Asset protection

La solitudine dei Security Manager, perché la sicurezza parte dalle Istituzioni

di |

Mentre i responsabili della sicurezza sono attenti alla sensibilizzazione del personale dell’azienda ai rischi cyber, le Istituzioni dovrebbero avviare anche loro delle opportune campagne di sensibilizzazione rivolte ai cittadini.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

A seguito di alcune recenti frodi, appare che i clienti delle banche non sappiano distinguere la differenza fra addebito ed accredito, fra dare ed avere. Incredibile? Alcuni criminali riescono ad ottenere la fiducia del venditore e a fargli fare una operazione di addebito sul proprio conto!  Come avviene? Il cliente mette in grado il criminale di fare lui l’operazione e, chiaramente, a proprio vantaggio! Per esempio, gli comunica l’IBAN del proprio conto, e i codici dispositivi segreti (PIN, OTP).

Un’altra frode che sembra funzionare alquanto, è invece un po’ meno ovvia. Nel corso di una trattativa di compra-vendita, il compratore è invitato a pagare con un assegno circolare intestato al venditore. Quest’ultimo, una volta concordato l’importo, chiede di poter ricevere via email – per sua tranquillità –  una foto dell’assegno.

Successivamente, declina la vendita e chiude la trattativa. Il compratore, quindi, si reca in banca e chiede l’annullamento dell’assegno ed il riaccredito della somma. Resta di stucco quando la banca lo avverte che l’assegno è stato incassato!  Con le stampanti di oggi si possono guadagnare tanti soldi!  

Morale: non mandate in giro copie degli assegni!

Alcune di queste frodi sono state discusse recentemente in ANSSAIF, in un gruppo ristretto di soci: lo scambio di queste informazioni sono essenziali ai fini di cercare di prevenire le frodi e di mitigarne le conseguenze.

Infatti, per chi si occupa di sicurezza lo scenario è sconcertante.

Non solo, come del resto ampiamente noto, l’inventiva del criminale è senza fine, ma non poche colpe ha chi dovrebbe porre attenzione alla protezione del sistema informativo; ad esempio: i prodotti digitali troppo spesso contengono diverse vulnerabilità, poi scoperte nel tempo grazie agli utilizzatori; vi sono spesso errori nella gestione della manutenzione dei software e, in alcuni recenti casi,  vengono lasciate aperte diverse “porte”, consentendo così ai criminali di riuscire a portare via dati personali di dipendenti e clienti. Non si devono poi trascurare eventi come quello da me citato, sulla clientela che scambia il “dare” con l’ ”avere” e consegna i codici segreti a terzi.

Bisogna anche considerare che accanto alle minacce, sempre crescenti, permane una spinta competitiva di mercato per la facilità d’uso e semplicità degli strumenti che comporta una maggiore pressione sulle risorse di sicurezza: ciò provoca difficili compromessi.

Bisognerà, quindi, trovare il giusto equilibrio tra la facilità d’uso e le misure di sicurezza necessarie.

Per quanto riguarda le misure di sicurezza, le nuove regolamentazioni in ambito Europeo (direttiva NIS, GDPR, PSD2) ne aumentano la barriera rispetto alle frodi (ad esempio l’autenticazione forte del cliente), ma allo stesso tempo ampliano la catena del valore dei pagamenti, introducendo nuove sfide alla sicurezza per tutte le parti coinvolte.

Vita difficile per i Security Manager!

Mentre i responsabili della sicurezza sono attenti alla sensibilizzazione del personale dell’azienda ai rischi cyber, e a fornire indicazioni alla Direzione per la informazione da rivolgere alla clientela, le Istituzioni dovrebbero avviare anche loro delle opportune campagne di sensibilizzazione rivolte ai cittadini. Le accortezze da avere nell’utilizzo e nella gestione dei propri beni (dallo smartphone ai documenti personali, alla password o alla email, ecc.), che presuppongono la conoscenza del loro funzionamento, e quindi anche dei rischi ed opportunità in essi insiti,  non sono dissimili da quelle che si hanno nell’uso dei prodotti di casa o degli attrezzi di lavoro.

Le frodi esistono da quando esiste l’essere umano, ma l’impatto e la popolazione colpita erano limitati; erano anche più facili da scoprire, e ridotto il numero delle persone coinvolte, ma oggi, grazie alla evoluzione del “digitale”, i numeri sono elevati e fra le conseguenze nefaste vi può anche essere una progressiva paura nel cittadino per i possibili impatti futuri, derivanti proprio dalla trasformazione digitale stessa.

Il Governo e le parti sociali devono intensificare il loro apporto costruttivo e non lasciare soli i Security Manager.

Anthony.wright@anssaif.it