Vai al contenuto principale

Menu

Entra in banca
Entra in banca
Homepage / Sicurezza / Settembre 2024 | Cyber Newsletter /

BG Cyber Newsletter

Settembre 2024

Tutela la tua sicurezza e rimani sempre aggiornato leggendo il numero di questo mese!

Terze parti sì, ma in sicurezza

Quali sono i rischi e come gestirli

In un contesto in cui le interazioni con terze parti sono sempre più frequenti, è essenziale comprendere e mitigare i rischi associati.

Il settore bancario, a fronte dell’incremento degli attacchi cyber, è stato destinatario di numerose previsioni normative che mirano a garantire una gestione adeguata dei rischi legati all'outsourcing e delle relazioni con i fornitori di servizi critici, soprattutto relativamente alla sicurezza informatica e alla protezione dei dati.

Come gestire fornitori e terze parti in sicurezza?

Prima di tutto, è importante identificare quelli che sono i fornitori critici ed effettuare la valutazione dei potenziali rischi associati, considerando affidabilità, sicurezza e continuità operativa delle terze parti.

Preventivamente, vanno definiti accordi e clausole con a oggetto le misure di sicurezza che i fornitori devono adottare. Successivamente, sono da monitorare costantemente la performance e la conformità a tali requisiti, vanno definiti dei piani comuni di continuità operativa in caso di incidenti e ci si deve accertare che sia stata fatta sufficiente awareness sul tema.

Quali sono i principali rischi per le banche?

In mancanza di ruoli e responsabilità chiaramente definiti, di requisiti minimi di sicurezza che ci si aspetta vengano rispettati, e di modalità comuni per la gestione degli incidenti, si rischia di trovarsi impossibilitati a garantire continuità operativa in caso di attacchi cyber, con tutte le conseguenze economiche, legali e reputazionali che ne derivano.

Le previsioni normative.

Nel settore bancario, la sicurezza delle terze parti critiche è regolata da diverse normative e linee guida, sia a livello europeo che nazionale.Tra le normative europee troviamo il Regolamento EBA, la Direttiva PSD2 e il Regolamento DORA.

Il regolamento DORA

Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea che stabilisce gli standard tecnici che le entità finanziarie e i loro fornitori critici devono implementare nei propri sistemi ICT.

Nel rapporto con terze parti, sono fondamentali:

  • La valutazione dei rischi

  • I piani di continuità operativa

  • Gli accordi e le clausole di sicurezza

  • Il monitoraggio e la formazione

Lo sapevi?

Secondo il rapporto dell’ENISA “Good Practices for supply chain cybersecurity”, pubblicato nel 2023, tra il 39% e il 62% delle organizzazioni intervistate sono state colpite da un incidente informatico che è partito dai fornitori.

Inoltre, nel 66% dei casi, i fornitori non sapevano, o non sono stati trasparenti, riguardo alle modalità con cui sono stati compromessi.

L'attacco ransomware

Come riportato da Milano Finanza, nel gennaio del 2023, un’importante società fornitrice di software per il trading di titoli e per la gestione delle Borse sarebbe stata vittima di un attacco informatico.

L’attacco avrebbe messo fuori uso i server che si occupano di derivati compensati, scatenando problemi di reporting e di trading sia per i broker che per i servizi di elaborazione dei rivali, intaccando in sostanza le operazioni su margin call, le valutazioni associate ai portafogli e la segnalazione normativa di grandi posizioni di mercato.

In seguito all’episodio, si sarebbe proceduto alla disconnessione di tutti i server interessati, dando luogo a notevoli disagi per le società cliente.

 

Link alla notizia: Ion Group sotto attacco hacker. Colpita la piattaforma di trading di derivati del gruppo di Pignataro - MilanoFinanza News

La vulnerabilità zero-day

Come riportato dall’editoriale The Verge, a maggio 2023, sarebbe stata sfruttata una vulnerabilità zero-day di un tool di trasferimento di file aziendali particolarmente impiegato.

Nonostante dovrebbe essere stata rapidamente rilasciata una patch, i danni pare siano stati estesi. L'attacco avrebbe portato al furto di dati da organizzazioni governative, pubbliche e aziendali in tutto il mondo.

Tale violazione e altri attacchi di alto profilo avrebbero portato la Securities and Exchange Commission (SEC) a richiedere alle aziende pubbliche di emettere comunicazioni entro quattro giorni dalla scoperta di un incidente di cybersicurezza, tranne quando la divulgazione potrebbe costituire un rischio per la sicurezza nazionale o la sicurezza pubblica.

Link alla notizia: MOVEit cyberattacks: keeping tabs on the biggest data theft of 2023 - The Verge

La gestione non appropriata dei rischi mette a repentaglio la fiducia di clienti e stakeholders.

Consigli utili e best practices

  • Assicurarsi che i contratti con le terze parti includano clausole chiare sulla protezione dei dati, responsabilità in caso di violazioni e requisiti di sicurezza.

  • Concedere alle terze parti solo l'accesso ai dati e ai sistemi strettamente necessari per svolgere le loro funzioni.

  • Assicurarsi che i dati trasferiti tra la banca e le terze parti siano crittografati sia in transito che a riposo.

Per saperne di più

Fonti