Da almeno un mese l’FBI sta indagando sul diversi attacchi hacker subiti dalla JPMorgan di cui l'ultimo a giugno di quest’anno e su cui sono emersi di recente alcuni particolari. Nella violazione estiva, JPM è stata solo una delle principali banche americane ad essere state colpite dagli hacker, in quello che si preannuncia come l’anno più difficile per la sicurezza informatica nel mondo finanziario. Il problema è che spesso sono le stesse banche a negare l’evidenza. Istituti come la Wells Fargo (WFC) e la stessa JPMorgan avevano dichiarato, subito dopo la scoperta degli attacchi, di non aver riscontrato nessun problema di rilievo e, nel caso della JPM, alcun furto di dati sensibili, come nomi utenti e password, usati dai clienti per accedere alla piattaforma di home banking.
“Se entri in possesso di queste informazioni puoi spendere tutti i miei soldi, ma potrei anche contattare il mio istituto e dire che non sono stato io. Non credereste a quanti sarebbero disposti a rimborsarmi pur di non perdere un buon cliente” – aveva detto solo poche settimane fa Aaron Task di Yahoo Finance. Il problema maggiore sarebbe proprio questo: i criminali informatici rubano i soldi, il cliente contatta la banca che verifica la realtà dei fatti ed effettua il rimborsa. L’istituto ci perde due volte, il criminale invece ci guadagna, quasi sempre senza essere scoperto. Qualche volta il furto può non filare liscio ma il gioco, per forza di cose, vale la candela.
E così, come spiegano al New York Times alcune fonti vicine a chi sta conducendo le indagini, ad essere sottratti dai server della JPMorgan non sono state solo informazioni “leggere” e prive di significato ma interi database con i nomi, gli indirizzi, numeri di telefono ed email dei clienti iscritti ai servizi online. Per ora, in realtà già da giugno, quello che è importante è che nemmeno un dollaro dei risparmiatori è stato sottratto da terzi, o almeno la banca è stata così brava da non far uscire fuori denunce del genere negli ultimi tre mesi. Ma questo non è un buon motivo per non preoccuparsi. Le azioni degli ultimi anni, rivolte a banche e istituti di credito, hanno messo in evidenza quanto il sistema economico sia vulnerabile ad attacchi di cybercrime. Gli smanettoni sono capaci di andare davvero a fondo: nel 2011 alcuni sono persino entrati nei sistemi della Nasdaq, senza però sconvolgere il valore e le quotazioni delle aziende in borsa.
A gennaio del 2014 invece, come ha spiegato Costin Raiu, Director, Global Research & Analysis Team dei Kaspersky Lab, un gruppo di attivisti chiamato "European Cyber Army" aveva dichiarato di aver condotto una serie di attacchi DDoS contro la Bank of America e la JPMorgan: "Un fatto che non sorprende visto l'enorme valore dei dati gestiti dagli istituti, che possono essere utilizzati direttamente per frodare i risparmiatori, ad esempio utilizzando le loro credenziali per accedere ai fondi e autorizzare operazioni finanziarie".
Visto che le banche sono una rete globale e i criminali non colpiscono solo i clienti di quelle più grandi ma possono agire ovunque, forse dovremo preoccuparci, il rischio è che le banche siano realmente indifese e costantemente sotto la minaccia dei ladri informatici. Possiamo considerarle ancora sicure a livello informatico?
Brian Klug, Flickr
“Nei limiti della conformità con la normativa direi di sì – ci spiega Matteo G. P. Flora, CEO e fondatore di The Fool - ma la sicurezza, e soprattutto i vincoli legislativi di implementazione della sicurezza, alcune volte rischiano di restare indietro rispetto a chi conduce un attacco. Per questo le banche (come le altre istituzioni) hanno il dovere morale e pratico di implementare misure idonee, capaci di contrastare i criminali e non solo di rispettare le procedure normative”.
Gli stessi problemi di adeguamento alle nuove cyber-armi che indica Andrea Zapparoli Manzoni, membro del consiglio direttivo del Clusit - Associazione italiana per la sicurezza informatica e Presidente de iDialoghi, società che si occupa di cyber security e security training: “Il problema non è solo delle banche ma è generale; le difese odierne (che risalgono ad anni fa) non permettono di combattere ad armi pari contro i cattivi. Siamo in una fase in cui per gli aggressori è facile averla vinta mentre i buoni soffrono perché hanno in mano difese oramai obsolete. È pur vero che molti attacchi vengono fermati, in media è dello 0,1% il numero di quelli che va a buon fine; una cifra ancora importante rispetto alle migliaia di attacchi lanciati ogni giorno.
In confronto agli utenti comuni e altre organizzazioni, le banche sono relativamente messe meglio, sul piano della protezione informatica. Il motivo è che, come istituti, sono soggette ad un’imposizione normativa, sia organizzativa che tecnologica (crittografia dei dati, monitoraggio stringente dell'accesso ai sistemi). Ma questo non vuol dire che siano totalmente sicure e inviolabili. Quello che serve è adottare una tecnica di prevenzione oltre che di reazione. La migliore metafora è quella del castello, che appartiene alla vecchia security, in cui la difesa si piazza sulle mura ad attendere che passi il nemico, per attaccarlo dall’alto. Ora invece bisogna agire come fa il sistema immunitario, senza aspettare che sia il nemico a fare la prima mossa ma valutare, già in lontananza, se chi attacca è una reale minaccia, così da convogliare tutte le forze a contrastarlo, senza dispendere energie e risorse. Per fare ciò serve un avanzamento di intelligence: non basta installare mille protezioni software o firewall, la tecnologia deve tornare a mettere al centro l’uomo, inteso come figura che agisca in relazione ai trend globali, non sempre prevedibili dai bit”.
Secondo Stefano Mele, avvocato e membro dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli” il problema del mancato aggiornamento a misure di sicurezza informatiche adeguate è nella struttura stessa dell’organo banca: “Quello bancario è uno dei settori più attenti alle problematiche legate alla sicurezza informatica e delle informazioni. L'alta quantità e soprattutto la qualità di dati che le banche detengono fa sì che esse siano uno dei principali obiettivi per chi commette crimini informatici. L'attenzione a queste problematiche tuttavia si scontra spesso con le priorità aziendali in merito al budget e con le tempistiche autorizzative richieste per implementare determinate procedure di sicurezza. Questo può creare una finestra temporale di vulnerabilità spesso anche abbastanza lunga, facilmente sfruttabile dai gruppi criminali. Occorre capire che quello della sicurezza informatica è per tutti un settore strategico importante, che crea a livello aziendale il maggior valore verso i clienti e i cittadini. I danni all'immagine che derivano da questo genere di violazioni, infatti, sono spesso centinaia di volte maggiori dei danni creati da chi materialmente commette le azioni criminali”.
