Rischi informatici (2023/2)

I rischi informatici a cui va incontro il mercato finanziario restano elevati. La gestione dei rischi informatici è stata quindi un punto focale dell'attività di vigilanza della SFMA nel 2023.

Come negli anni precedenti, la SFMA ha condotto direttamente controlli di vigilanza in loco specifici per il cyber presso più di una dozzina di istituti, oltre agli audit regolari condotti da società di audit. Inoltre si sono svolti numerosi scambi di vigilanza con istituti di rilevanza sistemica sul tema dei rischi informatici.

Il numero degli attacchi informatici rimane elevato

Il numero di comunicazioni presentate alla SFMA riguardo ad attacchi informatici riusciti contro imprese assoggettate è rimasto stabile ai livelli registrati nel 2022. La SFMA ha ampiamente riferito su questi attacchi nel Risk Monitor 2023. Sono inoltre aumentati ulteriormente gli attacchi contro i fornitori esterni di servizi delle imprese vigilate. Nel 2022, tali attacchi hanno rappresentato circa il 50% degli attacchi informatici segnalati. Questa tendenza è continuata nel 2023 a un ritmo leggermente più lento (si vedano a questo proposito i commenti nel rapporto annuale 2022 e nel Risk Monitor 2022).

L'esperienza degli anni precedenti ha dimostrato che gli aggressori prendevano di mira sempre più gli istituti più piccoli e che questi istituti sono stati colpiti da un numero superiore alla media di attacchi informatici riusciti. Per facilitare una migliore valutazione di tali rischi, è stata effettuata un'analisi approfondita per valutare lo stato di preparazione delle compagnie assicurative di piccole e medie dimensioni e di gestori di portafoglio selezionati.

Risultati della vigilanza informatica: carenze nell'area della governance e identificazione di potenziali minacce

Gran parte delle carenze identificate dalla SFMA durante le sue revisioni prudenziali in loco specifiche per il cyber riguardavano l'area della governance. La SFMA ha riscontrato spesso, soprattutto tra gli istituti di medie dimensioni, un confine poco chiaro tra la prima e la seconda linea di difesa. È importante che la gestione operativa dei rischi informatici sia continuamente rivista da un'organizzazione indipendente di controllo dei rischi in modo che la terza linea di difesa possa concentrare i propri audit sui rischi informatici più significativi per l'istituto.

Le carenze nell'identificazione di potenziali minacce specifiche dell'istituto sono state il secondo problema più comune identificato dalla SFMA nel corso delle sue revisioni prudenziali in loco. Ad alcune istituzioni manca ancora una definizione chiara di cosa comprendano i loro dati critici. Inoltre, spesso non sanno quale dei loro dipendenti ha accesso ai dati critici perché non dispongono di uno strumento di autorizzazione centrale. Ciò rende più difficile per l'organizzazione di sicurezza dell'istituto stabilire misure di protezione incentrate sui dati più importanti.

La SFMA ha inoltre individuato carenze nelle misure di protezione volte a prevenire la perdita di dati, l'assenza di uno scenario informatico nei sistemi di gestione della continuità operativa e piani di backup o ripristino non adeguatamente implementati o non testati.

Maggiori rischi informatici associati all'outsourcing

Nel 2023, la SFMA ha chiaramente espresso le sue aspettative riguardo all'outsourcing: le aziende vigilate potrebbero esternalizzare i servizi ma non la responsabilità associata.

Nel 2023, la percentuale di attacchi informatici contro le istituzioni che hanno colpito le tecnologie dell'informazione e della comunicazione esternalizzate a terzi ha continuato ad aumentare. I risultati delle revisioni di vigilanza in loco hanno indicato che questa tendenza era dovuta alla mancata fornitura ai fornitori di servizi incaricati di chiari requisiti di sicurezza informatica o al mancato monitoraggio o revisione regolare della conformità a tali requisiti. I principali fornitori di servizi sono quindi diventati il ​​fulcro della vigilanza sui rischi cibernetici. L'obiettivo della SFMA era scoprire perché gli attacchi contro i fornitori di servizi raggiungevano percentuali di successo superiori alla media.

• La SFMA ha spesso osservato che le aziende sottoposte a vigilanza diretta sono riuscite a tenere rapidamente sotto controllo le loro vulnerabilità più gravi e ad evitare così danni diretti. Tuttavia, i loro fornitori di servizi spesso non riuscivano ad agire con lo stesso livello di efficacia e non erano adeguatamente preparati per attacchi informatici di successo.
• In casi che comportavano gravi lacune nella sicurezza, solo un numero molto limitato di istituzioni comunicava con i propri fornitori di servizi per assicurarsi che fossero in grado di colmare tali lacune rapidamente e prima che si verificassero danni.
• In molti casi, le istituzioni non disponevano di un inventario completo dei propri fornitori di servizi. Mancavano inoltre informazioni aggiuntive che indicassero che i dati critici sono archiviati presso un fornitore di servizi o che un fornitore di servizi è responsabile della fornitura di una funzione critica. Di conseguenza, le istituzioni, pur avendo segnalato alla SFMA attacchi informatici contro i loro fornitori di servizi che avevano causato la perdita di dati critici, non avevano registrato nell’inventario il fornitore di servizi come “importante” o “critico”. Di conseguenza, i fornitori di servizi spesso venivano monitorati in modo incompleto o non veniva effettuato alcun monitoraggio regolare.
• Questa osservazione va di pari passo con la constatazione sopra descritta in relazione all'identificazione, in cui le istituzioni competenti non avevano una definizione chiara di ciò che costituisce per loro dati critici. Ciò non solo impedisce l'attuazione di misure interne per la protezione dei dati rilevanti, ma rende anche più difficile classificare adeguatamente il fornitore di servizi e determinare le misure di monitoraggio necessarie per ridurre i rischi identificati.

(Dalla relazione annuale 2023)

Documenti