Richard Harmon (in foto), VP & global head of financial services, Red Hat, spiega come il settore finanziario può prepararsi a una nuova era di resilienza. Lo fa nell’articolo che vi proponiamo qui di seguito.
Buona lettura.
La gestione del rischio digitale sta diventando sempre più importante in un’epoca di crescente adozione del cloud da parte del settore finanziario. I nuovi quadri normativi, come DORA (Digital Operational Resilience Act), hanno come obiettivo indicare agli istituti di credito la strada per migliorare sicurezza e resilienza. L’adozione di una strategia a livello di settore è utile per implementare i requisiti richiesti dai nuovi regolamenti. In questo quadro, il modello di cloud ibrido può presentare notevoli benefici.
Settore finanziario alla prova dei requisiti di conformità
Dopo la crisi finanziaria globale del 2008, l’integrità e la resilienza delle banche e dei sistemi finanziari sono diventate una questione fondamentale per i governi e le autorità di regolamentazione, con un processo di continuo inasprimento dei requisiti di conformità. Un esempio attuale in ambito UE è il già citato DORA, approvato nel 2022 e di cui si prevede l’entrata in vigore entro il 2024. DORA obbliga le società del settore finanziario a garantire la resilienza di tutte le tecnologie utilizzate. Ma anche la stabilità operativa dei sistemi digitali, imponendo a tutti gli operatori di adottare misure adeguate per migliorare la loro resilienza. Questo a fronte di qualsiasi possibilità di interruzione delle operazioni o di minacce che possono intaccare le loro tecnologie di informazione e comunicazione. Inoltre, il quadro normativo di DORA non riguarda solo le grandi banche, ma si applica a tutti i tipi di società finanziarie. Dai fornitori di credito e di pagamenti alle società di investimento e di assicurazione, agli operatori di scambio di criptovalute e alle piattaforme di crowdfunding. Infine, DORA prevede la regolamentazione e supervisione di tutti i fornitori terzi di tecnologie ICT che servono gli operatori del settore finanziario. Compresi i grandi cloud provider come Microsoft, Amazon o Google.
Resilienza operativa digitale fondamentale per il settore finanziario
Il nuovo regolamento rappresenta la strategia dell’UE per far fronte alla crescente digitalizzazione del settore finanziario e ai rischi di sicurezza che ne derivano. Soprattutto per quanto riguarda l’esternalizzazione dei servizi IT a partner “offshore” o l’utilizzo di offerte cloud. La resilienza operativa digitale è fondamentale per mitigare i rischi informatici, anche dal punto di vista economico. Sebbene non sia facile stimare i costi causati dagli incidenti operativi, ricerche di settore suggeriscono una cifra compresa tra 2 e 27 miliardi di euro all’anno per il settore finanziario in tutta l’Unione.
Il rischio di legarsi a un unico cloud provider
Un punto chiave per le autorità di regolamentazione è il rischio di concentrazione del cloud. Ovvero il rischio sistemico associato all’esternalizzazione di funzioni business-critical comuni, come i pagamenti o la compensazione, a un unico cloud provider. Un’interruzione o una vulnerabilità presso tale fornitore potrebbe avere un impatto significativo se più istituti finanziari dipendono da quel servizio senza una sufficiente ridondanza.
DORA è stato preso a modello anche da altre autorità di regolamentazione del mondo per i contenuti che ha messo in luce. Nel Regno Unito, ad esempio, la Banca d’Inghilterra ha affermato l’intenzione di valutare la resilienza degli hyperscaler cloud. Negli Stati Uniti, invece, la Federal Reserve, il Congresso e altre personalità politiche stanno conducendo delle verifiche sull’adeguatezza delle autorità di regolamentazione ad affrontare i rischi del cloud. Inoltre, a Singapore, Hong Kong e in Australia, le banche sono già tenute a condurre vari gradi di due diligence sui partner tecnologici. Questo per dimostrare di avere sufficienti misure di salvaguardia e piani di risposta in caso di interruzioni.
Aumentano i rischi per la sicurezza
DORA – e tutto ciò che ne seguirà – arriva in un momento in cui molti istituti finanziari stanno espandendo le proprie supply chain tecnologiche, trovandosi ad affrontare maggiori complessità e maggiori rischi. Il cloud ha sicuramente degli innegabili benefici che condurranno le organizzazioni a considerare di migrare un numero maggiore di carichi di lavoro critici. Ponendo, però, inevitabilmente l’accento sulla sicurezza. Le istituzioni finanziarie potrebbero quindi cercare nuovi partner che forniscano soluzioni per proteggere i loro sistemi principali. Parallelamente i partner esistenti che sono all’opera su modernizzazione di piattaforme e applicazioni legacy e sull’innovazione digitale saranno spinti a concentrarsi maggiormente sugli aspetti di sicurezza.
Verso un settore finanziario iperconnesso (ma anche sicuro?)
Il risultato di un maggiore utilizzo del cloud è un settore finanziario iperconnesso e una superficie di attacco più ampia e potenzialmente più vulnerabile. Gi istituti finanziari accedono sempre più spesso a un’ampia gamma di dati e servizi di terzi attraverso gli stessi server e data center del cloud pubblico. Di conseguenza, la vulnerabilità di una sola organizzazione può avere ripercussioni su altre. Nel 2021, ad esempio, la Federal Reserve ha simulato come un attacco informatico potrebbe colpire il sistema finanziario statunitense. In questo contesto è stato stimato che la compromissione di una delle cinque banche statunitensi più attive avrebbe probabilmente portato a significativi effetti di spillover su altre banche, colpendo in media il 38% della rete finanziaria nazionale. Se la reazione delle banche a questa incertezza è l’accumulo di liquidità, il rischio che si prospetta in termini di mancati pagamenti è drammatico. E potrebbe raggiungere più di 2,5 volte il PIL giornaliero.
In generale, le istituzioni del settore finanziario sono esposte a rischi informatici sempre maggiori. Di conseguenza, anche il numero di incidenti di sicurezza nel settore finanziario globale è in aumento. Ad esempio, la Banca centrale europea ha registrato un aumento del 54% degli attacchi informatici agli istituti della zona euro nel 2020 rispetto all’anno precedente. C’è il forte rischio che questi numeri continuino a crescere.
Per far fronte a uno scenario di crescenti minacce, in Italia la Banca d’Italia e l’Agenzia per la Cybersicurezza Nazionale hanno firmato un protocollo d’intesa per una collaborazione in ambito cybersecurity. L’intesa prevede l’avvio di una strategia di “difesa partecipata”, caratterizzata dallo scambio di informazioni, tecniche e procedure volte a prevenire e gestire minacce cyber.
L’alta sicurezza come compito del settore finanziario
Ridurre al minimo i rischi informatici e cibernetici e aumentare la resilienza sono le priorità assolute nel mondo finanziario. E dovranno continuare ad esserlo in vista di scenari di attacco sempre più sofisticati. La resilienza e la sicurezza devono diventare un lavoro di squadra, poiché l’ambito finanziario non è più un sistema isolato. Se le istituzioni abbandonano la propria “strategia di segretezza”, è possibile guadagnare una visione olistica delle connessioni tra i vari enti. E tutte le organizzazioni e le aziende dell’ecosistema possono trarre vantaggio da questa visibilità. Una soluzione unificata e trasparente, come è ormai accettato nella pratica SecOps, deve essere il primo obiettivo dell’intero settore dei servizi finanziari. A seguire, sarà fondamentale l’implementazione di una strategia a livello di settore. Ma anche la selezione, il procurement e l’adozione di soluzioni condivise, nonché l’istituzione di team e processi coordinati per la prevenzione e la risposta agli attacchi.
Sono in corso alcune ricerche a livello industriale e nel mondo accademico per mappare il modo in cui il settore finanziario globale è tecnologicamente connesso. L’obiettivo è capire quali tipi di infrastrutture e applicazioni finanziarie critiche sono maggiormente influenzate dalla strategia di implementazione del cloud di una banca. Ciò comporta anche l’identificazione di potenziali gateway che potrebbero portare a rischi sistemici e la quantificazione dell’impatto degli incidenti di sicurezza sull’economia generale. Le autorità di regolamentazione, le istituzioni finanziarie e i cloud provider possono trarre vantaggio da queste informazioni.
Open source e cloud ibrido come acceleratori di resilienza
Una sfida cruciale è comprendere come le istituzioni finanziarie possano costruire la resilienza quando utilizzano i servizi cloud. L’indagine 2022 “The State of Enterprise Open Source” di Red Hat ha mostrato come l’81% dei dirigenti IT intervistati del mondo finanziario preferirebbe affidarsi a fornitori di soluzioni open source. Per il 75%, il vantaggio decisivo è che il software open source semplifica il processo di adozione di un’infrastruttura cloud ibrida. Inoltre, secondo il Global Tech Outlook Report 2022 di Red Hat, il cloud ibrido sta diventando la strategia cloud più diffusa. Una strategia di cloud ibrido aperto offre la flessibilità necessaria per eseguire e scalare le applicazioni in modo coerente in tutti gli ambienti.
