La gestione della sicurezza nel sistema dei pagamenti

Transcript

1 La gestione della sicurezza nel sistema dei pagamenti Ministero dell Economia e delle Finanze GIPAF Roma, 31 Maggio 2017 Monica Pellegrino CERT Finanziario Italiano TLP GREEN

2 Fonti:*ABI Lab, Scenario e trend del mercato ICT per il settore bancario, 2017 ** Eurostat 2015, Digital Single Market Strategy, 2015; ***ABI, Comunicato Stampa 6 aprile 2017; ****Forrester Research, EBF Blueprint, 2015 Un contesto dinamico in cui si inseriscono le strategie di cybersecurity delle banche 31/05/2017 CERT Finanziario Italiano TLP GREEN 2 Società e mercati dipendenti dal cyberspace Per il 70% delle banche i progetti di Mobile e Digital Payments sono tra le prime dieci priorità di investimento, ricerca e innovazione per il 2017* L abilitazione del Digital Single Market può arricchire il PIL europeo di +415 miliardi di euro** Incremento dei servizi bancari remoti Nel 2016 incremento superiore al 30% dei clienti che operano in mobilità*** 214 milioni di persone in Europa utilizzeranno servizi di Mobile Banking entro il 2018**** Nuove normative con impatti sulla sicurezza GDPR Linee Guida Cyber resilience Direttiva NIS Evoluzione e specializzazione delle minacce CEO Fraud Instant phishing Data Breach Avere visibilità del dimensionamento delle frodi informatiche e delle relative azioni di contrasto e prevenzione consente alla singola banca, al settore e agli stakeholder esterni di avere una fotografia del fenomeno e di poterne così individuare margini di miglioramento e punti di forza

3 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017, *Campione: 28 rispondenti; **19 rispondenti; ***15 rispondenti Non si arresta la spesa in banca per la sicurezza dei canali remoti Evoluzione del livello medio di spesa nei prossimi 12 mesi* Nessuna realtà ha indicato una diminuzione della spesa per i prossimi 12 mesi ESIGENZE ALLA BASE DEGLI INVESTIMENTI**: 1. Adeguamento alla normativa (37%) 2. Evoluzione del servizio offerto alla clientela anche in ottica di business (33,4%) 3. Iniziative della banca volte a innalzare i livelli di sicurezza dei servizi (29,6%) Mediamente il 25,7% del budget sicurezza IT è dedicato alla prevenzione/contrasto delle frodi*** 31/05/2017 CERT Finanziario Italiano TLP GREEN 3

4 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017 (Campione: * 28 rispondenti; ** 27 rispondenti) Il dimensionamento delle frodi via Internet e Mobile La rilevazione organizzazioni rispondenti, tra banche, gruppi e outsourcer, rappresentativi dell 89% del settore in termini di dipendenti Periodo temporale di analisi: dal 1 Gennaio al 31 Dicembre 2016, dati raccolti in maniera distinta per segmento Retail (circa 83% degli account attivi) e Corporate (circa 2,9 milioni account attivi) Non sono considerate nell analisi le frodi su carte Banche che hanno rilevato casi di frode identitarie analisi Retail e Corporate SEGMENTO RETAIL* SEGMENTO CORPORATE** Delle banche che hanno detto sì: Il 59,1% ha rilevato casi di furto/ falsificazione di identità cartacea Il 95,5% ha registrato casi di furto di credenziali digitali Il 45,5% segnala casi di compromissione della casella di posta elettronica dell utente Sì No Sì No Delle banche che hanno detto sì : TUTTE hanno registrato casi di furto di credenziali digitali Il 5% ha segnalato casi di furto/ falsificazione di identità cartacea Il 65% dichiara episodi di compromissione della casella di posta elettronica dell utente TLP GREEN 26/05/ /05/2017 CERT Finanziario Italiano 3

5 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017 (Campione:26 rispondenti) Furto di credenziali e danno economico Clientela Retail Percentuale di clienti attivi Retail che hanno subito un furto di credenziali Trend a campione costante 14 rispondenti Percentuale di clienti attivi Retail che hanno perso denaro Trend a campione costante 14 rispondenti TLP GREEN 26/05/ /05/2017 CERT Finanziario Italiano 5

6 Il percorso di realizzazione di una transazione fraudolenta L adozione di definizioni chiare e condivise è un elemento fondamentale per garantire omogeneità e coerenza nella rilevazione Le definizioni potranno essere aggiornate alla luce dei lavori in ambito PSD2 Frodi rilevate e bloccate prima che abbiano avuto un impatto economico sul conto corrente della vittima. Transazioni fraudolente bloccate Importi bloccati Transazioni fraudolente recuperate Importi recuperati Frodi andate a buon fine, per le quali il cliente ha subito un danno economico, anche parziale (senza considerare eventuali rimborsi). Transazioni fraudolente effettive Perdite nette ACCESSO ALLA PIATTAFORMA DI INTERNET BANKING DISPOSIZIONE DELLA TRANSAZIONE MOVIMENTAZIONE DI DENARO Tipologie di transazioni prese in esame: Bonifico (Italia, Estero) Ricarica carta prepagata Ricarica telefonica Frodi che hanno comportato una movimentazione di denaro dal conto corrente della vittima ma che per le quali è stato possibile recuperare l intero importo transato. t 26/05/ /05/2017 CERT Finanziario Italiano TLP GREEN 6

7 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017 *Ripartizione percentuale sul totale di transazioni anomale fornite da 26 rispondenti Scenario complessivo transazioni anomale Numero di eventi e importi Analisi su tutta la clientela Ripartizione percentuale delle tipologie di transazioni anomale rilevate (bloccate, recuperate ed effettive) analisi sul numero di accadimenti* Ripartizione percentuale delle tipologie di transazioni anomale rilevate (bloccate, recuperate ed effettive) analisi sugli importi transati* Sono i bonifici verso altra banca italiana lo strumento di pagamento prevalente nei casi di frode «andate a buon fine» in danno sia alla clientela Retail (57,5%) che Corporate (61,9%), mentre sono in calo mediamente le operazioni di ricarica di carte prepagate Efficacia molto elevata delle azioni di contrasto e intervento per il blocco/recupero delle transazioni fraudolente, che evidenzia comunque l importanza della cooperazione operativa per fermare tempestivamente la movimentazione di denaro 26/05/ /05/2017 CERT Finanziario Italiano TLP GREEN 7

8 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017 (*Campione: 22 rispondenti) Scenario complessivo transazioni anomale Confronto Retail e Corporate 31/05/2017 CERT Finanziario Italiano TLP GREEN 8 Transazioni anomale (bloccate, recuperate ed effettive) confronto Retail e Corporate per numero accadimenti e importo economico* Transazioni fraudolente effettive confronto Retail e Corporate per numero accadimenti e importo economico* Verso il segmento Retail si registra la numerosità più elevata di attacchi Con riferimento, invece, agli importi associati alle transazioni fraudolente, è la clientela Corporate cui si associano le perdite maggiori, seppur in diminuzione rispetto al 2015 Permane una certa differenziazione nelle modalità e nelle finalità di un attacco rispetto alla clientela

9 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017 *Ripartizione percentuale sul totale di transazioni fornite da un campione costante di 17 rispondenti) Trend transazioni fraudolente effettive Confronto segmenti di clientela Rispetto al 2015, nel 2016 si registra una consistente diminuzione del totale delle transazioni fraudolente effettive, in termini sia di numero di accadimenti (-64,5%) sia di importi (-45,7%) Totale transazioni fraudolente effettive ripartizione percentuale numero accadimenti tra Retail e Corporate Trend standardizzato * Totale transazioni fraudolente effettive ripartizione percentuale importo transato tra Retail e Corporate Trend standardizzato * 26/05/ /05/2017 CERT Finanziario Italiano TLP GREEN 9

10 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile Banking, 2017 *Ripartizione percentuale sul totale di transazioni fornite da un campione costante di 17 rispondenti) Trend transazioni fraudolente effettive Clientela Retail e Corporate Rispetto al 2015, nel 2016 si registra una diminuzione complessiva per il campione di analisi del valore delle perdite nette, più in dettaglio di -16,3% per il comparto Retail e di -57,2% per il segmento Corporate Valore standardizzato degli importi delle transazioni fraudolente effettive in danno alla clientela Retail Trend * Valore standardizzato degli importi delle transazioni fraudolente effettive in danno alla clientela Corporate Trend * 26/05/ /05/2017 CERT Finanziario Italiano TLP GREEN 10

11 Fonte: CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Frodi Internet e Mobile. (Campione:*27 rispondenti; **25 rispondenti) Le azioni di sensibilizzazione della clientela Attività informativa verso la clientela Retail* L informativa al pubblico tramite portale Internet continua a rappresentare il canale più diffuso Consolidato è l utilizzo di un secondo canale di comunicazione selezionabile dall utente, che nella maggior parte dei casi è costituito dall SMS: si riceve dalla banca un alert in fase di accesso all Internet banking (37%), autorizzazione (44,4%) o per notifica di un operazione online (85,2%) Attività informativa verso la clientela Corporate** Non si registrano particolari differenze tra i comparti Retail e Corporate Circa il secondo canale di comunicazione, anche per le imprese è prevalente la fase di notifica (76,9%) 26/05/ /05/2017 CERT Finanziario Italiano TLP GREEN 11

12 31/05/2017 CERT Finanziario Italiano TLP GREEN 12 La cooperazione nel settore bancario italiano Cooperazione già forte tra le banche sui temi di sicurezza informatica e frode nell ambito di network di scambio informativo Partecipazione a community e network per aggiornamenti e segnalazioni sul cybercrime Esigenza crescente negli ultimi mesi, da parte del mercato e dell Autorità, rispetto a un presidio sempre più strutturato sui temi cyber Necessità di rafforzamento delle azioni di coordinamento, comunicazione e risposta del settore in caso di emergenza cyber, in linea con la strategia nazionale e la Direttiva NIS Iniziativa cooperativa pubblico-privata, aperta a tutti gli operatori bancari e finanziari italiani, finalizzata a innalzare la capacità di gestione dei rischi cyber e la cyber resilience del settore. Attivato a partire dal 1 gennaio 2017

13 Perché un CERT Finanziario? Il CERT Finanziario Italiano: risponde all esigenza di innalzare la capacità del settore di gestione dei rischi cyber e di coordinamento in caso di attacchi è un opportunità di coordinamento centrale delle attività di contrasto e prevenzione per una strategia di cybersecurity di settore sempre più efficace DIFFONDERE LE COMPETENZE E FARE AWARENESS Approfondire temi di sicurezza informatica e normative di riferimento Sviluppare campagne di sensibilizzazione sulla cybersecurity Svolgere esercitazioni e simulazioni su scenari cyber SVILUPPARE ULTERIORMENTE UNA LOGICA DI ISAC ITALIANO Incrementare l infosharing su minacce/ vulnerabilità/ incidenti Svolgere analisi evolutive delle minacce cyber Studiare il dimensionamento e l evoluzione dei fenomeni COORDINARE LE EMERGENZE E GLI INCIDENTI INFORMATICI Svolgere attività di coordinamento centrale in caso di incidente Supportare operativamente le strutture di presidio delle singole realtà Definire e aggiornare a livello di settore lessons learned e strategie di risposta 31/05/2017 CERT Finanziario Italiano TLP GREEN 13

14 CERTFin CERT Finanziario Italiano Overview delle attività FILONI OPERATIVI FINANCIAL INFO SHARING AND ANALYSIS CENTER (FinISAC) Scambio sistematico di informazioni su minacce/ vulnerabilità/ incidenti, aggiornamento rispetto allo stato e all evoluzione della minaccia cyber e delle possibili contromisure da prevedere (tecniche e metodiche di attacco, tecnologie di protezione, etc.), report periodici di aggiornamento su frodi e attacchi informatici CYBER KNOWLEDGE AND SECURITY AWARENESS Approfondimenti sulle normative di riferimento in materia di sicurezza e rischio informatico, realizzazione di survey e indagini statistiche, definizione di campagne di sensibilizzazione sulle tematiche di cyber security, partecipazione a esercitazioni e simulazioni tra i principali attori del settore bancario e delle entità coinvolte (istituzioni locali, enti internazionali, etc.) CENTRALE OPERATIVA DI GESTIONE DELLE EMERGENZE CYBER Analisi e coordinamento in caso di incidente/artefatto/ vulnerabilità di sicurezza, in affiancamento alle capacità interne del soggetto Aderente di natura tecnologica e/o di processo, aggiornamento e condivisione a livello di settore delle strategie di risposta più appropriate, maturate sulla base delle lessons learned apprese dagli altri Aderenti Dicono di noi: Il CERT Finanziario è citato nel documento Relazione sulla politica dell'informazione per la sicurezza prodotto dal DIS e reperibile al seguente link: ADESIONI 35 soggetti aderenti al CERTFin 9 partecipanti al Team Virtuale 31/05/2017 CERT Finanziario Italiano TLP GREEN 14

15 Le collaborazioni operative del CERTFin a livello nazionale 31/05/2017 CERT Finanziario Italiano TLP GREEN 15 CERT NAZIONALE POLIZIA POSTALE E DELLE COMUNICAZIONI La collaborazione operativa oramai consolidata con il CERT nazionale si caratterizza per le seguenti attività: lo scambio reciproco e tempestivo di segnalazioni di allarme, notizie, avvisi relativi a minacce, attacchi, vulnerabilità, meccanismi di frode e incidenti informatici la condivisione di informazioni su botnet di interesse per le banche la cooperazione in caso di incidenti informatici la sensibilizzazione di cittadini e imprese nella materia della sicurezza informatica la realizzazione di iniziative di formazione e l organizzazione di eventi sul tema della sicurezza informatica la partecipazione a progetti di ricerca europea e ai tavoli di lavoro tecnici focalizzati sui temi di interesse comune La collaborazione con la Polizia Postale e delle Comunicazioni è finalizzata a: scambiarsi informazioni su eventi o allarmi legati a minacce specifiche per il settore bancario informare in merito a studi, analisi aggregate e ricerche in materia di frodi e attacchi informatici, al fine di accrescere le conoscenze e le competenze in ambito partecipare a tavoli tecnici di approfondimento collaborare a iniziative di comunicazione partecipare congiuntamente a progetti di ricerca in materia di sicurezza informatica e prevenzione frodi Piattaforma operativa e utilizzata dalle banche italiane Attraverso la collaborazione con il CERT nazionale e Forze dell ordine, sarà sempre più importante strutturare modelli di cooperazione con tutti i soggetti che offrono servizi essenziali

16 Le collaborazioni operative del CERTFin a livello internazionale 31/05/2017 CERT Finanziario Italiano TLP GREEN 16 NETWORK E TAVOLI DI LAVORO Cybersecurity Working Group (EBF) FI-ISAC Financial Institutions Information Sharing and Analysis Centre (ENISA) PSSG Payment Security Support Group (EPC) CFPF Card Fraud Prevention Forum (EPC) European Cybercrime Center (Europol) FS-ISAC Financial Services Information Sharing and Analysis Center Associazioni bancarie, banche e EC3 Banche, Forze dell Ordine, associazioni bancarie, CERT, ENISA e EC3 Associazioni bancarie, banche e EC3 Forze di polizia in collaborazione con le banche per i temi di interesse comune Operatori bancari e finanziari internazionali SVILUPPO: In corso dialogo con altri CERT (NO, DK) per avviare nuove collaborazioni PROGETTI DI RICERCA (IN CORSO) Piattaforma IT e modello di partnership tra banche e polizie europee per lo scambio di informazioni relative a frodi e attacchi informatici In corso la partecipazione ad altre call di finanziamento su progetti focalizzati sulla cybersecurity

17 In sintesi L insieme delle attività di contrasto e prevenzione delle frodi posta in essere dalle banche ha permesso anche nel 2016 di contenere i tentativi di attacco in maniera efficace ma le modalità adottate dai frodatori sono in continua evoluzione, di pari passo con l innovazione dei modelli di business e del cambiamento delle abitudini della clientela nel contesto digitale There are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns the ones we don't know we don't know. And if one looks throughout the history of our country and other free countries, it is the latter category that tend to be the difficult ones. Donald Rumsfeld Per combattere gli unknown unknowns nel mondo cyber, non si può prescindere da: un aggiornamento costante e attento della strumentazione e delle procedure di controllo e monitoraggio delle frodi una formazione e sensibilizzazione delle persone, perché sempre più spesso la più grande vulnerabilità in un attacco informatico si è rivelata essere l elemento umano una collaborazione operativa tra banche e con stakeholder esterni, per garantire una crescente capacità di risposta e di prevenzione su queste basi si fonda l attività del CERTFin 26/05/ /05/2017 CERT Finanziario Italiano TLP GREEN 17

18 GRAZIE PER L ATTENZIONE ricerca@certfin.it 31/05/2017 CERT Finanziario Italiano TLP GREEN