La Banca centrale europea non volgerà l’attenzione solo a stress test finanziari, ma anche cyber. L’annuncio di un progetto di cui parlava da tempo è arrivato oggi, con la pubblicazione di un quadro europeo per testare la resilienza del settore finanziario agli attacchi informatici.
IL FRAMEWORK DELLA BCE
Denominato Tiber-Eu – sigla che sta per European Framework for Threat Intelligence-based Ethical Red Teaming – è il primo tentativo di rendere più forte in modo coordinato, anche nel Vecchio continente, il mercato finanziario.
GLI OBIETTIVI
Il framework, spiega in una nota l’istituto guidato da Mario Draghi, intende infatti “facilitare un approccio europeo armonizzato attraverso test ‘intelligence-led’ che imitano le tattiche, le tecniche e le procedure dei veri hacker che possono rappresentare una vera minaccia” per banche, ma anche compagnie assicurative, società di gestione patrimoniale e altri fornitori di servizi ritenuti critici per il settore finanziario..
In pratica, le prove basate su Tiber-Eu simulano un attacco informatico alle funzioni critiche di un’impresa e ai sistemi sottostanti, come persone, processi e tecnologie. Ciò è in grado di aiutare l’entità esaminata a valutare le sue capacità di protezione, rilevamento e risposta a potenziali cyber attacchi.
LO SCENARIO
Secondo l’ultimo rapporto stilato dagli esperti del Clusit, l’Associazione Italiana per la Sicurezza Informatica, dal 2011 al 2017 i costi generati globalmente dalle sole attività del cyber crime sono quintuplicati secondo il Clusit, arrivando a toccare quota 500 miliardi di dollari nel 2017. Lo scorso anno, truffe, estorsioni, furti di denaro e dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari (senza contare le attività di cyber espionage e le conseguenze sistemiche generate dalle crescenti attività di information warfare, i cui impatti – denunciati anche in tutte le più recenti relazioni annuali dell’intelligence al Parlamento italiano – sono difficilmente calcolabili, ma sicuramente crescenti). Solo lo scorso anno, rileva ancora il Clusit, truffe, estorsioni, furti di denaro e dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. E, in questo quadro, il settore Banking & Finance ha registrato un +11%, rispetto all’anno precedente, classificandosi come uno dei più colpiti.
LE ENTITÀ TRANSFRONTALIERE
Partendo dall’analisi di dati come questi, Tiber-Eu, sottolinea la Bce, “è stato progettato per le autorità e gli enti nazionali ed europei che costituiscono l’infrastruttura finanziaria di base, comprese le entità con attività transfrontaliere che rientrano nelle competenze normative di diverse autorità. Il framework può essere utilizzato per qualsiasi tipo di entità del settore finanziario, nonché per entità in altri settori”.
TEST SU MISURA
Per il momento i test non saranno obbligatori, ma “spetterà alle autorità competenti e alle entità stesse determinare se e quando” dovranno essere eseguite le prove basate sul nuovo framework. I test, aggiunge la Bce, saranno fatti su misura e non daranno esito negativo o negativo, ma forniranno a chi vi si sottoporrà approfondimenti sui punti di forza e di debolezza e consentiranno di apprendere e evolvere a un livello più elevato di maturità informatica.
