio all’innovazione (fintech)…



TLP-GREEN


Regole di base (es. continuità di servizio)

Ampi princìpi e regole più stringenti

Cooperazione

Analisi dei

fenomeni

…. l’approccio alla cyber security



TLP-GREEN


Alcuni esempi concreti:

� Nuovo e più ampio approccio del regolatore ai temi

della sicurezza (es. PSD2, NIS)

� Principi e standard (soft law): la Cyber Guidance BRI per

le infrastrutture di mercato (2016)

� Il rafforzamento della cooperazione di sistema, pubblico-

privato



TLP-GREEN

Le indicazioni del G7

Ottobre 2016 Pubblicazione dei “Fundamental elements of cyber

security for financial sector” del G7

OBIETTIVO: sviluppare una visione comune e condivisa sui rischi

cyber e rafforzare la cyber security nelle giurisdizioni

rappresentate (G7 + UE) con l’obiettivo della stabilità finanziaria.

Fornire raccomandazioni di sviluppo delle capacità di sicurezza

cibernetica dei paesi del G7



TLP-GREEN


� Building blocks per entità pubbliche e private su cui

disegnare strategie di cyber security…..ma anche

� Linee guida per le autorità nello sviluppo di policy, regole

e interventi di supervisione, anche “across jurisdiction”

1. Cyber strategy and framework

2. Governance

3. Risk and control assessment

4. Monitoring

5. Response

6. Recovery

7. Information sharing

8. Continous learning

Ottobre 2016

I lavori sono continuati nel 2017 sotto presidenza

italiana del G7



TLP-GREEN


“

……..we mandate the G7 Cyber Expert Group (G7 CEG) to develop a set of

high level and non-binding fundamental elements for effective assessment

of cybersecurity by October 2017. Highly aware of the cross-border and

cross-sector relevance of cyber-threats, we task the G7 CEG to advance work

on the third party risks and the coordination with other critical sectors.

Furthermore, we encourage international coordination and knowledge

sharing”

Comunicato del 13 Maggio 2017, G7 Bari

“We recognise that cyber incidents represent a growing threat for

our economies and that appropriate economy-wide policy

responses are needed”



TLP-GREEN

Innovazione e

cyber security del


iniziative e ruolo

delle autorità

Agenda

1

Il CERTFin:

obiettivi,

organizzazione e

governance

2

Il CERTFin: le


gli sviluppi futuri

3


TLP-GREEN

Il CERTFin: obiettivi, organizzazione e governance

Cosa è il

CERTFin?

La Banca d’Italia e l’Associazione Bancaria Italiana hanno promosso la

realizzazione del CERTFin – CERT Finanziario Italiano, un’iniziativa

cooperativa pubblico-privata finalizzata a innalzare la capacità di gestione

dei rischi cyber degli operatori bancari e finanziari e la cyber resilience del

sistema finanziario italiano.

Chi può

partecipare

(Constituency)

La partecipazione al CERTFin è aperta, su base volontaria, a tutti gli

operatori del settore bancario e finanziario nazionale, come: prestatori di

servizi di pagamento, intermediari bancari e finanziari, imprese di

assicurazione, gestori di infrastrutture di mercato, centri servizi e

provider di servizi tecnologici rilevanti per il settore.

Il 1° gennaio 2017 è stato avviato il CERTFin


TLP-GREEN

Obiettivi del CERTFin

Costituire un Single Point of Contact (PoC) per il settore finanziario

Promuovere la cooperazione pubblico-privato e intersettoriale

Favorire lo scambio informativo su incidenti, minacce, vulnerabilità e lezioni apprese

Svolgere analisi su specifici eventi cyber e valutarne l’impatto per il sistema

Supportare la risposta agli incidenti e il processo di gestione delle crisi (CODISE)

Definire linee guida, metodologie, prassi e strumenti per la gestione del rischio

Accrescere la consapevolezza e la cultura del rischio (formazione/educazione)



TLP-GREEN

Comitato Strategico: indirizza le

politiche di conduzione del CERTFin e

le linee di sviluppo del settore a

fronte dell'evoluzione dei fenomeni

fraudolenti e di attacco informatico.

Comitato Direttivo: definisce e

guida la gestione operativa dei servizi

offerti agli aderenti e predispone per

il Comitato strategico la visione di

insieme sui fenomeni in atto, del loro

impatto sul settore e delle azioni di

risposta efficaci a livello cooperativo e

di singola banca.

Direzione Operativa: è

responsabile delle attività operative

del CERTFin, della gestione

segretariale dei Comitati e

amministrativa degli Aderenti.

Team Virtuale: gruppo di Aderenti

che contribuiscono attivamente con

proprie risorse al funzionamento del

CERTFin, sotto il coordinamento della

Direzione Operativa.

Gli organi di governo, i ruoli, le responsabilità e le modalità di coordinamento sono definiti in

una apposita convenzione tra Banca d’Italia, ABI e ABI-Lab sottoscritta a dicembre 2016



TLP-GREEN

Organizzazione a campus (modello presente in letteratura – ENISA)

� Il CERT principale svolge una funzione di coordinamento e di principale punto di contatto

con l’esterno

� I soggetti del campus costituiscono un team virtuale e, attraverso il CERT principale,

mettono a disposizione proprie capacità per l’erogazione dei servizi di sicurezza alla

constituency. I soggetti del campus sono distribuiti sul territorio nazionale, sono

indipendenti e possono avere anche un proprio SOC/CERT aziendale

� La partecipazione al team virtuale, le regole di ingaggio e i processi operativi sono definiti

nel Regolamento di adesione al CERTFin

ADESIONI

39 soggetti aderenti al CERTFin9 partecipanti al Team Virtuale



TLP-GREEN

Aree di operatività e servizi alla constituency

Financial info sharingand analysis center

(FinISAC)

Cyber knowledge and

security awareness

Centrale operativa di

gestione delle

emergenze cyber

• Rafforzamento delle capacità di prevenzione, preparazione e risposta ai rischi cyber del singolo partecipante al CERTFin

• Rafforzamento della cyber resilience del settore finanziario italiano



TLP-GREEN

Network di collaborazioni

Telco Provider

CERT di settore / Entità

europee di cybersecurity

Nordic CERT

NCSC-UK

CERT Israele…

Constituency

Banche e operatori finanziari Team virtuale Assicurazioni e altri operatori

Organizzazioni europee

…attraverso ABI Lab

CERT nazionali di altri Paesi

CERT Austria

CERT Lussemburgo

CERT Polonia

CERT Svizzera…

Istituti nazionali e centri

di competenza

CERT Nazionale/ CERT-PA

MEF

Università

Cyber Advisor

…Forze dell’ordine



TLP-GREEN

Innovazione e

cyber security del


iniziative e ruolo

delle autorità

Agenda

1

Il CERTFin:

obiettivi,

organizzazione e

governance

2

Il CERTFin: le


gli sviluppi futuri

3


TLP-GREEN

Il CERTFin: le attività nel 2017 e gli sviluppi futuri

Area di operatività FinISAC – resoconto periodo gennaio – novembre 2017

Sintesi operatività

Inviate circa 830 segnalazioni

Inviate oltre 150 segnalazioni a singole

banche su minacce, possibili compromissioni

o specifiche vulnerabilità sulla rete

Monitorate oltre 70 segnalazioni a singole

organizzazioni su specifiche vulnerabilità

sulla rete

Relazioni con la constituency e con gli stakeholder

35 sessioni di approfondimento con il Team Virtuale

6 sessioni infosharing estese con aderenti CERTFin

1 riunione di progettazione (SAL)

2 cantieri attivi su disegno architettura IT e MISP

Confronto e condivisione principali fenomeni con CNAIPIC, Telco Provider e CERT Nazionale

Tipologie segnalazioni


TLP-GREEN

Area di operatività FinISAC – operatività 2017

Principali fenomeni analizzati dal CERTFin – gennaio/settembre 2017

Frodi informatiche

• Fenomeni di SIM swap e di abilitazione fraudolenta device

• Malware che dispone bonifici

• Oltre 170 IBAN e 87 IP fraudolenti

Attacchi a dati/informazioni

• Compromissione software Ccleaner

• Diversi attacchi massivi in Ucraina

• Minacce Eye Pyramid/ WannaCry

• Malware Petya, Locky, Zeus-Panda

Attacchi che hanno interessato Aderenti

• Campagna malevola Western Union Agent Guidelines via PEC

• Breach ai danni di un gruppo bancario italiano

• Campagne di spear phishing

Principali fenomeni analizzati dal CERTFin – ottobre/novembre 2017

Frodi informatiche

• Fenomeni di CEO Fraud

• Attacchi ai servizi SWIFT

• 30 IBAN e 22 IP fraudolenti

Attacchi a dati e informazioni

• WIFI Key Reinstallation Attacks (KRACK)

• Banking malware (BankBot) veicolati

attraverso Google Play

• Malware Terdot, Silence, Ordinypt

Attacchi alla disponibilità di servizi/asset IT

• Probing & Reconnaissance

• Ransom DDoS

Lessons learned

Frodi informatiche

• Esigenza di rafforzare le azioni di contrasto e prevenzione con i Telcoprovider

Attacchi a dati e informazioni

• Aumento della frequenza del processo di aggiornamento SW

• Rafforzamento training / awareness su tematiche di cybersecurity

Attacchi alla disponibilità

• Monitoraggio continuo di vulnerabilità tecnologiche

• Uso di WAF per contrastare attacchi DDoS



TLP-GREEN


1. Cyber strategy and

framework

2. Governance

3. Risk and control

assessment

4. Monitoring

5. Response

6. Recovery

7. Information sharing

8. Continous learning

Le raccomandazioni del G7

(Key fundamental elements) Le iniziative nazionali

National Cybersecurity assessment

framework

Assesment infrastrutture finanziarie

nazionali

Quadro nazionale sicurezza

cibernetica (DPCM 2013-2014,

Nuovo DCPM “Gentiloni”

feb2017)

CERTFin (e le altre

iniziative nazionali)

sono coerenti con

le indicazioni G7?

Il CERTFin è stata citata come iniziativa di successo in diverse occasioni nazionali e internazionali

Banca d’Italia – “Relazione annuale sul 2016 - Considerazioni finali del Governatore”

DIS - “Relazione sulla politica dell'informazione per la sicurezza - 2016”


TLP-GREEN

I principali fattori di successo

� Supporto delle istituzioni, delle associazioni di categoria e dei vertici aziendali

dei singoli aderenti

� Fiducia tra i partecipanti e disponibilità di alcune organizzazioni ad operare in

maniera innovativa e cooperativa (team virtuale)

� Capacità di erogare servizi di elevata qualità, in sostituzione o a complemento

dei servizi di terze parti (valore aggiunto per ciascun partecipante)


Le prospettive a breve

� Ampliare la partecipazione ad altri soggetti finanziari, es. assicurazioni, infrastrutture di mercato

� Consolidare l’avvio e potenziare capacità e portafoglio dei servizi offerti alla constituency

Innovazione e cyber security nel settore finanziario Il ... · Il CERT principale svolge una...

Documents

Transcript of Innovazione e cyber security nel settore finanziario Il ... · Il CERT principale svolge una...