Una strategia per la cyber resilience nelle Financial Market Infrastructures (FMI)

112

Le autorità dell’Eurosistema hanno lanciato una strategia per la cyber resilience nelle FMI116_{. L’obiettivo della strategia, che è stata approvata dal Consiglio di Governo della}

BCE ad Aprile 2017, è quello di sviluppare la cyber resilience del sistema finanziario europeo mediante il rafforzamento della preparazione delle singole FMI e l’incentivo ad una collaborazione tra le autorità.

La strategia si basa su tre pilastri, ognuno dei quali riguarda vari aspetti117:

Pillar 1: prontezza delle FMI → l’Eurosistema ha messo a punto un insieme di iniziative che possono essere utilizzate dagli operatori delle FMI per rafforzare la loro cyber resilience.

Una di queste consiste nello sviluppo di un “European Red Team Testing Framework”: il termine “Red Team Testing” è in origine un termine militare usato per descrivere un team incaricato di testare le misure di sicurezza.

Nel contesto della cyber resilience, si tratta di un’esercitazione volta a simulare le tecniche più diffuse per perpetrare attacchi informatici reali, in modo da testare le capacità delle FMI di protezione dei propri asset critici, di individuazione delle vulnerabilità e di prontezza di risposta.

Il Testing Framework punta a consentire al mercato finanziario l’accesso alle migliori tipologie di cyber testing per le loro attività critiche.

Pillar 2: resilienza del settore → la cyber resilience di una FMI non dipende soltanto dalla sua preparazione e prontezza nel rispondere ad eventuali attacchi cyber, ma anche dalle interconnessioni tra i suoi stakeholders.

Un attacco informatico contro una FMI può avvenire tramite i suoi partecipanti, fornitori, venditori di prodotti, etc. Ma non solo: anche le stesse FMI possono diventare un canale di propagazione di attacchi informatici, ad esempio attraverso l’inconsapevole trasmissione di virus malevoli ad altre FMI.

Questo fa capire quanto l’elevato livello di interconnessione all’interno del settore finanziario possa accrescere le probabilità di subire attacchi cyber da parte dei soggetti che vi appartengono, grazie alla presenza di molteplici veicoli di accesso e propagazione di malware: d’altro lato, l’elevata interdipendenza richiede una maggiore attenzione al problema del cyber risk, e per questo l’Eurosistema ritiene utile un rafforzamento della cyber resilience nel settore finanziario.

116 _{Governing Council of the ECB, “Eurosystem’s cyber resilience strategy for FMIs”, Marzo 2017.} 117_{https://www.ecb.europa.eu/paym/pdf/infocus/20170619_infocus_cybercrime.en.pdf.}

113

A tale scopo, il Pillar 2 prevede di effettuare una mappatura del settore delle FMI in modo da apprezzare meglio le interdipendenze esistenti all’interno di tale ambito e identificare i “nodi” critici.

Tramite la mappatura del settore delle FMI è possibile comprendere quali sono le aree più rischiose, implementare meccanismi di comunicazione di situazioni di crisi, rafforzare l’information sharing e discutere altre questioni.

Riguardo alla collaborazione, questa deve essere rafforzata per limitare il rischio di frammentazione delle strategie di cybersecurity all’interno del settore e garantire che le autorità adottino un unico approccio sia a livello nazionale che europeo.

Un’altra componente chiave per un’efficace cyber resilience nel settore delle FMI consiste nella condivisione di informazioni sulle minacce tra i partecipanti al mercato, tra quest’ultimi e i regulators, e anche tra i regulators; questo permette di superare le frammentazioni esistenti riguardo ai flussi di comunicazione tra gli stakeholders, agevolando così la predisposizione di azioni volte a mitigare le minacce informatiche. In base al Pillar 2 della strategia dell’Eurosistema, un’efficace cyber resilience si basa sulla possibilità di rilevazione in tempi rapidi un attacco imminente, perciò le infrastrutture del mercato finanziario devono farsi trovare pronte a resistere a tali attacchi, ma anche a reagire in maniera appropriata.

Per rafforzare la preparazione delle FMI sono previste delle esercitazioni e simulazioni: in particolare ENISA (European Agency for Network and Information Security) ha il merito di essere il primo ente in grado di condurre esercitazioni su incidenti informatici e sulla gestione delle crisi a livello UE sia per il settore pubblico sia per quello privato. Le esercitazioni in questione sono le esercitazioni Cyber Europe, organizzate da ENISA ed effettuate dal 2010 con cadenza biennale: si tratta di simulazioni compiute su larga scala sugli incidenti di cybersecurity, le quali offrono l’opportunità di testare la prontezza delle organizzazioni (dunque anche delle banche) nel contrastare eventuali incidenti informatici e nell’affrontare situazioni di crisi e di interruzione dell’operatività aziendale. Pillar 3: impegno strategico dei regulator e dell’industria → l’UE riconosce l’importanza di realizzare un “forum” che riunisca gli attori del mercato finanziario, le autorità competenti e i fornitori di servizi per gestire al meglio la cyber security.

La mappatura del settore discussa nel Pillar 2 non solo identifica i nodi critici nel sistema finanziario europeo, ma aiuta anche a specificare quali sono i partecipanti al mercato e i regulators che devono essere coinvolti nel forum regolamentare-industriale per la cyber resilience implementato a livello europeo.

114

Esso punta ad assicurare la partecipazione delle cariche più alte delle organizzazioni aziendali e si focalizza sulla discussione strategica piuttosto che su quella tecnica, ma vuole anche incrementare la consapevolezza e promuovere iniziative congiunte per sviluppare soluzioni efficaci per il mercato, condividere le best practices e favorire la fiducia e la collaborazione.

In più, come menzionato nel secondo pilastro, la condivisione delle informazioni tra gli attori rilevanti è una componente importante della strategia dell’Eurosistema, che può essere rafforzata tramite la collaborazione all’interno del forum europeo.

In conclusione, si può affermare come tutte le strategie di cybersecurity descritte in precedenza sottolineino la necessaria cooperazione tra gli operatori del mercato finanziario e le autorità regolamentari; solo attraverso uno sforzo comune è infatti possibile gestire e contrastare in maniera adeguata il cyber risk, un pericolo complesso e inarrestabile che sta minacciando la stabilità finanziaria.