Cybersecurity readiness: la difesa delle banche europee

Luglio 21, 2020

In questo periodo di crisi mondiale, il rischio di cyber-attacchi cresce smisuratamente. Ogni organizzazione dovrebbe stare in allerta, ma gli istituti bancari, in particolare, hanno bisogno di piani di protezione sempre più efficienti. In questo articolo parleremo dei trend di difesa delle banche europee, ma anche della cybersecurity readiness. Vediamo insieme di cosa si tratta.

Lo studio

Uno studio, eseguito da D-Rating, ha valutato le misure di sicurezza attuate da un campione di sessanta banche situate in 15 paesi. Il campione è stato analizzato durante il periodo di quarantena causato dal Coronavirus. I risultati ottenuti dal 1° marzo all’11 maggio, riguardano le capacità di difesa. Lo studio ha rilevato le vulnerabilità di sistema, diversi tipi di attacchi comuni (come quelli da app mobile) e altri fattori.
“Il rischio informatico è un pericolo che ha il potenziale di innescare una crisi sistemica. In termini finanziari, i costi totali degli incidenti informatici sono difficili da stabilire. Nonostante ciò, per fare un esempio, la cifra relativa ai danni nel 2018 va dai 45 ai 654 miliardi di dollari. Secondo alcune stime, il costo medio degli incidenti informatici è aumentato del 72% negli ultimi cinque anni e le aziende saranno vittime di un attacco di ransomware ogni 11 secondi entro il 2021. ” (Fabio Panetta, membro del consiglio esecutivo della BCE)

I risultati dello studio sono stati tradotti in degli apprendimenti chiave:

Non tutte le banche europee condividono lo stesso livello di sicurezza e sono state viste delle elevate discrepanze tra le aree geografiche.

Sono richiesti elevati requisiti di sicurezza dalle banche. Le banche, come risaputo sono obiettivi naturali di attacchi informatici. Non per questo però è da assumere che ogni banca abbia lo stesso livello di protezione.

Tre gruppi di banche sono differenziati, in base all’efficienza della loro security.

Il primo gruppo, evidenziato per la migliore efficienza, è l’area denominata DACH: Germania, Austria e Svizzera.
In posizione intermedia vi è l’Europa del Nord, e in ultima posizione i paesi più a sud, come Spagna, Francia e Italia. Queste classificazioni, tuttavia non sono indicative di una cattiva cybersecurity. Sono state fatte semplicemente sulla base dell’altalenare dei livelli di protezione in un paese. Per meglio dire, in Germania, quasi tutte le istituzioni hanno lo stesso livello di protezione. Mentre in Italia, invece, vi sono eccellenze e casi invece ancora molto indietro.

La maggior parte delle grandi banche in Francia sono al di sotto della media degli standard europei di sicurezza informatica.

In media, le neobank, ovvero le banche che operano online, superano le banche classice sul web ma non sulle app.

E’ interessante osservare che le neobank, ovvero le banche prettamente o esclusivamente mobile, dimostrano un’eccellente readiness di cybersecurity sul web ma risultano nella media per la sicurezza delle app.

L’eccellente punteggio sul web delle neobank è sicuramente dovuto a un debito tecnico inferiore correlato a un’infrastruttura molto meno complicata e più recente.
D’altra parte, la maggior parte delle neobank sviluppa prima nuove funzionalità su App ed è probabilmente più difficile gestire il tutto ai ritmi serrati dell’evoluzione tecnologica.

Cybersecurity readiness: che cos’è?

Con il termine cybersecurity readiness si intende la prontezza con la quale un’istituzione gestisce la sicurezza informatica e tutte le sfide relative. Solitamente le aziende vengono identificate in 4 livelli di cybersecurity readiness.

Passivo

Un’istituzione passiva ha un approccio lassivo, riversando la responsabilità unicamente sul proprio reparto IT. Le revisioni delle politiche e delle procedure sono poche e lontane tra loro, così come le valutazioni dei rischi. Poiché la cyberdefence non viene curata, gran parte delle violazioni passano addirittura inosservate.

Reattivo

In queste organizzazioni, la responsabilità è sempre del reparto IT. Le pratiche di controllo vengono portate a termine circa trimestralmente. Le possibili violazioni vengono affrontate, ma senza tentare di evitare incidenti futuri.

Proattivo

Piuttosto che semplicemente reagire agli attacchi, le aziende proattive cercano di evitare quelli futuri. Poiché i loro dirigenti C comprendono i pericoli reali e presenti là fuori, le revisioni delle politiche e delle procedure di sicurezza hanno luogo mensilmente. Il dipartimento IT si concentra sulle operazioni quotidiane. Lo sforzo è al di sopra della media, ma i risultati possono ancora essere al di sotto della media.

Progressivo

Non sorprende che le organizzazioni progressive siano quelle più cyber-pronte. Mentre lavorano per evitare il maggior numero possibile di violazioni future, queste aziende si rendono conto se sono sotto attacco e se gli attacchi avranno successo. Per contrastare questa inevitabilità, utilizzano tecnologie avanzate come la tokenizzazione. Nel frattempo, effettuano revisioni e valutazione dei rischi, assumendo competenze di terze parti che alleggeriscono il carico di lavoro sulla sicurezza del team IT.

CNS: l’aiuto per le banche, per formare una cybersecurity readiness

CNS, Consorzio Nazionale Sicurezza, opera in qualità di system integrator nell’ambito della sicurezza per il mondo bancario e industriale, civile e dei trasporti, per il territorio e per i cittadini. CNS è il System Integrator Leader in Italia. CNS collabora strettamente con l’Università di Napoli Federico II ed ha selezionato come partner scientifico e tecnologico RisLab. CNS elabora ad esempio soluzioni altamente tecnologiche per la cyber-physical security nell’universo bancario. Queste soluzioni coinvolgono tutti gli elementi fisici, automatizzati e connessi alla rete, come porte automatiche, sensori di campo, telecamere di videosorveglianza collegate alla Centrale Operativa di Sicurezza.

Un occhio sempre puntato alla difesa dei nostri istituti finanziari, così da tenerli sempre pronti, al massimo della loro cybersecurity readiness.

0 Likes

0 Comments

Informazioni Sul Trattamento Dei Dati Personali Form Contattaci

ai sensi dell’articolo 13 del Regolamento (UE) 2016/679 e del Codice Privacy (D. Lgs. n. 196/2003 e ss.mm.ii.)

CNS TECH S.p.a., con sede legale in Via Giovanni Porzio n. 4 (CAP 80143) CENTRO DIREZIONALE IS. C/2 Napoli (NA), C.F. /P.IVA 07359350639, in qualità di Titolare del trattamento (di seguito, “Titolare”, “Titolare del trattamento” o “CNS”), informa, ai sensi dell’art. 13 Regolamento UE 2016/679 (in seguito “GDPR”) e del D. Lgs. n. 196/2003 (“Codice Privacy”) e ss. mm. ii., che il trattamento dei dati personali dell’utente (“Utente”) avverrà con le modalità e per le finalità seguenti.

Categorie di dati personali trattati

Nei limiti delle finalità e delle modalità descritte nella presente Informativa, il Titolare tratterà le seguenti categorie di dati (di seguito, anche “Dati Personali” o “Dati”):

dati anagrafici (nome e cognome) inerenti all’Utente che compila e invia il form;
dati di contatto (indirizzo e-mail personale e/o aziendale) inerenti all’Utente che compila e invia il form;
qualsiasi altro dato che l’Utente inserirà nella compilazione del form.
Il trattamento dei Dati è necessario per fornire assistenza e/o consulenza in merito a uno specifico prodotto e/o servizio di CNS, come richiesta dall’Utente.

Il Titolare del trattamento non tratterà dati appartenenti a categorie particolari o dati giudiziari di cui agli artt. 9 e 10 del Regolamento.

Finalità e base giuridica del trattamento

I Dati saranno trattati per dare seguito alla richiesta dell’Utente rivolta al Titolare, tramite la compilazione del form, per ricevere assistenza e/o consulenza relativa a un determinato prodotto e/o servizio offerto da CNS.

Il trattamento dei Dati Personali avviene sulla base dell’art. 6, paragrafo 2, lett. b) del Regolamento.

Modalità di trattamento

CNS tratterà i Dati Personali nel rispetto dei principi previsti dal Regolamento, vincolando il trattamento ai principi di correttezza, di liceità e trasparenza, per finalità esplicite e legittime connesse agli adempimenti di legge, alle finalità perseguite e alle attività amministrative a esse strumentali.

I Dati saranno trattati esclusivamente dal personale autorizzato al trattamento del dato e in maniera da garantire un’adeguata sicurezza dei Dati Personali, anche mediante l’utilizzo di strumenti informatici e attraverso misure tecnico-organizzative volte a prevenire la perdita dei dati, gli usi illeciti o non corretti e gli accessi non autorizzati.

I Dati non saranno utilizzati per finalità diverse e ulteriori rispetto a quelle descritte nella presente Informativa.

Categorie di soggetti ai quali i dati personali possono essere comunicati e finalità della comunicazione

Il Titolare potrà comunicare alcuni Dati a soggetti terzi dei quali si avvale per lo svolgimento di attività connesse alla gestione della richiesta. In particolare, i Dati potranno essere comunicati a soggetti terzi che offrono al Titolare servizi informatici e/o a consulenti esterni.

I suddetti soggetti potranno trattare i dati in qualità di responsabili per conto di CNS o di titolari autonomi, nel rispetto delle disposizioni di legge.

L’elenco dei Responsabili del trattamento può essere richiesto alla Società scrivendo a privacy@cnsspa.it

Non è prevista alcuna forma di diffusione dei Dati a soggetti indeterminati.

Periodo di conservazione

I Dati saranno conservati dal Titolare per un periodo di tempo non superiore al conseguimento delle finalità o in base alle scadenze previste dalle norme di legge.

In particolare, i Dati saranno conservati per il tempo strettamente necessario al perseguimento delle suddette finalità e, in ogni caso, secondo le seguenti modalità conseguenti alla richiesta di contatto, con durata massima in funzione di:

1. se, a seguito del contatto, non viene stipulato alcun contratto con l’utente, i dati raccolti nel form saranno conservati per un tempo massimo di sei mesi. Decorso tale termine, i dati dovranno essere cancellati;

2. se, a seguito del contatto, viene stipulato un contratto con l’utente, i dati saranno necessariamente conservati per tutto il periodo contrattuale. Terminato il contratto, potranno essere conservati per ulteriori dieci anni, decorsi i quali dovranno essere cancellati.

Trasferimento dei dati fuori dall’Unione europea

I Dati potranno essere trasferiti fuori dall’Unione europea da parte di fornitori di servizi di cui CNS si avvale per attività connesse alla gestione della richiesta formulata tramite la compilazione del seguente form. Tale trasferimento, ove ricorra il caso, verrà disciplinato mediante il ricorso a clausole contrattuali standard adottate dalla Commissione europea o, in alternativa, sulla base di una decisione di adeguatezza della Commissione e/o di ogni altro strumento consentito dalla normativa di riferimento.

Potrai ottenere informazioni sul luogo in cui i tuoi dati sono stati trasferiti e copia di tali dati, scrivendo a privacy@cnsspa.it

8. Diritti degli interessati

In conformità alla vigente disciplina in materia di protezione dei dati personali, l’interessato ha i seguenti diritti:

chiedere e ottenere informazioni in merito all’esistenza di propri dati personali presso il Titolare e in merito ai trattamenti di dati personali posti in essere da quest’ultimo, nonché ottenere l’accesso agli stessi;
chiedere ed ottenere la ricezione in un formato strutturato, di uso comune e leggibile da dispositivo automatico dei Dati che siano trattati con mezzi automatizzati; l’interessato potrà richiedere, inoltre, il trasferimento dei dati ad altro titolare del trattamento;
chiedere e ottenere la modifica e/o correzione dei Dati;
chiedere e ottenere la cancellazione – e/o la limitazione del trattamento – dei Dati qualora si tratti di dati o informazioni non necessari – o non più necessari – per le finalità che precedono, quindi decorso il periodo di conservazione indicato al paragrafo che precede.
Qualora l’interessato ritenga che il trattamento dei Dati Personali, a lui riferiti, effettuato attraverso questo servizio avvenga in violazione di quanto previsto dal Regolamento, lo stesso ha il diritto di proporre reclamo al Garante per la protezione dei Dati Personali, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

Maggiori informazioni sono consultabili nella Privacy Policy del presente sito web.

Il soggetto interessato potrà in qualsiasi momento esercitare i diritti suddetti, inviando apposita comunicazione al Titolare del trattamento, CNS TECH S.p.a., raggiungibile tramite i seguenti contatti:

∙ e-mail : privacy@cnssspa.it , PEC cnsspa@pec.cnsspa.it

Oppure inviando comunicazione al Data Protection Officer:

Studio Themis s.r.l. – (DPO) in persona del suo rappresentante legale Dott.ssa Rita Russo

Telefono: 3440625876

∙ e-mail: info@studiothemis.it, PEC: legal@pec.studiothemis.it

Cybersecurity readiness: la difesa delle banche europee

Lo studio

Cybersecurity readiness: che cos’è?

CNS: l’aiuto per le banche, per formare una cybersecurity readiness

0 Comments

Post Recenti

Categorie

Contatti

Menu'

Social

Cybersecurity readiness: la difesa delle banche europee

Lo studio

Cybersecurity readiness: che cos’è?

CNS: l’aiuto per le banche, per formare una cybersecurity readiness

0 Comments

Post Recenti

Categorie

Tags

Contatti

Menu'

Social