Questo mese abbiamo fatto colazione con…
Gianluca Martinuz, CIO di Fineco Bank

Ogni azienda ormai mette parte di sé a disposizione di tutti sul Web. Per alcune si tratta semplicemente di una questione di visibilità, raggiunta con siti Web istituzionali o informativi. Per altre di una fonte di business diretto (come nel caso di chi vende tramite e-commerce) o di una piattaforma per l’interscambio di informazioni anche sensibili con clienti o fornitori.
In tutti i casi, l’esposizione verso Internet rappresenta una fonte di rischio aggiuntivo nel già complesso scenario della cybersecurity. Alcune categorie di attacchi si pongono l’obiettivo di oscurare la visibilità di un’azienda sulla Rete, con l’intento di creare danni da mancato business o semplicemente per la reputazione del bersaglio colpito. La pandemia Covid-19, che si è diffusa nel 2020 e continua a incidere anche nel nuovo anno, ha generato ulteriori porzioni di superficie esposta (quindi di potenziali rischi) a causa della massiccia remotizzazione del lavoro.
In un settore già delicato come quello bancario, per realtà come Fineco Bank si aggiungono le preoccupazioni legate a un business che si svolge prevalentemente online, anche se un certo peso riveste anche l’attività svolta sul campo dai consulenti finanziari.
Per comprendere quali sono gli elementi critici della strategia di sicurezza collegata alla presenza e alla visibilità su Internet e i principali rischi da contrastare, ci siamo confrontati con il CIO dell’istituto finanziario, Gianluca Martinuz.

Quali riflessioni di fondo ispirano il vostro approccio alla protezione dall’esposizione al Web?

Il nostro modello di business si fonda su una digitalizzazione molto spinta, che ci porta anche a essere molto esposti verso l’esterno. L’erogazione di servizi remoti online è certamente fondamentale per noi e anche il lavoro dei consulenti finanziari, più diretto in passato, si è dovuto in parte riadattare alle nuove modalità di interazione imposte dalla diffusione della pandemia. Con clienti e fornitori viaggiano grandi quantità di dati anche molto sensibili e questo ci rende potenzialmente molto vulnerabili. L’impronta pubblica, nel senso di esposizione online di servizi, è piuttosto ampia e l’offerta si estende a clienti collegati anche da molti paesi esteri, il che rende inapplicabile attivare meccanismi di limitazione verso queste aree geografiche. D’altra parte, una delle peculiarità di Fineco è quella di essere considerata un’eccellenza in termini di usabilità dei servizi e questo aspetto è incoerente con l’ottica di limitare i clienti nelle loro preferenze o necessità operative, siano esse geografiche, di orario o di strumenti usati.

Alla luce di queste considerazioni, abbiamo attivato una strategia di difesa inevitabilmente strutturata su diversi livelli, per creare meccanismi di difesa capaci di intercettare le minacce nelle loro diverse concretizzazioni.

Quali tipologie di attacchi specifici del mondo Web vi preoccupano di più?

Gli attacchi DDOS sono fra i più comuni e pericolosi per chi utilizza piattaforme web e mobili, dato che il loro  effetto negativo sulla disponibilità dei servizi offerti può causare perdite anche molto rilevanti, in termini finanziari e reputazionali. Una prima linea di difesa, che abbiamo introdotto già da diverso tempo, riguarda la disponibilità della capacità utile a reggere carichi anche molto sostenuti con la possibilità di scalare molto rapidamente. Dopodiché, occorre essere pronti a identificare un attacco di questo genere, per evitare il rischio, più comune di quanto si pensi, di non accorgersi neanche dell’azione ostile in corso. Questo è vero per attacchi non volumetrici, che agiscano a livello sessione o applicativo. Essendo consapevoli che un’unica soluzione difensiva non riesce tipicamente a coprire tutti i requisiti in termini di protezione, abbiamo adottato un approccio multi-layer.

Comprensione degli effetti negativi sul business e governance della cybersecurity sono aspetti che stanno a monte di tutto. Poi, occorre preparare e mantenere aggiornato un efficace piano di incident response, il che coinvolge principalmente personale e procedure interne. Dal punto di vista tecnico, un approccio molto efficace contro gli effetti di un potenziale attacco DDOS prevede di lavorare su tre diversi livelli, uno interno, uno esterno e uno intermedio, che chiamerei edge. Il primo si affronta con strumenti direttamente presenti nella propria infrastruttura, a cominciare dai Web Application Firewall, per essere protetti da attacchi puntuali. Per il secondo, almeno nel nostro caso, non confidiamo unicamente sui nostri fornitori di connettività, ma utilizziamo servizi specializzati, cloud based, che mettono a disposizione uno “scrubbing center”, per filtrare il traffico pubblico e consentire solo quello genuino, mitigando gli attacchi volumetrici. Il livello edge rimane all’interno della nostra sfera di controllo, sta all’interno dell’infrastruttura, ma fuori dalla rete core aziendale e consiste nel deployment di appliance a protezione dei firewall o degli Internet router.

Gli effetti collegati alla pandemia hanno portato a modificare le strategie già adottate?

Com’è noto, la perdurante circolazione del Covid-19 ha consolidato la diffusione del lavoro remoto e questo ha generato nuove forme di attacco, anche di tipo DDOS, che mirano a colpire le infrastrutture di comunicazione che sostengono l’operatività remota dei dipendenti, dei collaboratori e dei partner delle aziende.

Anche in questo caso un buon punto di partenza, dal punto di vista difensivo, è che l’architettura della quale si dispone sia comunque robusta e scalabile. Questo favorisce ed amplifica l’efficacia delle ulteriori contromisure di sicurezza che vengono adottate. Su questo tema, in particolare, può essere molto utile avere una forte ridondanza architetturale che, oltre alle componenti di network, preveda anche il ricorso a un setup di connettività Internet multi-provider. A beneficiarne sarà la continuità del servizio, sia per la nostra clientela che per i nostri dipendenti che si collegano da remoto.