La sicurezza informatica in banca: lo stato attuale e le iniziative di sistema

Transcript

1 Banche e Sicurezza 2010 Soluzioni, strumenti e metodologie per una nuova strategia di protezione ROMA, PALAZZO ALTIERI GIUGNO La sicurezza informatica in banca: lo stato attuale e le iniziative di sistema Romano Stasi, Segretario Generale, ABI Lab Roma, 11 Giugno 2010

2 AGENDA La sicurezza informatica nel settore bancario La protezione dei sistemi informatici della banca Le attività di monitoraggio e tracciabilità delle informazioni La Digital Forensics Il Provvedimento sugli Amministratori di Sistema Le Linee Guida ABI sul cyber crime Le iniziative di sistema per la gestione sicura dell identità del cliente I 30 Impegni per la Qualità L utilizzo dei documenti di identità per l accesso ai servizi bancari La verifica delle informazioni sull identità del cliente Conclusioni -2-

3 La sicurezza informatica nel settore bancario La sicurezza informatica si configura sempre più come un attività trasversale, che richiede il coinvolgimento attivo di tutti gli attori afferenti all intero ecosistema bancario: Banche, Istituzioni, Pubblica Amministrazione, Forze dell Ordine, soggetti privati, cittadini. L attività dell ABI e di ABI Lab in tema di sicurezza informatica, si è concretizzata nel corso dell ultimo anno lungo due principali direttrici: Lo sviluppo della conoscenza e delle modalità operative di gestione sicura dei sistemi informatici della banca, con particolare riferimento alle attività legate all identificazione, alla raccolta e alla gestione delle informazioni sensibili. Lo sviluppo di azioni di sistema, in collaborazione con le rispettive controparti istituzionali, per l identificazione e l attuazione di misure di rafforzamento della sicurezza nell utilizzo dei canali diretti da parte della clientela bancaria. -3-

4 AGENDA La sicurezza informatica nel settore bancario La protezione dei sistemi informatici della banca Le attività di monitoraggio e tracciabilità delle informazioni La Digital Forensics Il Provvedimento sugli Amministratori di Sistema Le Linee Guida ABI sul cyber crime Le iniziative di sistema per la gestione sicura dell identità del cliente I 30 Impegni per la Qualità L utilizzo dei documenti di identità per l accesso ai servizi bancari La verifica delle informazioni sull identità del cliente Conclusioni -4-

5 Le attività di monitoraggio e tracciabilità delle operazioni L evoluzione dello scenario delle frodi informatiche ha portato negli ultimi anni a una diffusione crescente, su base volontaria, di strumenti di monitoraggio e tracciamento delle operazioni effettuate tramite internet banking (a fine 2009 il 72% delle banche implementa un sistema di monitoraggio delle transazioni). Tali evidenze appaiono coerenti con le nuove indicazioni normative, in particolare associate all entrata in vigore della Direttiva sui Servizi di Pagamento, e pongono dunque il sistema bancario nelle condizioni di poter dare seguito alle specifiche esigenze di tracciabilità oggi richieste a livello normativo. Nell ambito delle attività del gruppo di lavoro dell European Payment Council dedicato alle tematiche inerenti la sicurezza informatica, sono in fase di redazione delle linee guida relative alla gestione delle attività di tracciatura, con particolare riferimento all utilizzo delle evidenze informatiche nel caso in cui si rendano necessarie specifiche attività di monitoraggio delle transazioni. All interno del documento, The use of audit trails in security systems: guidelines for european banks vengono identificati 50 Principi guida, che fanno riferimento ai seguenti ambiti: Audit System design Management of audit logs Retention Period Application and use of Audit Logs Una gestione adeguata dei log, oltre a consentire una serie di attività di verifica e controllo della normale operatività, risulta determinante in caso di analisi di tipo forense, supportando le relative attività di investigazione. -5-

6 Le modalità di registrazione e di risposta agli eventi Per ciascuna tipologia di evento sono state definite delle linee guida sulle modalità di registrazione e sui tempi di risposta che dovrebbero essere associati al singolo accadimento. In particolare, sono stati identificati dei differenti livelli di priorità in relazione a: La registrazione dell evento Obbligatoria Raccomandata Good practice I tempi di risposta all accadimento dell evento Immediato Ordinario Dato storico Lo schema fa riferimento ai principali eventi rilevanti in termini di monitoraggio dell operatività dei sistemi informatici della banca. RECORDING RESPONSE Event Mandatory Recommended Good practice Immediate Routine Historic Account management Account creation * * Modification of Privileges * * Cryptographic key management Key generation * * Certificate creation * * Token management Token issue * * Change of token access credentials (e.g. PIN) * * Other system administration Create data backups * * Install new software/ hardware * * User access Single successful log-on * * User-initiated password change * * User actions Create / delete file * * * * Modify file access permissions * * System alerts or failures System Log exceptions * * Network Management alarms * * ESEMPLIFICATIVO IN FASE DI APPROVAZIONE -6-

7 La Digital Forensics in ambiente bancario La disciplina della Digital Forensics si pone l obiettivo di definire corrette metodologie atte a preservare, identificare e studiare le informazioni contenute nei sistemi informativi, al fine di evidenziare l esistenza di prove utilizzabili in sede processuale. Il rinnovato interesse per la tematica muove principalmente dai seguenti fattori: L elevato livello di informatizzazione che caratterizza il settore bancario La crescente diffusione a livello nazionale e internazionale di atti di criminalità informatica che hanno come obiettivo gli istituti bancari e la loro clientela l intensificazione nell utilizzo delle tecnologie informatiche finalizzato alla realizzazione di attività criminose riconducibili al cyber crime Rispetto a questa tipologia di illeciti e in funzione della facilità di alterazione delle evidenze informatiche, emerge il problema di utilizzare adeguate metodologie che consentano di rendere le evidenze raccolte effettivamente utilizzabili, sotto i profili della loro genuinità, non ripudiabilità, imputabilità e integrità. Nell ambito delle attività della Centrale d Allarme ABI Lab per Attacchi Informatici è stato avviato un progetto volto alla redazione di linee guida di sistema, che consentano di gestire al meglio attività di digital forensics, in conseguenza di accadimenti che richiedono la raccolta di evidenze informatiche finalizzate ad attività investigativa in senso lato (ad esempio l analisi di una postazione infetta di un cliente che ha subito una frode informatica riconducibile a malware). Le linee guida verranno sviluppate a partire dai principi guida identificati all interno del documento dell EPC, riferito alla più generale tematica della tracciabilità delle attività informatiche, anche per finalità differenti da quella forense. -7-

8 La collaborazione con L autoritl autorità Garante per la Protezione dei Dati Personali L emanazione nel corso del 2009 del Provvedimento sugli Amministratori di Sistema e le attività di collaborazione successivamente avviate in merito al recepimento da parte del sistema bancario italiano degli adeguamenti normativi prescritti, hanno evidenziato l opportunità di definire un approccio continuativo di interazione tra Autorità Garante per la Protezione dei Dati Personali e l Associazione Bancaria Italiana, con particolare riferimento al trattamento dei dati personali. Sono previste riunioni periodiche di allineamento tra l Autorità Garante e l Associazione Bancaria Italiana, che vedono il coinvolgimento diretto dei responsabili delle Parti, relativamente alle problematiche di natura tecnologica, normativa e sindacale di volta in volta prese in considerazione. Sono attualmente in corso attività di approfondimento relative all accesso in modalità informativa dei dati personali dei clienti nell ambito delle operazioni in circolarità all interno del medesimo gruppo bancario. -8-

9 Il Provvedimento sugli Amministratori di Sistema La pubblicazione del Provvedimento sugli Amministratori di Sistema, pubblicato a Dicembre 2008 dall Autorità Garante per la Protezione dei Dati Personali e soggetto a successive revisioni, ha spinto ad intraprendere specifiche attività di analisi e approfondimento rispetto ai soggetti preposti a mansioni riconducibili a sistemi di elaborazione e banche di dati, in merito al corretto trattamento dei dati personali veicolati. Per la maggior parte degli istituti bancari, il Provvedimento ha rappresentato un opportunità di efficientamento e revisione delle procedure interne definite nell ambito della gestione dei dati personali dei clienti e dei dipendenti della banca, in particolare rispetto alle attività di: Individuazione e razionalizzazione delle informazioni sensibili Individuazione delle responsabilità e formazione delle risorse per la gestione delle informazioni sensibili Revisione delle attività di Log management Revisione delle modalità di analisi e quantificazione dei rischi operativi Definizione della reportistica interna per finalità di auditing Revisione dei contratti di servizio con i fornitori coinvolti nella gestione di informazioni sensibili -9-

10 Le linee guida ABI sul cyber crime L introduzione nella legge 231/2001 del nuovo articolo 24-bis, a seguito della ratifica della Convenzione sul cyber crime sottoscritta a Budapest nel 2008 dagli Stati membri della Comunità Europea ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici. L ABI, in collaborazione con ABI Lab, ha definito le Linee Guida sui reati informatici, diffuse a novembre 2009, al fine di supportare le banche nella valutazione delle migliori strategie di protezione e controllo. Le linee guida fanno riferimento a: Regole di controllo generali, condivise a livello di sistema Controlli preventivi specifici per ogni fattispecie di reato, così come codificati nella ISO L adozione di linee guida che prevedano azioni generali e controlli preventivi in linea con i principali standard disponibili fa sì che l impatto tecnologico/ organizzativo possa essere contenuto entro limiti che rendono l applicazione delle stesse operativa in tempi ridotti. L attivazione dell esimente dalla responsabilità diretta della banca è conseguibile pertanto in un numero elevato di possibili casistiche riconducibili alla commissione di reati informatici da parte dei propri dipendenti e spinge le banche a proseguire in un percorso virtuoso di miglioramento continuo delle procedure interne e dei processi di sicurezza. -10-

11 AGENDA La sicurezza informatica nel settore bancario La protezione dei sistemi informatici della banca Le attività di monitoraggio e tracciabilità delle informazioni La Digital Forensics Il Provvedimento sugli Amministratori di Sistema Le Linee Guida ABI sul cyber crime Le iniziative di sistema per la gestione sicura dell identità del cliente I 30 Impegni per la Qualità L utilizzo dei documenti di identità per l accesso ai servizi bancari La verifica delle informazioni sull identità del cliente Conclusioni -11-

12 L adozione del doppio fattore di autenticazione e l evoluzione verso il secondo canale A partire dal 1 Novembre 2009 il doppio fattore di autenticazione è stato reso disponibile ai clienti di tutte le banche aderenti al Consorzio PattiChiari. L iniziativa ha consentito di elevare il livello di sicurezza del canale di internet banking, consentendo di ridurre sensibilmente l efficacia dei tradizionali attacchi di phishing perpetrati a danno della clientela bancaria. L intensa attività informativa a supporto dell adozione della nuova soluzione ha portato altresì a un progressivo aumento nel livello di consapevolezza sull importanza di un adeguato trattamento delle credenziali di accesso ai servizi di internet banking. Accanto al secondo fattore di autenticazione si stanno diffondendo soluzioni che prevedono l utilizzo di un canale alternativo di comunicazione tra banca e cliente, in particolare rispetto alle fasi che caratterizzano la transazione on line: autenticazione dell'utente al momento dell'accesso al portale di internet banking autorizzazione di un'operazione dispositiva effettuata tramite il canale di internet banking notifica di un'operazione dispositiva effettuata tramite il canale di internet banking Dalla rilevazione sulla sicurezza informatica condotta da ABI Lab nel corso del 2010 è emerso che il 90% delle banche ha reso disponibile alla propria clientela Retail il secondo fattore di autenticazione; di esse, l 84% prevede anche la possibilità di utilizzare un canale alternativo di comunicazione. -12-

13 Le iniziative di sensibilizzazione della clientela Nel 2008 ABI Lab, in collaborazione con banche, Polizia Postale e delle Comunicazioni e Associazioni dei Consumatori, ha realizzato una doppia iniziativa di comunicazione verso i clienti per incrementare il livello di consapevolezza in merito al fenomeno delle frodi informatiche: un corso di formazione on line reso disponibile su una web area dedicata e un guida cartacea da distribuire ai consumatori. ~ copie cartacee distribuite 52 Banche 6 Associazioni dei Consumatori Nell ambito dell iniziativa I 30 Impegni per la Qualità, PattiChiari ha definito nel 2009 una guida sulla sicurezza per illustrare le principali opportunità e minacce associate all utilizzo dei servizi remoti offerti attraverso i canali diretti Internet, call center e carte di pagamento con l obiettivo di innalzare ulteriormente la consapevolezza della clientela bancaria sulla tematica. ~ copie cartacee distribuite 103 Banche 13 Associazioni dei Consumatori -13-

14 Il dialogo tra Banche e Pubblica Amministrazione per la gestione sicura delle identità del cittadino La forte attenzione della PA verso l attuazione di progetti per l introduzione di documenti di identità digitale per il cittadino ha portato ABI Lab e OSSIF, nell ambito della ricerca dell Osservatorio Gestione Sicura dell Identità, a promuovere la realizzazione sperimentazioni e progetti pilota volti a testare on field, presso le banche interessate, l uso dei documenti di identità elettronica per l accesso ai servizi bancari mediante un autenticazione forte basata sulle informazioni contenute nei documenti stessi. Documento CIE - Carta di identità elettronica CNS - Carta Nazionale dei Servizi Livello di diffusione 1,5 milioni di cittadini 18 milioni di cittadini I PROGETTI PILOTA IN CORSO: 1. Identificazione da remoto di un nuovo cliente: utilizzo CNS per identificare da remoto un nuovo cliente in fase di apertura di un rapporto/servizio con la banca Opportunità Cliente: vantaggio di non doversi recare in filiale per il riconoscimento a vista e per la finalizzazione dell attivazione del servizio Banca: possibilità di attivazione da remoto di servizi in modalità sicura e compliant Criticità Cliente: necessità di lettore CNS Banca/PAL: necessità di monitoraggio costante della validità del documento 2. Autenticazione da remoto per l accesso all home banking: utilizzo CNS come strumento autenticazione sicura del cliente in fase di accesso ai servizi di home banking Opportunità Cliente: utilizzo della CNS come carta multiservizi non necessità di utilizzo di ulteriori device di autenticazione sicura (ulteriori password/pin o token) Banca: possibilità di autenticazione da remoto di servizi in modalità sicura e compliant Criticità Cliente: necessità di lettore CNS Banca/PA: necessità di controllo immediato della validità del documento e aggiornamento real-time della Check Revocation List (CRL) Attori coinvolti nei progetti pilota: Banche: Gruppo MPS, Gruppo UBI PA Locali: Regione Lombardia e Regione Toscana Partner ICT: Ghirlanda e Wincor- Nixdorf -14-

15 L accesso ad archivi centralizzati per la verifica dei documenti di identità In ottica di contrasto e prevenzione di frodi legate al furto di identità, uno dei temi verso cui il settore bancario sta rivolgendo sempre maggiore attenzione riguarda la possibilità di verificare l autenticità dei documenti di identità dei clienti, mediante il confronto delle informazioni in possesso della banca con i dati presenti negli archivi centralizzati di altri soggetti pubblici, quali ad esempio il Ministero dell Interno e l Agenzia dell Entrate. Esempi di informazioni da verificare: riscontro del numero di carta di identità rispetto al lotto distribuito dal comune in cui appare rilasciata eventuale presenza negli archivi dei documenti denunciati come smarriti o rubati effettiva attribuzione di un numero di codice fiscale alla verifica della corrispondenza tra numero di patente e intestatario del documento Tale procedura, ad oggi non consentita a soggetti bancari, potrebbe essere effettuata direttamente on line sulla base di un riscontro positivo o negativo sui record sottoposti a verifica e pertanto non implicherebbe l accesso a informazioni personali da parte delle dipendenze bancarie, garantendo al tempo stesso una maggiore sicurezza nella gestione e nel controllo dell identità dei clienti. L ABI, in collaborazione con ABI Lab e OSSIF, svilupperà nel prossimo periodo approfondimenti tecnologici e di sicurezza con le rispettive controparti, al fine di abilitare modalità di contrasto efficaci al fenomeno della falsificazione dei documenti di identificazione del cittadino e del successivo utilizzo per fini illeciti. -15-

16 AGENDA La sicurezza informatica nel settore bancario La protezione dei sistemi informatici della banca Le attività di monitoraggio e tracciabilità delle informazioni La Digital Forensics Il Provvedimento sugli Amministratori di Sistema Le Linee Guida ABI sul cyber crime Le iniziative di sistema per la gestione sicura dell identità del cliente I 30 Impegni per la Qualità L utilizzo dei documenti di identità per l accesso ai servizi bancari La verifica delle informazioni sull identità del cliente Conclusioni -16-

17 Concludendo L utilizzo diffuso e pervasivo delle tecnologie informatiche, unitamente ai vincoli normativi vigenti, suggeriscono la definizione di sistemi sempre più evoluti che consentano di garantire la tracciabilità delle transazioni, sia all interno che all esterno della banca, nel rispetto dei limiti di trattamento delle informazioni sensibili. L utilizzo dei canali diretti da parte della clientela bancaria, con particolare riferimento all internet banking e alle carte di pagamento, non può prescindere da una continua attività di formazione e informazione, che renda evidenza delle opportunità e al contempo dei rischi legati all uso non corretto di questi strumenti. L introduzione dei documenti di identità digitale per il cittadino da parte della Pubblica Amministrazione rappresenta una grande opportunità per il sistema bancario, in un ottica di rafforzamento nell utilizzo dei canali diretti. La verifica, attraverso la collaborazione con i soggetti pubblici, dei documenti di identità da parte del sistema bancario rappresenta un evoluzione che potrebbe portare benefici tangibili a livello di sistema Paese, sia in termini di contrasto al fenomeno della falsificazione dei documenti di identificazione del cittadino che di utilizzo efficiente delle risorse. -17-

18 Grazie per l attenzionel r.stasi@abi.it

19 La sicurezza informatica Agenda (1/2) Le attività dell Autorità Garante per la Protezione dei Dati Personali rivolte al sistema finanziario, in tema di sicurezza informatica Cosimo Comella, Garante per la Protezione dei Dati Personali Evoluzione della disciplina sull operato degli Amministratori di Sistema. Centralità delle misure e degli accorgimenti di carattere organizzativo nelle politiche di sicurezza Patrizia Ghini, Consulenza Direzionale e Organizzazione Aziendale, Studio Patrizia Ghini Il progetto di realizzazione delle Linee Guida ABI Lab sulla Digital Forensics in ambito bancario Gabriele Faggioli, Docente, MIP Politecnico di Milano ====================Coffee Break===================== -19-

20 La sicurezza informatica Agenda (2/2) Dalla sicurezza delle infrastrutture alla protezione delle informazioni: evoluzione delle minacce e delle contromisure Fabio Battelli, Practice Manager, Advisory Services, Symantec Chi ha dato ha dato! Un approccio sistematico al Data Loss Prevention Fabio Bussa, Marketing Manager Top Clients, Telecom Italia L utilizzo della Carta Regionale dei Servizi per l accesso all Internet banking: un esperienza pilota Giancarlo Galardi, Direttore Generale Organizzazione e Sistema Informativo, Regione Toscana WeBank, la banca online e la sicurezza Elisabetta Calmasini, Responsabile Sicurezza, Webank Gruppo Banca Popolare di Milano Social Network: utility e privacy Marco Camisani Calzolari, Presidente, Speakage -20-