Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012
Banca Popolare di Sondrio Fondata nel 1871, la Banca Popolare di Sondrio è una delle prime banche popolari italiane ispirate al movimento popolare cooperativo del credito. Capitale e riserve: ~ 1.600M Euro Soci: ~173.000 Dipendenti: ~2.550 (IT: ~100) Filiali: 300 Nel 1995 ha fondato BPS (Suisse) SA: 23 filiali Dati aggiornati dicembre 2011
Gestione sicurezza Nell ambito del governo della sicurezza l IT aziendale presidia la Riservatezza, Integrità e Disponibilità delle informazioni. La particolare criticità della sicurezza delle informazioni in ambito bancario si traduce in accorgimenti organizzativi e architetturali volti a garantire la solidità delle soluzioni informatiche (sistemi ridondanti, cluster, architetture in DR) Occorre anche prevenire la possibilità di attacchi alla sicurezza delle informazioni (protezione perimetrale, configurazione dei server, hardening, gestione accessi, crittografia.) Il fronte legato ai servizi online richiede alcune attenzioni specifiche
Minacce Internet Banking Sul fronte dei servizi online si aprono ulteriori problematiche: Furto di identità Possibili vulnerabilità applicative Sicurezza dei canali di trasmissione e protezione dei dati Client al di fuori del controllo del fornitore del servizio Utenti non sempre adeguatamente sensibili alle problematiche di sicurezza Quantità elevata di operazioni da controllare Necessità di gestione delle operazioni sempre più rapida Disponibilità H24 e da qualsiasi luogo
Tecniche di attacco sempre nuove Tool sofisticati per tecniche di attacco rivolte all utente finale, l anello debole della catena: Phishing (e varianti) Malware Attacchi man in the browser Attacchi man in the middle Esiste una vera e propria «catena del valore» del cybercrime, che permette a malviventi anche non esperti di usufruire di veri e propri servizi per la realizzazione dei tentativi di frode
Esempio:Phishing
Esempio: Man in the browser
Man in the browser, un caso reale
Una risposta strutturata La ISO27001 è stata adottata dalla banca come risposta strutturata alle esigenze di sicurezza: 2004: Prime attività di gap analisys Fine 2005: Certificazione BS7799 del servizio SCRIGNOInternet Banking Fine 2006: Adeguamento alla ISO27001 Inizio 2007: Estensione dell'ambito di certificazione a tutti i servizi del portale SCRIGNObps Inizio 2008: Estensione dell'ambito alla gestione della Server Farm Da allora viene periodicamente riconfermata da un ente di certificazione dopo un attento esame.
Come contenere i rischi? Incrementare ed automatizzare i livelli di controllo Governare la crescente complessità delle informazioni raccolte attraverso diversi sistemi di presidio della sicurezza e adottare meccanismi di correlazione tra eventi Mantenere un confronto costante con le informazioni di sistema Ridurre i tempi necessari per intercettare azioni anomale per poter intervenire con la tempestività necessaria Supportare chi fa la gestione della Sicurezza
SCRIGNOIdentiTel Un sistema di autenticazione forte a doppio fattore e con doppio canale di trasmissione dei codici di sicurezza Basato sull utilizzo congiunto del frontend web e del telefono cellulare Alcuni codici identificativi vengono inviati tramite cellulare e viaggiano se rete GSM (fonia), gli altri, inseriti sul browser, viaggiano sulla connessione internet SSL a 256bit Solo se l insieme completo dei codici identificativi risulta corretto e coerente, l autenticazione ha successo E difficile da raccontare ma semplicissimo all uso, e richiede solo di aver registrato il proprio telefono cellulare presso la propria agenzia.
Monitoraggio transazioni Caratteristiche di funzionamento: Il sistema accede ad una base dati internazionale (efraud database) per identificare eventuali sorgenti malevoli costruisce un profilo comportamentale dinamico dell utente e calcola un parametro di rischio per ogni azione svolta in funzione dello scostamento dal profilo attuale. sulla base del rischio stimato innesca delle contromisure specifiche che possono anche avviare processi di intervento da parte di attori in grado di valutare la situazione e supportare il cliente accentra in un unico contenitore tutte le informazioni raccolte In tutte queste azioni il sistema è in grado di apprendere dal suo stesso funzionamento
Antimalware Una soluzione che ha l obbiettivo di intercettare le tipologie di malware più diffuse. In caso di segnalazione positiva è in grado di bloccare immediatamente l operatività dell utente Traccia gli eventi per future analisi Innesca automaticamente processi che prevedono l intervento di di differenti attori, che svolgono attività prefissate e forniscono feedback al sistema e supporto all utente
Concludendo Le contromisure agiscono su molti livelli e sono integrate in un unico sistema organizzativo di gestione della sicurezza Eventuali controlli automatici hanno una stretta integrazione con processi interni Il tutto nell ambito di un sistema di gestione aderente alle policy definite da un Comitato sicurezza che coinvolge più funzioni aziendali. Policy e contromisure vengono regolarmente aggiornate in risposta a nuove tecniche di attacco e schemi di frode