Il cert finanziario italiano (CERTFin): rafforzare la cyber resilience di settore attraverso la cooperazione pubblico-privata
A cura di Mario Trinchera
In tutto il mondo le minacce alla cybersecurity, e di conseguenza le realtà e le soluzioni per contrastarle, sono in forte trasformazione. Cresce l’interoperabilità dei servizi essenziali e aumentano esponenzialmente i dispositivi connessi alle reti.
Partendo da questo dato di fatto, la Direttiva UE 2016/1148 (Direttiva NIS) ha evidenziato la necessità di rafforzare la collaborazione tra i diversi Paesi e tra i diversi settori. Inoltre, a partire dal decreto di recepimento della Direttiva (d.lgs. 18 maggio 2018, n.65), sono in corso di definizione e attuazione diverse misure di potenziamento dell’architettura nazionale di sicurezza informatica. L’intervento normativo più recente è la legge di conversione del decreto Cybersecurity (l. 18 novembre 2018, n.133), che indica “disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”.
In tale contesto il settore finanziario è di fatto particolarmente colpito dagli attacchi di tipo cyber, nonostante l’adozione massiva di soluzioni tecnologiche che svolge un ruolo importante nella difesa delle nostre finanze. In Italia, con l’obiettivo di aumentare la capacità di gestione dei rischi cyber dei diversi operatori, è stato istituito nel 2017 il CERTFin (CERT Finanziario Italiano), che rappresenta oggi un punto di contatto privilegiato del settore finanziario con le Istituzioni competenti per la protezione cibernetica e la sicurezza informatica. Il CERTFin fornisce supporto operativo e strategico alle attività di prevenzione e risposta agli attacchi informatici e agli incidenti di sicurezza.
È un’iniziativa pubblico-privata governata dalla Banca d’Italia e dall’Associazione Bancaria Italiana (ABI) e operata da ABI Lab, il Centro di Ricerca e Innovazione per la Banca promosso dall’ABI in un’ottica di collaborazione tra banche, aziende e Istituzioni. La partecipazione al CERTFin è aperta e su base volontaria e conta ad oggi 68 aderenti (istituti bancari, compagnie assicuratrici, infrastrutture di mercato e centri servizi).
Le attività del CERTFin si dividono in diversi filoni operativi. Tra i principali, vi è lo scambio tempestivo di informazioni tra gli operatori del settore su potenziali minacce informatiche (Financial Info Sharing and Analysis center – FinISAC): il CERTFin seleziona gli indicatori di compromissione relativi a potenziali minacce e gli indicatori di frode di maggiore interesse per il settore finanziario, filtrando le informazioni ricevute da molteplici fonti e condividendole con gli aderenti attraverso una piattaforma open denominata MISP (Malware Info-Sharing Platform). Nell’arco dei sette anni di operatività, il CERTFin ha analizzato migliaia di fenomeni e ha raccolto oltre 50 milioni di indicatori specifici per il settore finanziario.
Un altro ambito di attività consiste in un vero e proprio osservatorio di ricerca (Cyber Knowledge and Security Awareness - CyKSA): rappresenta un’occasione di confronto su diversi argomenti, attraverso incontri periodici partecipati da oltre 100 esperti delle realtà aderenti che si aggiornano su minacce, modelli di attacco, soluzioni tecnologiche ma anche sulle normative di riferimento per il settore. Oltre agli aderenti, all’osservatorio partecipano occasionalmente soggetti esterni di particolare rilievo, per favorire una discussione più approfondita su specifici fenomeni (es. Polizia Postale, Telco Providers, rappresentanti dei circuiti di pagamento internazionali, ecc.).
Il CERTFin svolge anche attività di Threat Intelligence attraverso una propria piattaforma che analizza fonti aperte e chiuse per intercettare tempestivamente le minacce emergenti e approfondirle indipendentemente dal fatto che il loro target sia un’azienda o un cliente. I risultati di queste analisi confluiscono nel report semestrale “Threat Landscape Scenario for the italian financial sector” che fornisce una panoramica sulle principali minacce che il settore dovrà affrontare nei mesi successivi.
Un altro filone di attività riguarda le esercitazioni cyber, organizzate dal CERTFin per consentire ai soggetti aderenti di verificare l’efficacia dei propri processi difensivi. Le esercitazioni sono prevalentemente di tipo Table Top, simulazioni che ripercorrono con ritmi serrati uno scenario ben dettagliato definito in base alle minacce recentemente osservate.
Inoltre, accrescere l’awareness delle persone sui rischi che possono provenire dall’utilizzo dei servizi finanziari attraverso la rete è un’altra priorità del CERTFin, che ha realizzato con successo, fin dal 2019, diverse campagne di sensibilizzazione per il settore. Il CERTFin negli ultimi anni ha promosso campagne di cybersecurity awareness che hanno coinvolto diverse banche e istituzioni (I Navigati, CyberSicuri), unite in uno sforzo comune per rendere ancora più sicure le transazioni online e ridurre l’impatto del “fattore umano” sulle frodi informatiche.
Infine, il CERTFin partecipa a diverse iniziative internazionali, prendendo parte stabilmente a numerosi tavoli di lavoro guidati dalle maggiori realtà europee in materia di sicurezza e protezione dei sistemi di pagamento (Enisa, Europol, FS-ISAC, G7-CEG, EBF CSWG, EPC, Swift, …), ed è coinvolto attivamente in numerosi progetti finanziati dall’Unione Europea.
In conclusione, in un contesto come quello attuale in cui il crimine informatico sta diventando sempre più sofisticato, la capacità di agire in maniera strutturata e coordinata, facendo in modo che la cultura della sicurezza vada oltre i confini delle singole organizzazioni, può costituire un fattore determinante.