Constatazioni effettuate nel quadro della vigilanza sui cyber-rischi del 2021
La FINMA ha continuato a considerare i cyber-rischi tra i principali rischi per la piazza finanziaria svizzera, motivo per cui nel 2021 ha allocato ulteriori risorse in questo settore. Rispetto al 2020, ha inoltre aumentato in misura significativa il numero dei controlli in loco incentrati sui cyber-rischi.
Risultati dei controlli in loco e cyber-attacchi di grande importanza segnalati
Gli istituti assoggettati riservano un’attenzione sempre maggiore ai cyber-rischi, che spesso annoverano fra i rischi principali. Tra il 2019 e il 2021 la FINMA ha quasi triplicato i controlli in loco presso gli istituti e per il 2022 è prevista un’ulteriore intensificazione di questi interventi. Nel 2021 è tuttavia emerso che alcuni istituti assoggettati non hanno sottoposto alla direzione o al consiglio di amministrazione un resoconto periodico riguardo a tali rischi.
Nell’identificazione delle potenziali minacce di cyberattacchi specifiche agli istituti, alcuni di essi non disponevano di una chiara definizione del volume e del contenuto dei dati critici e/o sensibili specifici all’impresa. Di conseguenza questi istituti avevano difficoltà a concepire un dispositivo di protezione mirato.
Per ottenere una visione d’insieme più ampia e fedele alla realtà della resistenza ai cyber-attacchi da parte degli istituti, in questo ambito sono stati impiegati per la prima volta nel 2021 due diversi scenari di analisi basati su minacce. Da un lato sono stati testati i processi di individuazione e reazione durante un cyber-attacco simulando scenari concreti mediante cosiddetti table top exercise, dall’altro, in condizioni controllate e di concerto con gli istituti, la FINMA ha incaricato degli specialisti di effettuare test basati su scenari.
Gran parte delle constatazioni effettuate nei controlli in loco hanno riguardato la protezione dei processi operativi e dell’infrastruttura tecnologica. Per alcuni assoggettati sussiste un potenziale di miglioramento negli ambiti della formazione (cyber-training) e della sensibilizzazione in materia di cyber-sicurezza (awareness). Per un efficace dispositivo di protezione è indispensabile che il personale a tutti i livelli gerarchici sia informato regolarmente sui cyber-rischi, conosca i metodi di attacco più comuni, tra cui il phishing, e sia al corrente su quali siano gli interlocutori all’interno dell’azienda a cui rivolgersi quando si sospetta un cyber-attacco.
Più della metà delle segnalazioni di cyber-attacchi di grande importanza riguardava attacchi alla disponibilità dei servizi mediante la tecnica dell’interruzione distribuita del servizio (distributed denial of service, DDoS). Dall’introduzione dell’obbligo di notifica nel settembre 2020 sono state osservate complessivamente tre ondate di DDoS. Soprattutto la prima – registrata nel settembre 2020 – ha avuto pesanti ripercussioni e ha in parte pregiudicato, tra l’altro, la disponibilità dell’infrastruttura per il lavoro da remoto, i servizi e le prestazioni online e l’infrastruttura della posta elettronica. Alcuni istituti avevano trascurato le misure difensive in questo ambito. Gli attacchi a terzi sono stati la seconda categoria di segnalazioni più frequente. Il 25% circa degli assoggettati interessati non è stato attaccato direttamente, bensì indirettamente tramite i loro principali fornitori di servizi.
Nell’individuazione e nella segnalazione dei cyber-attacchi è emerso che alcuni istituti non monitorano in modo tempestivo e sistematico la propria infrastruttura tecnologica. In alcuni casi è mancata una valutazione dei dati log critici oppure questa veniva effettuata soltanto durante gli orari di ufficio.
Nel 2021 la maggior parte degli istituti ha adottato misure volte a garantire il ripristino tempestivo del normale esercizio dopo eventi straordinari. Tuttavia, in molti casi non sono state definite misure specifiche di ripristino dopo aver subito cyber-attacchi.
(Dal Rapporto annuale 2021)
