Guidance on cyber resilience for financial market infrastructures

Della cyber resilience si sono occupati anche due enti, ossia Committee on Payment and Market Infrastructures (CPMI) ed International Organization of Securities Commissions (IOSCO), che hanno analizzato in un report i principali rischi informatici affrontati dalle FMI (financial market infrastructures) e il loro livello di preparazione nel contrastare efficacemente gli eventi negativi114.

Nel Giugno 2016 la collaborazione tra CPMI (Committee on Payment and Market Infrastructures) e IOSCO (International Organization of Security Commissions) ha consentito la pubblicazione del documento “Guidance on cyber resilience in financial market infrastructures”, con l’obiettivo di fornire indicazioni per le FMI in modo da rafforzare la loro cyber resilience.

Il documento evidenzia le cinque fasi in cui si deve articolare una corretta strategia di cyber resilience (governance, identificazione, protezione, rilevamento, reazione) e i tre elementi che devono necessariamente essere presenti nel framework di cyber resilience delle FMI (testing, consapevolezza della situazione, apprendimento ed evoluzione). Cerchiamo ora di riassumere queste otto componenti della guida sulla cybersecurity115:

1) Governance: un’efficiente ed efficace cyber resilience non può prescindere da un’adeguata cyber governance. In particolare, quest’ultima si riferisce alla definizione chiara e completa di un framework sulla cyber resilience, ossia delle modalità con cui le FMI prevedono di costruire, mantenere e rivedere il proprio approccio alla gestione del cyber risk; è necessario che questo approccio sia coerente con l’obiettivo primario riguardante il settore finanziario, che è quello della stabilità.

Tale framework deve dunque specificare esplicitamente quali sono gli obiettivi di cyber resilience delle FMI; deve inoltre definire chiaramente i ruoli e le responsabilità del board delle FMI in merito alla gestione del cyber risk.

Le linee guida ritengono che il framework sulla cyber resilience costituisca un incentivo al miglioramento della capacità delle FMI di anticipare, resistere, contenere gli attacchi informatici.

114 _{CPMI-IOSCO, “Cyber resilience in financial market infrastructures”, Novembre 2014.}

110

La “Guidance” specifica che le strategie e le misure contenute nel framework non devono riguardare soltanto la tecnologia, ma anche le persone e i processi. Proprio per questo, deve esserci una coerenza tra il framework sulla gestione del cyber risk e il framework sulla gestione del rischio operativo, il quale trae appunto origine non solo dal fattore tecnologico, ma anche dal fattore umano, dai processi e dagli eventi esogeni.

2) Identificazione: un altro elemento importante che deve guidare ogni strategia di cyber resilience delle FMI è l’identificazione delle attività critiche e delle informazioni relative a tali attività che devono essere adeguatamente difese da una loro potenziale compromissione a seguito di attacchi informatici.

In particolare, le FMI devono innanzitutto individuare le loro attività e i processi di supporto, per poi condurre una valutazione del loro rischio in modo da classificare tali attività in base alla loro criticità.

Allo stesso modo, le FMI devono raccogliere informazioni sulle attività e sulla configurazione dei sistemi, incluse quelle relative alle interconnessioni con altri sistemi interni ed esterni.

3) Protezione: un’efficace strategia di cyber resilience dipende anche dall’efficacia dei controlli volti a tutelare la riservatezza, l’integrità e la disponibilità dei beni e dei servizi delle FMI.

Le FMI sono tenute a implementare una serie di controlli efficaci e a progettare sistemi e processi in linea con la conduzione di una strategia di cyber resilience, in modo da prevenire, contenere e limitare l’impatto di un potenziale incidente informatico.

4) Rilevamento: le FMI devono essere capaci di effettuare un’attività di monitoraggio in tempo reale al fine di rilevare attività anomale da un punto di vista della sicurezza informatica.

Le FMI devono monitorare i potenziali fattori di rischio interni ed esterni, e devono cercare di individuare sia le vulnerabilità pubbliche sia quelle private. Questo processo deve essere integrato con un programma di cyber threat intelligence, allo scopo di consentire una collaborazione strategica in grado di aumentare la qualità delle attività di cyber resilience delle FMI.

5) Reazione: le FMI devono essere capaci di rilevare le operazioni critiche rapidamente, in sicurezza e con un’accuratezza dei dati in modo da limitare i danni derivanti da attacchi informatici tramite una reazione tempestiva ed efficace.

111

6) Testing: una volta impiegati all’interno delle FMI, gli elementi del framework di cyber resilience devono essere sottoposti a dei test per verificare la loro efficacia. I test producono risultati che permettono di identificare eventuali lacune negli obiettivi di resilience e forniscono input alle FMI per migliorare la gestione del cyber risk.

7) Consapevolezza della situazione: una forte consapevolezza della situazione di pericolo migliora la capacità delle FMI di prevenire attacchi informatici, rilevarli rapidamente e reagire in maniera efficace.

Nello specifico, un’approfondita comprensione delle minacce informatiche più significative in termini di impatto potenziale può aiutare le FMI ad identificare meglio le vulnerabilità nelle loro attività che possono essere sfruttate nel compimento di cyber attacks, e facilitare così l’adozione di appropriate strategie di mitigazione del cyber risk.

8) Apprendimento ed evoluzione: da ultimo, per consentire un efficiente gestione del cyber risk è importante implementare un framework di cyber resilience flessibile che si evolva coerentemente con la natura dinamica del cyber risk.

A tal proposito, le FMI devono promuovere la diffusione di una cultura volta a rafforzare la consapevolezza della pericolosità del cyber risk e devono effettuare una continua rivalutazione della strategia di cyber resilience ad ogni livello all’interno della struttura organizzativa.

Nel documento sulla cyber resilience delle FMI, gli autori precisano che le FMI non devono essere considerate come singole entità, ma come soggetti appartenenti ad un sistema finanziario caratterizzato da un’elevata interconnessione tra i suoi partecipanti: questo a dimostrazione che la cyber resilience della singola FMI deve essere vista come una strategia a livello sistemico, che riguarda tutto il mercato finanziario e i suoi attori. La guida infatti non è rivolta soltanto alle FMI, ma anche alle autorità competenti, ribadendo il concetto che la risposta al cyber risk deve essere collettiva e armonizzata: soltanto attraverso una strategia comune è infatti possibile contrastare la minaccia cyber che sta colpendo in maniera particolare il settore finanziario.

4.1.5 Una strategia per la cyber resilience nelle Financial Market