Alejandro Diaz de Leon, attuale governatore della Banca Centrale Messicana, ha annunciato che lo scorso aprile alcune banche Messicane sono state vittima di attacco hacker, il quale ha portato al furto di una cifra compresa tra i 18 ed i 20 milioni di dollari.
Attualmente non è chiaro quale sia la cifra esatta trafugata, è palese invece che le misure di sicurezza adottate dall’istituto bancario non siano state sufficienti.
Infatti dopo questo attacco il governatore ha istituito una divisione dedicata alla cyber-security imponendo ulteriori restrizioni in caso di trasferimenti bancari superiori ai $ 2,500.
E l’Europa? A che punto siamo?
La situazione in Europa merita particolare attenzione, infatti casi di attacco informatico ad istituti Europei si sono già verificati. Stormshield ne riporta uno avvenuto lo scorso febbraio di tipo DDoS in un istituto Olandese che aveva paralizzato molti dei servizi bancari offerti dall’Istituto.
Ma i criminali, come indicato dalle ricerche svolta da Stormshield , utilizzano tutti i punti deboli necessari per poter aver accesso all’infrastruttura bancaria. Ad esempio attacchi mirati di spear phishing volte ad avere un accesso anonimo al sistema ed al controllo diretto di un utente.
Altri tipi di attacco sono diretti verso gli sportelli ATM con una tecnica chiamata “jackpotting” la quale con l’ausilio di una chiavetta USB ed un computer è capace di svuotare il contenuto di uno sportello.
Cosa sta facendo l’europa
L’Europa si sta comunque muovendo per introdurre normative atte ad alzare l’asticella della sicurezza, infatti sono in fase di introduzione o già introdotte:
- la direttiva sulla sicurezza delle reti e dell’informazione (NIS) che prevede tre punti: Migliorare le capacità di cyber security dei singoli Stati dell’Unione; Aumentare il livello di cooperazione tra gli Stati dell’Unione e l’obbligo di gestione dei rischi e di riportare gli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.
- il regolamento europeo sulla protezione dei dati (GDPR) di cui si parla molto ultimamente, che introduce norme più stringenti per quanto riguarda la privacy degli utenti e la loro sicurezza
- la direttiva sui sistemi di pagamento digitali (PSD2) che prevede che il mercato dei pagamenti europeo si arricchisca di “nuovi attori e nuovi servi, che alcuni degli attuali servizi di pagamento vengano estesi ai nuovi operatori e che le ultime innovazioni in ambito tecnologico siano recepite e applicate per offrire più sicurezza alla clientela.
Altre implementazioni future saranno relative un forte protocollo di autenticazione supportato da grandi aziende come Google, Microsoft e simili.
Non manca però di tener presente la mancanza di personale dedicato a questo tipo di operazioni inerenti la sicurezza, cosa che spinge Annick Baudet di Stormshield ad ammettere:
“Stiamo assistendo a un vero paradosso: anche se i sistemi di informazione sono sempre più complessi, con carichi operativi che non smettono mai di crescere, l’industria bancaria, come molti altri settori, sta facendo marcia indietro sul personale interno”.
Speriamo che questa tendenza vada al senso opposto, visti i servizi delicati ed essenziali svolti dagli istituti bancari.
Altri articoli inerenti l’argomento:
- Attacco contro sportello ATM per 800 mila dollari usando un malware “Fileless”
- Krebs on Security ci ricorda cosa guardare in uno sportello bancario ATM
- ATM e Sportelli automatici: quanto sono sicuri e a cosa stare attenti
- Banche dell’Est Europa derubate di 40 milioni di dollari
- I Bancomat hanno appena compiuto 49 anni. Ma sono davvero sicuri? – Analisi Eset –
Fonte ed approfondimenti:
Cybersecurity: le lacune del settore finanziario causeranno problemi alle banche nel 2018?
