Cyber-rischi (2023/2)

I cyber-rischi sul mercato finanziario si confermano elevati, pertanto la loro gestione ha costituito una priorità nell’attività di vigilanza della FINMA nel 2023.

Come già avvenuto negli anni precedenti, oltre alle regolari verifiche svolte dalle società di audit, la FINMA ha effettuato direttamente controlli in loco incentrati sul tema cyber presso più di una dozzina di istituti. Inoltre, ha intrattenuto diversi colloqui di vigilanza in materia con gli istituti di rilevanza sistemica.

Il numero dei cyber-attacchi rimane elevato

Il numero delle notifiche pervenute alla FINMA su cyber-attacchi andati a segno contro istituti assoggettati a vigilanza è rimasto stabile sul livello del 2022. La FINMA ne riferisce dettagliatamente nel Monitoraggio dei rischi 2023. Ancora una volta gli attacchi sono stati compiuti in misura sempre maggiore nei confronti dei fornitori esterni di servizi degli istituti assoggettati. Nel 2022 questi attacchi hanno rappresentato all’incirca la metà di quelli notificati. La tendenza è proseguita nel 2023, seppure con una leggera flessione (cfr. i corrispondenti capitoli nel Rapporto annuale 2022 e nel Monitoraggio dei rischi 2022).


Le esperienze degli scorsi anni hanno mostrato che gli hacker hanno preso sempre più di mira i piccoli istituti, i quali sono stati colpiti da cyber-attacchi andati a segno con una frequenza superiore alla media. Per valutare meglio tale rischio, è stata condotta un’analisi di maturità su vasta scala presso le imprese di assicurazione di piccole e medie dimensioni e presso selezionati gestori patrimoniali

 

Quota di attacchi contro fornitori esterni di servizi respetto al totale

Risultati della vigilanza in ambito cyber: carenze a livello di governance e di identificazione delle potenziali minacce

La maggior parte delle carenze identificate dalla FINMA nei controlli in loco incentrati sul tema cyber ha riguardato la governance. Molto spesso, soprattutto negli istituti di medie dimensioni, la FINMA ha constatato una demarcazione poco chiara tra la prima e la seconda linea di difesa. È essenziale che la gestione operativa dei cyber-rischi sia verificata in modo continuo da un’organizzazione indipendente preposta al controllo dei rischi, affinché la terza linea di difesa possa orientare in modo mirato i propri audit sui principali cyber-rischi a cui l’istituto è esposto.


Tra le carenze individuate dalla FINMA nei suoi controlli in loco, si colloca al secondo posto l’identificazione di potenziali minacce specifiche all’istituto. Alcuni istituti non hanno ancora definito con chiarezza che cosa comprendono i loro dati critici. Inoltre, spesso non si sa quali collaboratori abbiano accesso a dati critici, poiché manca un sistema centralizzato per le autorizzazioni. Ciò rende più difficile per l’organo preposto alla sicurezza dell’impresa approntare un dispositivo di protezione dei dati più importanti.


La FINMA ha altresì constatato carenze nel dispositivo di protezione contro la perdita di dati (Data Loss Prevention), la mancanza di uno scenario dei cyber-rischi nel Business Continuity Management o piani di backup o di ripristino attuati in modo lacunoso o non testati.

L’outsourcing accresce i cyber-rischi

Per quanto riguarda l’esternalizzazione (outsourcing), nel 2023 la FINMA ha formulato in modo chiaro la propria posizione: gli assoggettati possono esternalizzare servizi, ma non la conseguente responsabilità.


Anche nel 2023 i cyber-attacchi perpetrati contro gli istituti hanno preso sempre più di mira le tecnologie dell’informazione e della comunicazione che erano state esternalizzate a terzi. Dai controlli in loco è emerso che ciò era ascrivibile a una formulazione poco chiara dei requisiti di cyber-sicurezza nei confronti dei fornitori esterni incaricati o alla mancata o discontinua verifica di tali requisiti. I principali fornitori di servizi sono stati quindi oggetto di particolare attenzione nell’ambito della vigilanza sui cyber-rischi, nell’intento di capire perché gli attacchi nei loro confronti andavano a segno con particolare frequenza.

  • La FINMA ha spesso constatato che gli istituti direttamente assoggettati hanno posto rimedio in modo rapido alle gravi vulnerabilità, quindi hanno potuto evitare danni diretti. Tuttavia, i loro fornitori esterni spesso non hanno reagito con la stessa efficacia e non erano sufficientemente pronti ad affrontare le conseguenze di cyber-attacchi andati a segno.

  • Nel momento in cui sono emerse gravi falle nella sicurezza, solo pochi istituti hanno interagito con i loro principali fornitori esterni per garantire che potessero porvi rimedio rapidamente e prima che si verificasse un danno.

  • Molto spesso gli istituti non disponevano di informazioni complete sui loro fornitori esterni: mancava l’indicazione sull’archiviazione di dati critici presso di essi oppure sulla loro responsabilità per lo svolgimento di una funzione critica. Gli istituti hanno quindi notificato alla FINMA i cyber-attacchi contro i loro fornitori esterni dai quali erano fuoriusciti dati critici, ma non hanno inserito nell’inventario i fornitori in questione classificandoli come essenziali o critici, con la conseguenza che spesso sono stati oggetto di un controllo lacunoso o non sono stati controllati affatto in modo regolare.

  • L’osservazione di cui sopra va di pari passo con quanto precedentemente esposto nell’ambito dell’identificazione. Gli istituti interessati non avevano definito in modo chiaro i dati critici. Ciò ostacola non solo la protezione interna di questi dati, ma anche l’adeguata classificazione dei fornitori esterni e la determinazione delle necessarie misure di controllo per ridurre i rischi identificati.

 

(Dal Rapporto annuale 2023)

Rapporto annuale 2023

Ultima modifica: 20.03.2024 Dimensioni: 2.78  MB
Aggiungere ai favoriti
Backgroundimage