Sicurezza

Il 15 luglio 2010 il Copasir, Comitato Parlamentare per la sicurezza della Repubblica, ha reso noto la sua "Relazione sulla cyber sicurezza e la difesa delle infrastrutture critiche". Il rapporto dedica una sezione ai temi della sicurezza, continuità operativa e Business Continuity in ambito bancario, sezione di seguito riprodotta.

5.1. La protezione delle infrastrutture critiche in Italia

(…)

In linea con quanto indicato dalla Banca Centrale Europea, nel 2007 la Banca d’Italia ha emanato le disposizioni per la continuità operativa per gli operatori finanziari, definiti «processi a rilevanza sistemica», anche in caso di attacco informatico. I nuovi requisiti sono stati applicati con gradualità con l’obiettivo di raggiungere la completa conformità entro 5 anni.

I processi ad alta criticità nel sistema finanziario italiano, se intaccati o manipolati, possono provocare blocchi nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari, sino a colpire l’operatività dell’intera piazza finanziaria nazionale. Si tratta di un complesso strutturato di attività finalizzate all’erogazione dei servizi connessi con i sistemi di regolamento interbancario, compensazione, garanzia e liquidazione degli strumenti finanziari, servizi per l’accesso ai mercati, fino alla erogazione di denaro agli utenti.

Le disposizioni della Banca d’Italia richiedono che le banche o gli istituti finanziari nominino un responsabile per la gestione dei piani di continuità operativa e definiscano gli scenari di rischio rilevanti per la continuità operativa dei processi a rilevanza sistemica, inclusi quelli di attacco informatico, che devono essere documentati e costantemente aggiornati. Le stesse disposizioni richiedono che gli istituti finanziari si dotino di siti di recovery per la gestione di questi processi di rilevanza sistemica, situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti. Sono stati anche previsti dei tempi di ripristino in caso di incidente contenuti nelle quattro ore, in modo da ridurre al minimo la perdita di informazioni. Si richiede infine che gli istituti finanziari coinvolti svolgano delle verifiche con frequenza almeno annuale e che partecipino attivamente ai test di sistema promossi dalle autorità, dai mercati e dalle principali infrastrutture finanziarie.

Il Comitato Parlamentare per la sicurezza della Repubblica (Copasir) ha pubblicato il 15 luglio 2010 la "Relazione sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico" (qui la versione ufficiale in pdf, 692 K, 62 pp.) dal sito http://www.parlamento.it, qui le versioni epub e xhtml a cura di www.ComplianeNet.it). La relazione è stata trasmessa ai presidenti della Camera e del Senato.
Si tratta di documento di circa 60 pagine che illustra lo scenario della sicurezza informatica internazionale e nazionale nel prossimo futuro e si articola come segue:

• premessa di sintesi delle nuove problematiche strategiche riferite ai compiti del Comitato;
• descrizione dell’attività svolta;
• illustrazione delle caratteristiche del fenomeno a livello globale;
• analisi delle ricadute per il nostro paese;
• presentazione delle principali risultanze delle attività di intelligence;
• proposta di interventi per rafforzare la capacità di analisi dei nostri apparati di sicurezza e per potenziare le attività di prevenzione e contrasto alle minacce informatiche.

Nelle sue conclusioni, il rapporto osserva che il "limite principale" dell’approccio nazionale alla cyber security "si riscontra nella dimensione della prevenzione della minaccia e nell’assenza di una pianificazione coordinata e unitaria al livello del vertice politico, per mettere al sicuro il più possibile i sistemi strategici nazionali connessi alla rete informatica".
Per ovviare a tali carenze, il Copasir raccomanda al Governo "di dotarsi di un impianto strategico-organizzativo che assicuri una leadership adeguata e predisponga chiare linee politiche per il contrasto alle minacce e il coordinamento tra gli attori interessati. Tale obiettivo potrebbe essere raggiunto assegnando questi compiti ad una struttura di coordinamento presso il Presidente del Consiglio dei ministri, o presso l’Autorità delegata, organizzata ridefinendo l’attività delle strutture esistenti, con una rimodulazione delle attuali competenze e responsabilità".

Di seguito pubblichiamo l’indice e le raccomandazioni della relazione.

L'Arbitro Bancario Finanziario (ABF) è il nuovo organismo indipendente e imparziale  per la risoluzione stragiudiziale delle controversie tra banca e clientela previsto dall'articolo 128-bis del Testo unico bancario (TUB), introdotto dalla legge sul risparmio (legge n. 262/2005), e reso operativo grazie alle disposizioni di Banca d'Italia del 18 giugno 2009, pubblicate Gazzetta Ufficiale, Serie Generale, del 24 giugno 2009.
L'Arbitro Bancario Finanziario è articolato sul territorio nazionale in tre Collegi: uno a Milano, uno a Roma e uno a Napoli.
Dal 28 aprile 2010 le decisioni dell’ABF vengono rese note sul proprio sito web; proprio dalla lettura di quanto già pubblicato emergono indicazioni di particolare rilievo per quanto riguarda il phishing, la clonazioni di carte di credito e bancomat, la sicurezza ed affidabilità dei sistemi informativi bancari;  la maggior parte delle decisioni assunte sono infatti nettamente a favore dei consumatori (anche se con qualche distinguo tra i vari collegi); va rimarcato inoltre che i reclami analizzati e su cui si è deliberato si riferiscono al quadro normativo antecedente al primo marzo 2010, data di entrata in vigore della Direttiva sui Sistemi di pagamento (PSD - Payment Services Directive); direttiva che intende favorire lo sviluppo di strumenti di pagamento evoluti, alternativi al contante, aumentando le garanzie per il cliente in caso di uso fraudolento degli strumenti stessi.
Il quadro appare chiaro: nell’ambito dei servizi sui sistemi di pagamento le banche devono quindi adottare processi, strumenti e sistemi di controllo non solo adeguati ma "avanzati"; in caso di perdite dovute a truffe elettroniche (ad esempio il phishing) la direttiva infatti "prende le parti" dei consumatori, ragion per cui la banca deve essere in grado di dimostrare non solo di aver adottato "tutte le precauzioni" ma anche di aver istituito "presidi di sicurezza adeguati allo scopo e resi accessibili dall’evoluzione scientifica e tecnologica".

Il 5 febbraio 2010 sul sito di Banca d'Italia è stato pubblicata una "Comunicazione UIF" dal titolo "Schemi rappresentativi di comportamenti anomali ai sensi dell’art. 6, co. 7, lett. B) del d.lgs 231/2007 – frodi informatiche". Di seguito, il testo completo dell'intervento. Il testo è disponibile anche in formato pdf direttamente dal sito della Banca d'Italia.

Schemi rappresentativi di comportamenti anomali ai sensi dell’art. 6, co. 7, lett. B) del d.lgs 231/2007 – frodi informatiche

L’utilizzo sempre più diffuso di servizi on-line in ambito finanziario e commerciale è stato nel tempo accompagnato dal moltiplicarsi di frodi informatiche in diverse forme e modalità.
All’origine di tali attività illecite vi è la capacità da parte di organizzazioni criminali di entrare in possesso delle credenziali di accesso ai servizi on-line di clienti inconsapevoli ovvero di acquisire altre informazioni utili, attraverso modalità diverse (invio massivo di messaggi di posta elettronica, costruzione di falsi siti Internet che riproducono quelli degli intermediari bancari, installazione via internet di software "spia" sui computer dei titolari di rapporti on-line, etc.).
Il progressivo diffondersi di servizi e strumenti di pagamento alternativi favorisce il perfezionamento delle frodi informatiche, con particolare riferimento alle operazioni di phishing (nota 1).
In relazione a quanto precede, gli intermediari che offrono alla propria clientela la possibilità di operare on-line sono invitati ad attivare efficaci sistemi di monitoraggio e prevenzione dell’operatività effettuata al fine di prevenire tali attività illecite.
Per agevolare tali valutazioni, si fornisce -ai sensi dell’art. 6, comma 7, lettera b) del decreto legislativo n. 231 del 2007 – l’allegato schema operativo, elaborato sulla base dell’analisi finanziaria effettuata su operazioni segnalate per il sospetto di condotte illecite.

Il convegno, dal titolo "Migliorare efficacia ed efficienza nella gestione del D.Lgs. 231/01 e della L. 262/05" avrà luogo il 3 febbraio 2010 a Roma dalle ore 14.00 presso Centro Congressi Cavour - Via Cavour, 50/a. La partecipazione è gratuita.

Programma

• 14.00 Registrazione partecipanti 
• 14.30 Introduzione, Roberto Fargion, Chief Operating Officer di AIIA
• Perchè IDS Scheer, Lorenzo Capozza, Direttore Commerciale di IDS Scheer
• La normativa 231, Paolo Casati, Responsabile Integrated Process Auditing di Poste Italiane
• Contesto di riferimento generalizzato BPM Universe & Compliance Approach, Lorenzo Fornai, Responsabile Business Process Management di IDS Scheer 
• Case study sulle fasi progettuali e prodotto 231, Michele Mariella, IA di Lottomatica S.p.A.
• 16.00 Apertura dibattito 
• 16.15 Coffee break 
• 16.30 La normativa 262, Paolo Casati, Responsabile Integrated Process Auditing di Poste Italiane
• Approccio IDS Scheer per la Governance Risk & Compliance, Lorenzo Fornai, Responsabile Business Process Management di IDS Scheer
• Case study "Progetto 262": il sistema per la gestione delle attività di verifica sui controlli 262 presso un primario intermediario finanziario, Vincenzo Carolla, Manager A-CCI e Partner di IDS Scheer
• Un nuovo approccio al modo di fare audit sui sistemi IT, Lorenzo Capozza, Direttore Commerciale di IDS Scheer
• 18.00  Apertura dibattito 
• 18.30  Cocktail
  

Il 27 gennaio 2010 è stata resa nota l’annuale "Rilevazione dello stato dell’automazione del sistema creditizio"  curata da CIPA (Convenzione Interbancaria per i Problemi dell’Automazione) e ABI (Associazione Bancaria Italiana), rilevazione che "fotografa" l’utilizzo dell’Information and Communication Technology (ICT) nelle banche ed i relativi trend evolutivi. I dati si riferiscono al 2008 e sono stati rilevati con un campione doppio:

1. il primo usato per la rilevazione "di gruppo" e costituito dai primi diciotto gruppi bancari per fondi intermediati;
2. il secondo usato per la rilevazione "individuale" e composto da 137 banche, di cui 103 esaminate anche nell’ambito dell’analisi per gruppi.

Vediamo in dettaglio le indicazioni riportate sui temi della "compliance" e della sicurezza ICT.

Nel sito di ISACA Roma è disponibile la traduzioni in italiano di "IT Control Objectives for Basel II" di ISACA dal titolo "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance".

Link

• "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" versione in italiano (pdf, 727 K, 98 pp.)
• "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" versione originale in lingua inglese (pdf, dal sito di ISACA International, solo per gli associati)

La traduzione è stata realizzata da Agatino Grillo , CISA, CISSP, CISM con il patrocinio di ISACA Roma. Agatino Grillo nel 2008 ha anche tradotto "Obiettivi di controllo IT per la Sarbanes-Oxley" sempre di ISACA (liberamente scaricabile da qui, pdf, 904 K, 120 pp ).
Di seguito l’ Executive Summary del documento e l’indice.

ANSSAIF – E’ disponibile il numero 6 di Riflessioni (lettera di informazioni riservata ai soli soci) 

Il convegno dell'Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria (ANSSAIF) ha affrontato tutti i temi più attuali in ambito IT Governance e Security: il rapporto utenti-banche, la sicurezza ICT, la sicurezza fisica, la Business Continuity e le nuove sfide per il 2010.

Si è iniziato con una tavola rotonda dal titolo "L’attenzione del Sistema Bancario alla Sicurezza del Cliente" a cui hanno partecipato l’ing. Gino Navacchia – Cassa di Risparmio di San Marino, l’ing. Sandro Olivari – Banca delle Marche, l’ing. Marcello Milano – Consorzio Operativo Monte Paschi ed il dott. Paolo Campobasso – Unicredit Group.
La tavola rotonda ha affrontato temi quali:

• il rapporto cliente-banca sul tema della sicurezza,
• la percezione del livello di sicurezza che ciascun cliente percepisce rispetto ai servizi offerti,
• l’evoluzione dei sistemi di autenticazione,
• la sicurezza integrata,
• le possibili conseguenze di un blackout prolungato e le eventuali sinergie con le Autorità di Polizia, rapportandoli alle diverse realtà bancarie italiane, dai grandi gruppi alle più piccole banche locali.

Il 20 novembre 2009 ISACA, l’associazione internazionale degli IS Auditor e Security Manager, e l’IT Governance Institute (ITGI) hanno annunciato la pubblicazione della versione definitiva del "Risk IT Framework" un nuovo framework dedicato alla gestione dei rischi informatici in un’ottica di internal audit e regulatory compliance.
Il framework si compone di diversi testi alcuni liberamente scaricabili (in lingua inglese) dal sito di ISACA altri riservati ai soli associati.

• The Risk IT Framework (pdf, 4.6M), accesso libero previo registrazione
• The Risk IT Practitioner Guide (pdf, 5.7M), accesso riservato agli associati
• The Risk IT Practitioner Guide Toolkit (Zip, 195K), accesso riservato agli associati

Traduzione in italiano dei primi cinque capitoli della precedente versione in bozza

Nel febbraio 2009 ho tradotto in italiano i primi cinque capitoli della versione in bozza di IT Risk Framework. La traduzione è liberamente scaricabile in formato pdf, word ed OpenOffice a questo link.

Sul sito http://www.agatinogrillo.it/ è disponibile la traduzione in italiano dello studio "The Economics of Online Crime" scritto dal professor Ross Anderson, docente di Security Engineering presso il Computer Laboratory dell’Università di Cambridge, in Inghilterra, e dai ricercatori Tyler Moore, Richard Clayton.
L’economia della sicurezza è diventata, di recente, una disciplina accademica in forte crescita; questo filone di ricerca ha avuto inizio nel 2001 dall’osservazione che errati o insufficienti incentivi economici possono spiegare il fallimento dei sistemi di sicurezza almeno quanto i fattori tecnici. Spesso infatti i sistemi informativi sono controllati da infrastrutture i cui responsabili hanno interessi "economici" divergenti per cui l’analisi microeconomica e la teoria dei giochi giocano un ruolo importante nello studio dell’affidabilità dei protocolli di sicurezza e delle tecniche di crittoanalisi. L’approccio "economico" non solo fornisce un modo più semplice ed efficace per analizzare i problemi della sicurezza delle informazioni in ambiti quali la privacy, lo spam ed il phishing ma fornisce agli studiosi anche  un quadro di riferimento su temi quali l’affidabilità, i conflitti di interesse ed il crimine.
Questo studio si focalizza in particolare sugli aspetti del crimine online che, dal 2004, si è trasformato in una vera e propria impresa economica.
Il documento contiene anche interessanti osservazioni sul fenomeno del riciclaggio online del denaro sporco e sul ruolo del sistema bancario in relazione al contrasto della criminalità informatica.

• Scarica la traduzione in italiano in versione doc (236 K, 18 pagine)
• Scarica la traduzione in italiano in versione pdf (177 K, 18 pagine)
• Leggi la traduzione in italiano in versione html (da www.agatinogrillo.it)
• Scarica il testo originale in inglese in versione pdf (203 K, 20 pagine)

Di Ross Anderson sono disponibili anche le seguenti traduzioni:

• Ross Anderson: "Chiudere la falla del phishing – frodi e rischi nei sistemi di pagamento non bancari", traduzione italiana
• Ross Anderson, Tyler Moore: quanto tempo un sito di phishing rimane attivo?
• Ross Anderson: Perché la sicurezza delle informazioni è ardua - Una prospettiva economica
• Intervista a Ross Anderson (2 novembre 2005) con aggiornamento (12 giugno 2006)