Tab Magazine

Tecnologie per assicurazioni e banche

L’altra sicurezza

1 Maggio 2020

Non c’è solo la difesa dagli attacchi esterni, ma anche la protezione dai pericoli provenienti da dipendenti infedeli o incauti. Anche – e soprattutto – in epoca di smart working. Lo afferma Massimo Carlotti, di CyberArk. Che approfondisce la situazione dei settori bancario, finanziario e assicurativo

Massimo Carlotti

 

Quando ci si riferisce alla sicurezza informatica, spesso si parla del contrasto all’attività degli hacker che, dall’esterno, minacciano dati, privacy, sistemi e via dicendo. Molto meno frequentemente, invece, si mette l’accento sui pericoli che vengono dall’interno. Cioè da dipendenti o collaboratori infedeli o incauti. Infedeli quando sfruttano coscientemente debolezze dei sistemi aziendali per trarne vantaggio. Incauti quando, in buona fede, si fanno spiare e sfruttare dai criminali informatici che stanno al di fuori, spesso ignorandolo anche a patatrac avvenuto.
Questi rischi, avverte Massimo Carlotti, presales team leader di CyberArk, “rappresentano oltre il 38% delle violazioni in azienda e sono le più costose”. Non bruscolini.
A mettere in pericolo la sicurezza, prosegue l’esponente dell’azienda specializzata nella gestione degli accessi privilegiati, sono “dipendenti disonesti, appaltatori malintenzionati dotati di accesso autorizzato, ex dipendenti che hanno ancora accesso privilegiato ai sistemi critici e lavoratori che potrebbero creare rischi in modo totalmente involontario”. Un rischio, quest’ultimo, che potrebbe incrementarsi in maniera molto forte con il passaggio allo smart working, che oltretutto è stato organizzato con tempi tecnici strettissimi.

Domanda. L’emergenza sanitaria ha obbligato le aziende a spostare velocemente la loro operatività in remoto. Molti ritengono che, anche quando la crisi sarà definitivamente alle spalle, non si tornerà all’organizzazione per-Covid, ma il lavoro da casa prenderà più spazio. In che modo organizzare la sicurezza degli accessi in modalità smart working?

Carlotti. Dato che i lavoratori flessibili si collegano alla rete di un’organizzazione e accedono ai sistemi sensibili dall’esterno del perimetro fisico dell’ufficio, le aziende devono assicurarsi di disporre di rigidi protocolli di sicurezza per mitigare adeguatamente il rischio elevato che questo comporta. Inoltre, dovrebbero limitare l’accesso dei lavoratori esterni e di quelli remoti solo alle risorse di cui hanno effettivamente bisogno. Questo processo fa parte di quella che indichiamo come “definizione dei privilegi minimi”. I fattori di rischio comprendono l’accesso alle reti da dispositivi personali senza le misure di sicurezza aziendale, o da reti domestiche che potrebbero essere facilmente compromesse. In questo scenario siamo lontani da un mondo in cui i team di sicurezza possono far rispettare le policy sui dispositivi all’interno della rete tradizionale. Spesso oggi non si ha alcun controllo sul terminale utilizzato per connettersi dall’esterno e, allo stesso modo, non si è in grado di garantire la sicurezza della rete dalla quale il dispositivo si sta connettendo, come nel caso di una rete wi-fi domestica. Questo fa parte di ciò che definiamo ambito di “visibilità e controllo”.

Domanda. Emergenza a parte, in che modo i settori assicurativo e finanziario proteggono da dipendenti infedeli o incauti? E in che misura l’accesso di collaboratori esterni (o interni che operano in smart working) può creare rischi?

Carlotti. Molte organizzazioni del settore bancario, assicurativo e dell’outsourcing investono energie per proteggere la loro attività dalle minacce esterne, ma gli incidenti di sicurezza procurati dai lavoratori interni possono essere altrettanto costosi. Gli insider malintenzionati non solo hanno una conoscenza approfondita dei sistemi e delle infrastrutture, ma sono dotati di uno strumento molto più potente: un accesso privilegiato legittimo. La sfida delle minacce interne è pervasiva e gli eventi recenti non indicano segni di rallentamento. I due rischi principali si presentano quando ai dipendenti vengono concessi accessi più estesi del necessario per svolgere il proprio lavoro e se qualcuno autorizzato utilizza account privilegiati, non rispettando le policy e abusando del suo potere.

Domanda. Quali sono i punti deboli dei settori bancario, finanziario e assicurativo? E quali i punti di forza?

Carlotti. Il finance è un settore verticale strettamente regolamentato. Le aziende, quindi, sono state costrette ad adottare molte tecnologie di sicurezza, che devono però essere pervasive e profondamente integrate nei processi, nei sistemi e nelle procedure. Per quanto ne sappiamo, le banche sono state le prime ad adottare soluzioni di privileged access management, seguite dalle assicurazioni. Ora che i due settori verticali non sono più così separati – mi riferisco al fatto che le banche offrono servizi assicurativi e viceversa – anche le soluzioni adottate stanno diventando simili. Oltre alla pressione data dalla compliance, questi settori sono più propensi a scegliere soluzioni di privileged asset management. Sicuramente le banche (più delle assicurazioni) hanno vissuto lo stress causato da attacchi hacker e frodi, diventando più sensibili all’implementazione di questa tipologia di misure e, da un punto di vista culturale, hanno iniziato ad adottare un approccio più “attento alla sicurezza”. Una delle maggiori sfide che stanno affrontando è legata alla complessità organizzativa interna a entrambi i settori: questa rende più difficile un coordinamento adeguato delle iniziative di sicurezza tra molti team diversi, che a volte non collaborano in modo proficuo, e lo sviluppo di una mentalità orientata alla protezione e di un approccio security by design. Chi invece ha creato gruppi e ruoli di sicurezza ben definiti, in grado di coordinare tutte le attività, procede più velocemente. Molte società finanziarie stanno passando a nuove metafore tecnologiche, si pensi per esempio a DevOps, con una cultura dei team coinvolti più aperta all’integrazione della sicurezza fin dall’inizio dei progetti e nella definizione di servizi/prodotti. Curioso a dirsi, ma le stesse aziende utilizzano ancora diffusamente anche tecnologie legacy, per esempio mainframe e applicazioni tradizionali. Questi team sono meno propensi ad adottare tecnologie di sicurezza integrate (per motivi diversi, ma questo è comunque il risultato finale). Anche analizzando outsourcing e competenze, si nota una situazione molto disomogenea: qualunque sia la dimensione del reparto It e della divisione sicurezza in particolare (supponendo che ce ne sia una ben definita), c’è un ampio ricorso a professionisti esterni. In vari casi, questo processo potrebbe già aver superato un limite importante: molte aziende stanno delegando conoscenze e competenze e ciò le rende troppo dipendenti dagli outsourcer, indebolendo la loro possibilità e capacità di applicare il giusto controllo e la corretta governance su processi e risorse critiche. Vediamo però molti clienti che stanno invertendo questa tendenza.

Domanda. In che senso?

Carlotti. Nel senso che sviluppano conoscenza, controllo e governance interni più solidi. Le società finanziarie hanno le risorse e la capacità di investimento per procedere in questa direzione.

Domanda. Come funzionano gli accessi privilegiati? E, solitamente, a chi si concedono?

Carlotti. Come anticipato, banche e assicurazioni hanno molte similitudini tecnologiche, di processo e organizzative. Escludendo aspetti e configurazioni specifici, che sono spesso personalizzati in base alle esigenze di ogni cliente, queste aziende dovrebbero concedere i giusti privilegi ai giusti utenti. Il miglior approccio prevede di mappare i diritti a livello di schema organizzativo, presupponendo che sia definito nella corporate directory o nel sistema di gestione delle identità, e integrarlo con profili e autorizzazioni definiti e mirati. Le organizzazioni del mercato finance sono strutture complesse costituite gerarchicamente. Il processo di assegnazione dei privilegi deve poter essere applicato in modo granulare, puntuale e modulare, per consentire una corretta “modellizzazione” degli schemi di privilegi. Una revisione periodica di questo schema di autorizzazioni è fondamentale per garantire affidabilità costante e ridurre i rischi: si pensi, per esempio, a utenti orfani (cioè quelli che dipendono da un account di accesso nel database master, che però lì non è più presente, ndr), oppure a dipendenti o consulenti che cambiano lavoro o che assumono un nuovo ruolo).

Domanda. Quali controlli suggerite per ridurre i rischi?

Carlotti. Suggeriamo di assicurarsi che solo gli utenti autorizzati abbiano accesso ad account privilegiati e che quelli elevati siano sempre esplicitamente autorizzati o necessari; stabilire rigorose responsabilità sul loro utilizzo, monitorando chi ha avuto accesso a quali profili e quali azioni sono state svolte; migliorare l’analisi forense e disporre di un audit trail dettagliato e a prova di manomissione di tutte le attività svolte servendosi di account privilegiati; individuare rapidamente eventuali attività anomale che potrebbero indicare un attacco interno in corso ed essere avvisati prima possibile.

Domanda. Quali sono i mezzi per attivare gli accessi privilegiati?

Carlotti. La gestione degli accessi privilegiati può includere una serie di aree in base alla gamma di attività da svolgere. Generalmente, un approccio completo comprenderebbe la capacità di proteggere, ruotare e gestire quelle credenziali per ridurre i pericoli, monitorare e registrare tutte le attività di accesso privilegiato e prevenire e risolvere in modo automatico quelle ad alto rischio. Le aziende utilizzano DevOps o il cloud come modello di fornitura o erogazione dei servizi? Per mitigare al meglio queste minacce, dovrebbero rivalutare il modo in cui stanno proteggendo e gestendo gli accessi privilegiati. Non solo – come ampiamente ricordato – per salvaguardarsi dagli attaccanti esterni che sfruttano punti di debolezza, ma anche dal dipendente interno malintenzionato che potrebbe operare proprio sotto i loro occhi. In queste nuove metafore la problematica relativa al controllo di credenziali, secret e privilegi rimane, ma non è identica al contesto on premise tradizionale. È cruciale adottare misure specifiche armonizzate tra i diversi contesti tecnologici. Inoltre, dal punto di vista operativo, la gestione degli accessi privilegiati dovrebbe consentire un flusso di lavoro semplificato per l’amministratore e l’utente, compreso l’ingresso just in time. Infine, per l’auditing, dovrebbero essere rese disponibili reportistiche complete e dettagliate delle attività privilegiate in ambienti complessi e ibridi.

 

Show Buttons
Hide Buttons