In sintesi: minacce a seguito di attacchi cibernetici

Le aggressioni all’infrastruttura informatica delle banche svizzere costituiscono una minaccia sotto molteplici punti di vista. Oltre agli attacchi di phishing, l’impiego di software dannosi o il blocco della raggiungibilità dei computer, gli istituti finanziari svizzeri sono chiamati a far fronte a scenari di minaccia sempre più sofisticati e complessi.

Nell’ambito della revisione della Circolare FINMA 08/21 «Rischi operativi – banche», la FINMA ha deciso di integrare le disposizioni esecutive sull’infrastruttura tecnologica con aspetti critici nella gestione dei rischi cibernetici. La circolare impone alle banche e ai commercianti di valori mobiliari l’impiego di una strategia globale e sistematica per contrastare le minacce provenienti dal mondo virtuale. Per proteggere i sistemi o i servizi minacciati dai rischi o dagli attacchi cibernetici, in tale strategia occorre definire provvedimenti concreti concernenti la governance, l’identificazione, la protezione, il riconoscimento, la reazione e il ripristino.

Inoltre, presso istituti specifici, la FINMA ha valutato i provvedimenti adottati per far fronte agli attacchi cibernetici. Tale disamina comprendeva tra l’altro la disposizione di verifiche supplementari incentrate sul rischio cibernetico presso le banche delle categorie di vigilanza 1 e 2. La FINMA ha altresì invitato le banche della categoria di vigilanza 3 a partecipare a un’autovalutazione circa lo stato di attuazione dei provvedimenti volti a contrastare gli attacchi informatici. Sia le verifiche supplementari, sia l’autovalutazione si sono basate sugli aspetti critici in materia di rischi cibernetici in conformità alla revisione delle disposizioni esecutive.

Verifica supplementare

Dalle verifiche supplementari è emerso che sussistono ancora delle lacune, in particolare per quanto concerne l’identificazione dei potenziali di minaccia comportati dagli attacchi cibernetici e il dispositivo di protezione. Sulla scorta di tali constatazioni, le banche in questione hanno adottato ulteriori provvedimenti volti all’aumento della capacità di resistenza alle aggressioni cibernetiche.

Autovalutazione

L’autovalutazione è stata condotta con lo scopo, da un lato, di determinare lo stato di implementazione dei provvedimenti in relazione ai rischi cibernetici, dall’altro di sensibilizzare le banche della categoria di vigilanza 3 agli aspetti critici in materia.

Dall’analisi dell’autovalutazione da parte delle banche si delinea un quadro eterogeneo. Mentre alcuni istituti hanno giudicato come integralmente implementati pressoché tutti i provvedimenti, altre banche hanno dichiarato di non aver attuato in modo integrale praticamente nessuna misura.

Per quanto concerne gli aspetti critici nella gestione dei rischi cibernetici, in particolare è stata riscontrata la necessità di recuperare terreno sul fronte dell’individuazione degli attacchi cibernetici. Nella fattispecie si tratta, da un lato, della mancanza di misure che disciplinino la gestione di scenari di minaccia particolarmente complessi, dall’altro di un necessario ampliamento dell’impiego di approcci tecnici di monitoraggio. Si constata tuttavia un ulteriore fabbisogno d’intervento anche per quanto riguarda ulteriori aspetti critici.

Conclusione

In sintesi, le verifiche supplementari e l’analisi dell’autovalutazione hanno mostrato che, all’inizio del 2016, risultavano ancora necessari alcuni interventi tesi a garantire un adeguato livello di protezione dalle minacce provenienti dallo spazio cibernetico. Anche in vista dell’entrata in vigore delle disposizioni esecutive sottoposte a revisione con effetto dal 1° luglio 2017, le banche delle categorie di vigilanza da 1 a 3 hanno pertanto avviato progetti specifici per incrementare la propria resistenza agli attacchi cibernetici.

L’autovalutazione condotta all’inizio del 2016 presso le banche della categoria di vigilanza 3 ha evidenziato un fabbisogno d’intervento per tutti gli aspetti fondamentali in relazione ai rischi cibernetici. Soprattutto per quanto riguarda l’individuazione tempestiva degli attacchi cibernetici, la maggior parte delle banche partecipanti non aveva ancora implementato integralmente provvedimenti essenziali, oppure in alcuni casi non aveva attuato alcun tipo di intervento al riguardo.

 

Cyberstatistik 


(Dal Rapporto annuale 2016)