Pillola di DORA
pwc.com/it/dora La Gestione degli #3
Incidenti ICT e
Cybersecurity
Il Contesto
Regolamentare
L’emanazione di Direttive (come tali non self executing e dunque soggette ad un processo di recepimento) a livello europeo ha portato alla proliferazione di normative emanate a livello nazionale da parte degli Stati Membri, con l’ovvia conseguenza di creare un quadro regolamentare frammentario e talvolta contraddittorio.
Con lo scopo di armonizzare ed uniformare le precedenti disposizioni, il Regolamento DORA pone, a differenza delle altre normative, l’ accento sulla resilienza del mercato finanziario europeo nel suo complesso offrendo alle entità finanziarie strumenti comuni per la classificazione e
segnalazione degli incidenti ed un modello di processo per una efficace gestione degli stessi.
Il processo di Incident Management è un processo fondamentale e necessario per evitare o
minimizzare impatti di tipo economico così come reputazionale, dovuti ad un incidente cyber e poter dunque ripristinare nel più breve tempo possibile la normale erogazione dei servizi.
Consapevole dell’importanza rivestita da questo essenziale processo, il legislatore, sia a livello nazionale che europeo, ha regolato la materia
attraverso numerose normative. Normativa UE
Classificazione Segnalazione
GDPR
definizione di Data Breach,
violazione di sicurezza che comporta la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali.
Notifica al Garante e, nei casi di rischio elevato, a tutti gli Interessati, entro 72 ore dall’identificazione
PSD2
8 criteri con relative soglie, definite sulla base dei livelli di impatto, al fine di
classificare la rilevanza di un incidente
Segnalazione all’Autorità Competente
degli incidenti classificati quali «major incident»
entro 2 ore
Direttiva NIS 3 criteri al fine di
determinare la rilevanza di un incidente
Segnalazione all’Autorità nazionale Competente o al CSIRT nazionale degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali senza ingiustificato ritardo
Banca d’Italia
10 criteri con relative soglie, integranti GDPR e PSD2, al fine di classificare la gravità di un incidente
Segnalazione a Banca d’Italia degli incidenti classificati quali «gravi»
entro 2 (banche
significant) o 4 (banche less significant) ore
Perimetro Nazionale di Sicurezza
Cibernetica
tassonomia degli incidenti al fine di determinarne la rilevanza e le tempistiche di segnalazione
Segnalazione al CSIRT nazionale degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali entro 1 o 6 ore
(in funzione della tassonomia)
Normativa Nazionale
Il Confronto con le Normative applicabili
PwC
Il processo di Gestione degli Incidenti nel DORA
I requisiti del Pillar 2 «Gestione dei Rischi relativi alle TIC» e del Pillar 3 «Incidenti connessi alle TIC», delineano un processo di gestione, reporting e segnalazione degli incidenti semplificabile in 6 macro-fasi, ognuna di esse profondamente interconnessa con le altre.
La corretta strutturazione del processo e
l’adozione delle tecnologie abilitano la tempestiva ed efficace risposta in caso di Incidente,
preservando la continuità dei Servizi di erogati.
Il valore aggiunto del Regolamento DORA
Definizione di un processo di gestione per monitorare e registrare gli incidenti connessi alle TIC in ottica end-to-end, individuando espressamente le fasi dello stesso. In tal modo il Regolamento eleva le best practice ed i framework di settore ad un livello normativo e regolamentare.
Introduzione di una metodologia comune per la classificazione degli incidenti sulla base di criteri predefiniti*.
Armonizzazione della segnalazione alle Autorità Competenti dei gravi incidenti connessi alle TIC, mediante l’utilizzo di procedure e modelli comuni*.
Possibilità di centralizzare a livello EU le segnalazioni di incidenti ICT e Cyber, mediante una relazione congiunta delle AEV, della BCE e dell'ENISA unita alla facoltà di partecipazione alle attività di info sharing a livello Europeo.
* Ulteriori dettagli in merito alle soglie di impatto per la classificazione, procedura e modelli per la segnalazione saranno dettagliati dalle AEV all’interno di specifiche norme tecniche di regolamentazione (RTS)
** Per ulteriori dettagli, rif. Pillola 4
NIST Cybersecurity Framework Regolamento DORA COBIT 2019
Identify
Protect
Detect
Respond
Recover
Define classification schemes for incidents and service requests
Maintain business resilience Record, classify and prioritize
requests and incidents
Close service requests and incidents Perform proactive problem
management
Track status and produce reports Identificazione**
Prevenzione e Protezione**
Individuazione
Risposta e Ripristino
Apprendimento ed evoluzione
Reporting e Comunicazione
Individuazione Processo e Step
I requisiti DORA: Art. 12 - 15
• Predisposizione da di meccanismi per individuare tempestivamente attività anomale, problemi di prestazione della rete delle TIC, incidenti ad esse connessi, punti di guasto importanti.
• Meccanismi periodicamente testati e che prevedano molteplici livelli di controllo,
definiscano soglie di allarme e criteri per l’avvio dei processi di individuazione degli incidenti e di risposta agli stessi.
• Istituzione di meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti.
• Allocazione di risorse e capacità sufficienti al monitoraggio delle attività degli utenti.
• Predisposizione di indicatori di early warning, con l’impostazione di un sistema di monitoraggio proattivo mirato a prevenire il verificarsi
degli incidenti.
• SIEM’s
• IDPSs
• UEBA
• Antivirus and antispam software
• File integrity monitoring (FIM)
• End-to-End Monitoring
• Mobile User, Page Speed and Real-user Monitoring
• AI-powered Infrastructure monitoring
• Application performance monitoring
Tecniche e tecnologie a supporto
Alert operativi occorsi o potenziali provenienti da
fonti automatiche (e.g guasto del doppio alimentatore nel server)
Alert di sicurezza provenienti da fonti
automatiche (e.g IDPS, antimalware)
Alert operativi/di sicurezza provenienti da fonti manuali
(e.g ticket e segnalazioni dipendenti)
Correlazione e normalizzazione dei feed
Analisi ed Individuazione degli eventi
La fase di Individuazione consente di individuare in modo proattivo e tempestivo le attività anomale e i degradi di performance che coinvolgono un sistema o una rete, i punti di guasto degli stessi, così come gli eventi malevoli, allo scopo di predire degradi di performance e consentire una rapida risposta..
PwC
Risposta e Ripristino
• Protezione da DoS e DDoS
• Endpoint o Host-based Detection e Response (EDR)
• Tools di Deception
• SOAR / SOAPA
• Real-time data analytics & log management
• AI-guided Anomaly Response & Capacity Planning
• Virtualization/ Gold Standard Refreshment
• Ransomware Detection
• Vulnerability Remediation
• Root-cause isolation e Service Recovery
• Automated Incident Response (e.g. RPA)
Processo e Step
La fase Risposta e Ripristino prevede l’esecuzione di tutte quelle attività di contenimento e risposta finalizzate alla rimozione dell’incidente e al ripristino tempestivo delle condizioni normali di operatività.
Nell’eseguire tale attività l’organizazzione sarà chiamata non solo a rimuovere le cause scatenanti l’incidente, ma dovrà svolgere per quanto riguarda gli incidenti di sicurezza anche quelle attività investigative atte a capire il profilo dell’attaccante, le relative motivazioni e i vettori di attacco utilizzati.
Tecniche e tecnologie a supporto
I requisiti DORA: Art. 10 - 15
• Adeguati accordi, piani, procedure e meccanismi al fine di rispondere in maniera rapida ed efficace e trovare una soluzione a tutti gli incidenti connessi alle TIC al fine di limitare i danni e privilegiare la ripresa della attività e le azioni di ripristino.
• Piani dedicati comprendenti tecnologie, processi e misure di contenimento idonei a ciascun tipo di incidente e a scongiurare danni ulteriori, nonché procedure mirate di risposta e ripristino.
• Processi per garantire in maniera coerente e integrata il monitoraggio e il trattamento degli incidenti connessi alle TIC in modo da identificare ed eliminare le cause di fondo e prevenire il verificarsi di tali incidenti.
• i ruoli e le responsabilità per i diversi scenari e tipi di incidenti e stabilisca una procedura di risposta agli stessi.all’interno del processo di gestione degli incidenti.
Risposta Ripristino
* ….
Containment Definizione del piano di contenimento dell’incidente
sulla base delle analisi effettuate al fine di evitare ulteriori impatti interni / esterni
Eradication Esecuzione tempestiva e massiva di tutte le azioni atte
a bloccare la propagazione dell’evento eliminandone le
cause
Ripristino Ripristino della normale
operatività, riportando i sistemi ad uno standard di
servizio in linea con le aspettative di business.
Fonte: «NIST 800-61 Aligned Methodology
Apprendimento ed Evoluzione
Processo e Step
Il tema dell’apprendimento richiama la crescente attenzione alle azioni volte al miglioramento continuo del modello di gestione, al fine di costruire nel tempo la capacità di assorbire gli effetti associati a un incidente o a un contesto in continua evoluzione e rispondere/adattarsi ad esso in modo sempre più efficace.
L’evoluzione guida il cambiamento attraverso una serie di azioni che portano ad una revisione dell’organizzazione in termini di persone, piani e procedure che la rendono più preparata per gli eventi futuri.
I requisiti DORA: Art. 12 - 16
• Riesame successivo all’incidente e analisi delle cause della perturbazione e identificazione dei miglioramenti che è necessario apportare alle operazioni riguardanti le TIC.
• Integrazione degli insegnamenti del riesame nel processo di valutazione dei rischi, che prevede opportune revisioni delle relative componenti del quadro per la gestione dei rischi.
• Monitoraggio dell’efficacia della strategia di resilienza, anche riguardo l’evoluzione delle minacce informatiche e gli sviluppi tecnologici per poter comprendere i livelli di esposizione ai rischi relativi alle TIC.
• Elaborazione, per tutti i dipendenti e i dirigenti, programmi di sensibilizzazione e formazione obbligatoria sulla resilienza operativa digitale.
Le Principali Innovazioni
Analisi delle nuove fattispecie di rischio e minacce applicabili Integrazione delle Lesson Learned nel processo di Incident Management
Evoluzione delle modalità di rendicontazione dei test e verifiche
Definizione di programmi di formazione in materia di resilienza operativa digitale dedicati
Sharing delle informazioni con altri player di mercato e
sensibilizzazione sulle minacce informatiche
Analisi delle Root Cause
Analisi delle modalità di incident handling &
escalation
Analisi degli esiti dei test e verifiche di Resilienza
Operativa*
Lessons Learnt
Apprendimento Evoluzione
* Per ulteriori dettagli, rif. Pillola 5
PwC
Reporting e
Comunicazione (1/3)
Reporting e Comunicazione Interna
Gli enti finanziari stabiliscono un piano e una strategia di comunicazione da attivare al fine di garantire che quest’ultima sia veicolata a tutti gli stakeholder interni all’azienda.
La comunicazione include inoltre adeguate procedure interne di escalation e la gestione dei reclami dei clienti legati alle TIC.
Le attività di comunicazione e di reporting sono cicliche e reiterate nel tempo, per tutta la durata del processo di gestione degli incidenti. È possibile identificare diverse tipologie di comunicazione di dettaglio a seconda della finalità:
•
Follow Up durante la gestione dell’incidente: la comunicazione deve essere tempestiva verso le parti interessate fin dalla prima rilevazione dell’incidente (individuazione) e dev’essere finalizzata all’attivazione del processo di escalation ed alla gestione effettiva dell’evento.•
Reporting al Consiglio di Amministrazione: comunicazione formale della risoluzione dell’evento al Top Management, al fine di provvedere con gli appositi adempimenti informativi sullo stato dell’evento critico occorso.I requisiti DORA: Art. 13 - 15
• Elaborazione di piani per la comunicazione al personale e gestione dei mezzi di comunicazione conformemente
• Le politiche di comunicazione per il personale devono tenere conto dell'esigenza di operare un distinguo tra il personale coinvolto nella gestione dei rischi relativi alle TIC, in particolare per quanto riguarda la risposta e il ripristino, e il personale che è necessario informare.
Reporting e
Comunicazione (2/3)
Comunicazione Esterna
All’interno dei piani di comunicazione, oltre alle comunicazioni interne devono essere previste opportune e tempestive informative verso i diversi stakeholder coinvolti, inclusi i clienti finali qualora l'incidente abbia o possa avere un impatto sui loro interessi finanziari.
I requisiti DORA: Art. 13 - 17
• Predisposizione di piani di comunicazione che consentano una divulgazione responsabile di informazioni sugli incidenti connessi alle TIC o sulle vulnerabilità più rilevanti ai clienti e alle controparti nonché al pubblico, a seconda dei casi.
• Al verificarsi di un incidente grave connesso alle TIC, le entità finanziarie procedono secondo il seguente iter:
• Notifica iniziale;
• Relazione intermedia;
• Relazione finale.
• L’autorità competente trasmette i dettagli
dell’incidente alle autorità pubbliche a seconda dei casi (ABE, ESMA, EIOPA) al fine di adottare tutte le misure necessarie per proteggere la stabilità del sistema finanziario.
Relazione intermedia Relazione finale Notifica iniziale
Entro la fine del giorno lavorativo oppure, nel caso di un incidente grave connesso alle TIC che si sia verificato:
• Meno di due ore prima della fine del giorno lavorativo:
• Entro quattro ore dall'inizio del giorno lavorativo successivo;
• Qualora non siano disponibili canali di segnalazione, non appena questi diventino disponibili.
Entro una settimana dalla notifica iniziale seguita:
• Da notifiche aggiornate, ogni qualvolta sia disponibile un aggiornamento della situazione,
• Su specifica richiesta dell'autorità
competente.
Si effettua:
• Quando l'analisi delle cause di fondo è stata completata,
indipendentemente dal fatto che le misure di attenuazione siano già state attuate;
• Quando al posto delle stime sono disponibili i dati dell'impatto effettivo, ma in ogni caso entro un mese dall'invio della segnalazione iniziale.
Un’adeguata formalizzazione di accordi contrattuali e solidi rapporti con le terze parti risultano fondamentali per la gestione di un tempestivo reporting.
Reporting e Segnalazione alle Autorità
Il processo di gestione degli incidenti deve garantire la notifica e segnalazione degli incidenti gravi alle Autorità di Vigilanza, declinata secondo reportistica predefinita in segnalazioni iniziali, intermedie e finali:
PwC
Previa consultazione dell’ENISA e della BCE, le AEV trasmettono alla
Commissione i formati, i modelli e le procedure standard tramite cui
segnalare un incidente grave connesso alle TIC. Alla Commissione è delegato il potere di integrare il precedente
regolamento e di adottare le norme tecniche di attuazione comuni in conformità ai regolamenti UE.
Reporting e
Comunicazione (3/3)
Il ruolo delle Autorità Competenti
Le Autorità Competenti devono fornire dettagli pertinenti sugli incidenti ad altre istituzioni o autorità: le AEV, la BCE e i punti di contatto unici designati ai sensi della direttiva (UE) 2016/1148.
Uno sguardo al futuro: i
Regulatory Technical Standards
Tra i Regulatory Technical Standard (RTS) attesi in seguito all’emanazione del Regolamento ci si aspetta dalle Autorità di Vigilanza l’approfondimento in merito ai dettagli operativi pertinenti alla gestione degli incidenti:
• Armonizzazione dei modelli e dei contenuti per la classificazione degli incidenti connessi alle TIC;
• Contenuti e formato della segnalazione di incidenti gravi connessi alle TIC alle Autorità competenti;
• Centralizzazione delle modalità di segnalazione di incidenti gravi connessi alle TIC.
Art. 18 - Armonizzazione dei modelli e dei contenuti per la segnalazione
Art. 19 - Centralizzazione della segnalazione di incidenti gravi
Dopo aver ricevuto la prima
segnalazione, l’autorità competente invia il prima possibile all’entità finanziaria tutti i riscontri o gli
orientamenti necessari, al fine di ridurre gli effetti avversi. Annualmente viene poi stilato dalle AEV un documento contenente il numero degli incidenti gravi connessi alle TIC, la natura, l’impatto, i costi, redigendo così statistiche di alto livello.
Le AEV, in accordo con BCE e ENISA, redigono una relazione congiunta al fine di centralizzare le segnalazioni degli incidenti gravi connessi alle TIC da parte delle entità finanziarie.
In questo modo si riducono i costi associati, si agevola il flusso delle segnalazioni e si corroborano le analisi tematiche.
Art. 20 - Riscontri forniti alle autorità di vigilanza
© 2021 PricewaterhouseCoopers Business Services Srl. All rights reserved. PwC refers to PricewaterhouseCoopers Business Services Srl and may sometimes refer to the PwC network. Each member firm is a separate legal en tity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.
Contatti
Paolo Carcano Partner
+39 334 6896335
paolo.carcano@pwc.com
Francesco Ferrari Partner
+39 335 7543263
francesco.ferrari@pwc.com
Alessandra Giannunzio Director
+39 340 8225230
alessandra.giannunzio@pwc.com