Quando il pirata del web entra in banca
«Il mondo del credito sta sicuramente lavorando per blindare i canali di comunicazione tra i propri sistemi e i dispositivi della clientela (pc, laptop, tablet, smartphone). La palestra del “phishing” e di altre piccole tecniche fraudolente ha costretto il sistema bancario a fare quella che definisco una “ginnastica posturale” minima, ma l’esercizio per mantenersi in forma è più impegnativo e non può risultare episodico o discontinuo». Umberto Rapetto, già generale della Guardia di Finanza, già al comando del Gat Nucleo Speciale Frodi Telematiche (ora è Ceo di Hkao Human Knowledge As Opportunity) ha pochi dubbi.
Sul tema della Cyber security la strada da fare è ancora lunga. «Il sistema bancario, come del resto tutte le realtà appartenenti alla fragile galassia delle “infrastrutture critiche” è obbligato a organizzarsi: il blocco delle funzionalità tecnologiche dei comparti energia, telecomunicazioni, trasporti, finanza e sanità sarebbe fatale e innescherebbe un effetto domino di dimensioni catastrofiche. Questo genere di consapevolezza credo sia ormai endemico ed è il primo piccolo passo per affrontare un futuro che non sarà parco di sorprese.
Quali sono i tipi di aggressioni cui le banche sono potenzialmente più esposte? Non esiste un menu fisso. Gli hacker prediligono agire “a la carte” e ogni volta esiste un imprevedibile “piatto del giorno”. La principale vulnerabilità dei sistemi, qualunque ne sia la natura e la destinazione di impiego, è negli “zero-day attacks” ovvero negli assalti basati sullo sfruttamento di punti deboli conosciuti appunto da “zero giorni”.
Quali sono le contromisure? È preferibile ribaltare l’approccio al problema e volgere lo sguardo verso le conseguenze più temute dal mondo bancario. La grande paura non è diversa da quella vissuta per anni agli sportelli sul territorio: la prima angoscia è quella di una rapina di dimensioni ciclopiche, la seconda quella della paralisi dei servizi alla clientela.
Siccome attraverso la Rete è difficile immaginare sparatorie e ostaggi, il timore è quello di una fiamma ossidrica virtuale o dell’impiego di “cyber-cassettari” per svuotare i caveau digitali. Un eventuale “databreach”, ovvero una breccia nel perimetro di misure di sicurezza dei sistemi centrali, può portare all’accesso indebito agli archivi e alla sottrazione dei dati memorizzati. Ma i pirati, una volta annientate le barriere di protezione, non si accontentano certo del saccheggio di informazioni personali ma hanno interesse a movimentare somme cospicue verso le destinazioni più irraggiungibili e magari con la conversione in moneta virtuale nei moderni circuiti finanziari in “digital coins”.
Altri rischi? Quello di un attacco semantico (e non sintattico, cioè costituito dalla cancellazione totale o parziale delle informazioni) ai database degli istituti bancari. Mi spiego meglio: si provi a pensare allo spostamento del contenuto delle caselle da una posizione all'altra garantendo che i totali a fine riga e a fine colonna rimangano immutati. Una simile micidiale azione porterebbe all’inquinamento degli archivi e, se svolto con paziente progressione, andrebbe a determinare l’impossibilità di una ricostruzione della situazione reale.
Mentre in caso di cancellazione di un archivio,è vero che un back-up quotidiano può far ripartire dai dati del giorno precedente e consentire la ricostruzione di quanto mancante. Ma il “mescolamento” lento e progressivo porta a danneggiare anche le copie di back-up man mano realizzate e rende estremamente difficoltosa ogni opera di ripristino.
Non sembra che al mondo vi siano zone completamente sicure. Quali nazioni dovremmo “copiare”? Nessuno è sicuro e chi crede di esserlo finisce per posizionarsi in pole position nel Gran Premio dei bersagli. Ci sono aree geografiche in vetta alle classifiche e sul podio più alto spiccano gli Stati Uniti. Esistono poi zone in cui si annidano le minacce più insidiose: la piattaforma balcanica, ad esempio, è l’habitat dei pirati informatici specializzati nel settore economico e finanziario, una ampia fascia equatoriale africana ospita i cervelli di frodi e truffe, Russia e Cina sono il cantiere in cui nascono le massicce operazioni di cyberwar. A ben guardare il mappamondo, sono evidenti gli obiettivi più appetibili e gli arsenali pronti ad armare le attività banditesche o belliche, ma non si distinguono eccellenze in termini di “prudenza” dove le cautele organizzative, le disposizioni normative e le precauzioni tecniche siano tali da meritare una immediata clonazione.
Senza dubbio oltreoceano – visto il piovere di attacchi sistematici – sono state maturate le esperienze maggiormente significative: gli Stati Uniti hanno infatti saggiato la portata delle aggressioni più efferate e hanno dovuto irrobustire reti e sistemi per respingere o almeno attutire le bordate telematiche. La regolamentazione americana, poi, è certamente copiosa e può costituire una ottima base per stilare norme e precetti: non si tratta di copiare, perché il lavoro da compiere deve essere sartoriale e ogni progetto per la messa in sicurezza deve essere tagliato a misura della realtà da tutelare».
Fonte: Il Sole 24 Ore - Intervista di Stefano Elli a Umberto Rapetto
(Umberto Rapetto intervistato al 7° Privacy Day Forum di Federprivacy)
