Constatazioni effettuate nel quadro della vigilanza sui cyber-rischi del 2021

Nel 2021 hanno fatto notizia i cyber-attacchi a danno di affermate imprese di tutti i settori in Svizzera e nel resto del mondo. Anche la FINMA ha constatato un numero crescente di segnalazioni di cyber-attacchi. Dall’entrata in vigore, nel settembre 2020, delle precisazioni pubblicate nella Comunicazione sulla vigilanza 05/2020 in merito all’obbligo di notificare i cyber-attacchi, ne sono stati segnalati complessivamente 95 di grande importanza per gli assoggettati interessati. Le banche sono state il bersaglio più colpito, seguite dai gestori patrimoniali e dalle assicurazioni.

La FINMA ha continuato a considerare i cyber-rischi tra i principali rischi per la piazza finanziaria svizzera, motivo per cui nel 2021 ha allocato ulteriori risorse in questo settore. Rispetto al 2020, ha inoltre aumentato in misura significativa il numero dei controlli in loco incentrati sui cyber-rischi.

Risultati dei controlli in loco e cyber-attacchi di grande importanza segnalati

Gli istituti assoggettati riservano un’attenzione sempre maggiore ai cyber-rischi, che spesso annoverano fra i rischi principali. Tra il 2019 e il 2021 la FINMA ha quasi triplicato i controlli in loco presso gli istituti e per il 2022 è prevista un’ulteriore intensificazione di questi interventi. Nel 2021 è tuttavia emerso che alcuni istituti assoggettati non hanno sottoposto alla direzione o al consiglio di amministrazione un resoconto periodico riguardo a tali rischi.

Nell’identificazione delle potenziali minacce di cyberattacchi specifiche agli istituti, alcuni di essi non disponevano di una chiara definizione del volume e del contenuto dei dati critici e/o sensibili specifici all’impresa. Di conseguenza questi istituti avevano difficoltà a concepire un dispositivo di protezione mirato.

Per ottenere una visione d’insieme più ampia e fedele alla realtà della resistenza ai cyber-attacchi da parte degli istituti, in questo ambito sono stati impiegati per la prima volta nel 2021 due diversi scenari di analisi basati su minacce. Da un lato sono stati testati i processi di individuazione e reazione durante un cyber-attacco simulando scenari concreti mediante cosiddetti table top exercise, dall’altro, in condizioni controllate e di concerto con gli istituti, la FINMA ha incaricato degli specialisti di effettuare test basati su scenari.

Gran parte delle constatazioni effettuate nei controlli in loco hanno riguardato la protezione dei processi operativi e dell’infrastruttura tecnologica. Per alcuni assoggettati sussiste un potenziale di miglioramento negli ambiti della formazione (cyber-training) e della sensibilizzazione in materia di cyber-sicurezza (awareness). Per un efficace dispositivo di protezione è indispensabile che il personale a tutti i livelli gerarchici sia informato regolarmente sui cyber-rischi, conosca i metodi di attacco più comuni, tra cui il phishing, e sia al corrente su quali siano gli interlocutori all’interno dell’azienda a cui rivolgersi quando si sospetta un cyber-attacco.

Più della metà delle segnalazioni di cyber-attacchi di grande importanza riguardava attacchi alla disponibilità dei servizi mediante la tecnica dell’interruzione distribuita del servizio (distributed denial of service, DDoS). Dall’introduzione dell’obbligo di notifica nel settembre 2020 sono state osservate complessivamente tre ondate di DDoS. Soprattutto la prima – registrata nel settembre 2020 – ha avuto pesanti ripercussioni e ha in parte pregiudicato, tra l’altro, la disponibilità dell’infrastruttura per il lavoro da remoto, i servizi e le prestazioni online e l’infrastruttura della posta elettronica. Alcuni istituti avevano trascurato le misure difensive in questo ambito. Gli attacchi a terzi sono stati la seconda categoria di segnalazioni più frequente. Il 25% circa degli assoggettati interessati non è stato attaccato direttamente, bensì indirettamente tramite i loro principali fornitori di servizi.

Nell’individuazione e nella segnalazione dei cyber-attacchi è emerso che alcuni istituti non monitorano in modo tempestivo e sistematico la propria infrastruttura tecnologica. In alcuni casi è mancata una valutazione dei dati log critici oppure questa veniva effettuata soltanto durante gli orari di ufficio.

Nel 2021 la maggior parte degli istituti ha adottato misure volte a garantire il ripristino tempestivo del normale esercizio dopo eventi straordinari. Tuttavia, in molti casi non sono state definite misure specifiche di ripristino dopo aver subito cyber-attacchi.

(Dal Rapporto annuale 2021)

Rapporto annuale 2021

Ultima modifica: 05.04.2022 Dimensioni: 2.2  MB
Aggiungere ai favoriti
Comunicazione FINMA sulla vigilanza 05/2020

Obbligo di notificare i cyber-attacchi secondo l’art. 29 cpv. 2 LFINMA

Ultima modifica: 07.05.2020 Dimensioni: 0.31  MB
Aggiungere ai favoriti
Backgroundimage