Falle nelle applicazioni, risposta forte dai servizi finanziari
8 Gennaio 2024
Secondo Massimo Tripodi, country manager di Veracode Italia, i risultati del settore sono superiori rispetto a quelli ottenuti da altre aree
I crimini informatici contro banche, gestioni patrimoniali, emittenti di carte di credito e compagnie assicurative sono in forte crescita, ma il settore finanziario ha risposto, ottenendo risultati tangibili. E la sicurezza delle applicazioni è passata, lo scorso anno, da un livello “intermedio” a un grado “generalmente superiore” rispetto ad altri servizi. Lo afferma Massimo Tripodi, country manager di Veracode Italia. Secondo lo State of Software Security realizzato dalla stessa azienda di sicurezza, dice il top manager, la galassia finanziaria “ha ridotto la presenza di falle di sicurezza nelle applicazioni e velocizzato i tassi di correzione rispetto agli altri settori osservati. Infatti”, prosegue il top manager della società specializzata nella sicurezza, “secondo i dati del report, solo il 72% delle applicazioni analizzate nell’ultimo anno nel settore dei servizi finanziari conteneva falle. Una percentuale ancora preoccupante, ma inferiore rispetto ad altri mercati”.
Rischi forti
Considerato il numero elevato numero di utenti e clienti, aggiunge l’esponente di Veracode, “il rischio portato dalla presenza di falle potrebbe essere catastrofico. Si pensi, per esempio, a un codice vulnerabile che apre la porta a un attaccante per violare o compromettere un conto on line personale. E non si tratta di scenari puramente teorici, sono infatti numerose le attività pericolose rivolte a istituti bancari, che siano attacchi Ddos per bloccare i sistemi, ransomware per crittografare i dati e richiedere un riscatto o e-mail di phishing al database dei clienti per ottenerne le credenziali. Se i criminali informatici riuscissero a infiltrarsi all’interno dei server di una azienda finanziaria ed entrare in possesso di dati sensibili di migliaia di clienti e dipendenti, le perdite di denaro, produttività e reputazione, potrebbero essere davvero disastrose”.
Per questo motivo, sostiene Tripodi, “con una simile posta in gioco diventa imperativo comprendere i rischi legati alla vulnerabilità del codice e come proteggere le applicazioni in questo settore specifico.
In miglioramento
Come già ricordato, “nell’ultimo anno le prestazioni di sicurezza delle applicazioni nel settore dei servizi finanziari sono passate
da un livello “intermedio” a “generalmente superiore”, rispetto a quelle degli altri settori nelle quattro tipologie di falle monitorate e analizzate.
Negli ultimi 12 mesi, a riscontrare almeno una falla è stato “poco meno del 72% delle applicazioni, rispetto al 76% medio degli altri settori. Si tratta di un miglioramento dell’1% rispetto al 73% dell’anno scorso, con una tendenza moderatamente positiva. Sia nella Oasp Top10 (elenco di riferimento che mostra i dieci maggiori rischi per le applicazioni web, ndr), sia nella Cwe Top25 (che evidenzia le 25 vulnerabilità più pericolose nei software, ndr), il settore dei servizi finanziari ha avuto le migliori prestazioni, rispettivamente con il 67,1% e 51,7% delle applicazioni che hanno introdotto almeno una falla nell’ultima scansione degli ultimi 12 mesi.
Scansioni Api e formazione
Come progredire ancora? Secondo Tripodi, insistendo sulle scansioni tramite Api, che – afferma il dirigente – possono consentire “maggiore automazione e controllo sulla pipeline di sviluppo, riducendo del 2,9% mensile la possibilità di introdurre falle. Si tratta di un miglioramento di quasi un punto percentuale rispetto agli altri settori analizzati nel rapporto. Una riduzione significativa, considerando che la probabilità di base è del 27%”.
Il passo successivo, dice Tripodi, è la “formazione. Anche in questo caso si sono evidenziati miglioramenti di quasi un intero punto percentuale. Mentre gli altri elementi seguono la tendenza di tutti gli altri settori, scansione Api e formazione si distinguono e, combinati, diminuiscono sensibilmente la probabilità di introdurre delle falle a meno del 22%”.
La formazione degli sviluppatori, afferma ancora Tripodi, “ha un effetto positivo quadruplo sulla velocità di correzione e sul numero di difetti risolti. Non è solo questione di analizzare la probabilità di introdurre difetti, ma anche come gli stessi fattori appena citati ne influenzino il numero quando si diffondono. Il dato che emerge è che i team It che hanno completato dieci corsi di formazione hanno introdotto il 26% di falle in meno, un quarto in meno rispetto alla media generale degli altri settori”.
Analisi delle vulnerabilità
“L’analisi approfondita delle vulnerabilità del codice inclusa nel report“, conclude Tripodi, “permette di tracciare un quadro il più possibile completo di uno dei principali fattori di rischio per ogni azienda, che diventa ancor più critico per il settore di servizi finanziari. Una falla nel codice potrebbe compromettere applicazioni rilevanti per il business, danneggiandone di fatto la continuità operativa o mettendo a rischio transazioni sensibili. Un’efficace strategia di protezione non può prescindere da una visibilità quanto più possibile estesa del codice sottostante, sotto molti aspetti la base fondante di ogni applicazione aziendale”.