L’European Systemic Risk Board (ESRB) ha pubblicato un approfondimento sullo stato di sviluppo degli strumenti macroprudenziali per resilienza informatica nel settore finanziario.
L’ESRB ha identificato gli incidenti informatici come un rischio per la stabilità finanziaria. L’attuale situazione geopolitica ha aumentato questo rischio, richiedendo un cambio di passo nel rafforzamento della resilienza informatica.
La guerra in Ucraina, il più ampio panorama geopolitico e il crescente ricorso agli attacchi informatici hanno aumentato in modo significativo le minacce informatiche.
La risposta iniziale dell’ ESRB è stata quella di migliorare la condivisione delle informazioni sulle minacce informatiche tra tutti i Paesi aderenti.
Tuttavia, l’attuale contesto di minacce informatiche richiede un cambio di passo negli sforzi dell’UE per migliorare la sicurezza informatica a livello di sistema, sforzi che devono andare oltre il miglioramento della resilienza informatica a livello di singole entità.
Ciò include l’operatività degli approcci alla resilienza informatica considerati nel presente rapporto.
In particolare, evidenzia l’ESRB, è necessario intervenire per mitigare il rischio che un incidente informatico comprometta l’erogazione di funzioni economiche chiave e si trasformi in un evento sistemico.
Per incidente informatico si intende qualsiasi interruzione dei sistemi tecnologici, anche a causa di un attacco informatico.
Un incidente informatico può causare la perdita di disponibilità di un servizio critico e/o la perdita di riservatezza, integrità o affidabilità dei dati alla base di un servizio critico.
Questo potrebbe a sua volta compromettere l’erogazione di una funzione economica chiave.
Sul punto, evidenzia l’ESRB, Esistono tre livelli chiave di difesa per evitare che un attacco informatico si trasformi in un evento sistemico:
- il primo livello è costituito dalle capacità di resistenza e rilevamento delle istituzioni finanziarie. Se le istituzioni finanziarie sono in grado di rilevare le minacce informatiche e di impedirne l’ingresso nei loro sistemi, è possibile prevenire un incidente informatico;
- il secondo livello è costituito dalle capacità di risposta e recupero delle istituzioni. Se il primo livello di difesa di un istituto finanziario è stato violato, ma l’istituto ha la capacità di reagire e riprendersi dall’incidente informatico e continuare a fornire i propri servizi in modo tempestivo, l’incidente informatico può essere contenuto prima che si amplifichi.
- il terzo livello di difesa è costituito dalle capacità di coordinamento e di azione delle autorità. Se le autorità sono in grado di intervenire utilizzando strumenti analitici e di policy, possono essere in grado di contenere un incidente informatico che ha iniziato a colpire il sistema finanziario in modo più ampio prima che si trasformi in un evento sistemico. Oppure, se si è trasformato in un evento sistemico, le autorità possono essere in grado di attenuarne le conseguenze.
L’ESRB e altre autorità hanno elaborato un quadro di riferimento per valutare e migliorare la resilienza di questi tre livelli di difesa.
Gli elementi chiave del primo livello di difesa sono già stati rafforzati in linea con il Digital Operational Resilience Act (DORA).
Le capacità di resistenza e rilevamento del primo livello di difesa, insieme alle capacità di risposta iniziale, sono già testate utilizzando i test di penetrazione guidati dalle minacce delineati nel DORA.
Le novità introdotte dal Regolamento DORA verranno analizzate nel webinar organizzato da questa Rivista. Informazioni disponibili al seguente link.
Nell’UE ciò avviene attraverso l’approccio TIBER-EU e nel Regno Unito attraverso il quadro CBEST.
Sebbene questi test aiutino a identificare le potenziali debolezze che devono essere affrontate, in genere non verificano le capacità di ripristino.
Pertanto, è fondamentale che il secondo e il terzo livello di difesa siano testati e che i rischi identificati siano mitigati per garantire che tutti e tre i livelli di difesa siano resilienti e migliorare la resilienza informatica.
Il presente rapporto si concentra su tre elementi relativi al secondo e al terzo livello di difesa che supportano le capacità di valutazione e azione delle autorità dell’UE.
Le sezioni 2 e 3 esaminano diversi strumenti analitici.
La sezione 2 esamina in particolare:
- come testare in sicurezza scenari informatici gravi ma plausibili;
- come valutare il potenziale impatto degli scenari sulla stabilità finanziaria; e
- sulla base dei risultati dei test, come identificare le azioni necessarie per mitigare i rischi individuati.