Il settore assicurativo e la «cyber resilienza»: in arrivo uno tsunami regolamentare (e tanto lavoro per le Imprese…)

***

Il Regolamento DORA

Il Regolamento è parte integrante del più ampio “Pacchetto per la finanza digitale” dell’UE che include, oltre alla Resilienza Operativa Digitale, altre proposte legislative nell’ambito delle Cripto-attività (c.d. MiCA) e delle infrastrutture basate sulla Blockchain (DLT).

La definizione di Resilienza Operativa Digitale contenuta nella proposta di Regolamento DORA riguarda la capacità delle entità finanziarie di creare, assicurare e riesaminare la propria integrità operativa da un punto di vista tecnologico, garantendo, direttamente o indirettamente, tramite il ricorso ai servizi offerti dai fornitori esterni delle tecnologie dell’informazione, la sicurezza delle reti e dei sistemi informativi utilizzate per erogare i propri servizi finanziari.

Le finalità di DORA sono le seguenti:

• migliorare e razionalizzare la gestione dei rischi relativi alle ICT da parte delle entità finanziarie;
• istituire test accurati dei sistemi di ICT e accrescere la consapevolezza da parte delle Autorità di vigilanza dei rischi informatici e degli incidenti;
• conferire alle Autorità di vigilanza poteri di sorveglianza sui rischi dovuti alla dipendenza delle entità finanziarie da fornitori di servizi ICT;
• istituire un meccanismo coerente di segnalazione degli incidenti al fine di contribuire a ridurre gli oneri amministrativi per le entità finanziarie e a rafforzare l'efficacia della vigilanza.

L’ambito di applicazione del Regolamento è particolarmente esteso: si stimano più di 20.000 soggetti interessati dalla normativa. Tra questi si annoverano infatti enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per le cripto-attività, depositari centrali di titoli, controparti centrali, sedi di negoziazione, gestori di fondi di investimento alternativi e società di gestione, fornitori di servizi di comunicazione dati, imprese di assicurazione e di riassicurazione, agenzie di rating del credito, revisori legali e società di revisione, fornitori di servizi di crowdfunding. La motivazione di un perimetro così ampio è da annoverare nella complessità dell’interconnessione tecnologica degli odierni servizi finanziari.

La struttura del Regolamento è fondata su 5 pilastri principali:

1. Governance e organizzazione, che prevede in particolare la piena responsabilità dell’organo di gestione nella gestione dei rischi ICT, il controllo e monitoraggio e un’adeguata allocazione di investimenti e formazione.
2. Gestione dei rischi ICT, che consenta di affrontare i rischi in maniera rapida ed efficiente, assicurando un elevato livello di Resilienza Operativa Digitale corrispondente alle esigenze, alle dimensioni e alla complessità delle loro attività. Devono essere documentate le strategie di resilienza tecnologica e definite le modalità di attuazione delle stesse.
3. Segnalazione degli incidenti connessi alle ICT, al fine di monitorare e registrare gli incidenti informatici, classificarli per determinarne l’impatto e se ritenuti gravi segnalarli sia all’utente (tempestivamente) sia tramite una relazione alle Autorità competenti (la notifica iniziale deve essere inviata entro la fine del giorno lavorativo oppure entro 4 ore di quello successivo).
4. Test di resilienza operativa digitale, per programmare i test come parte integrante del quadro per la gestione dei rischi ICT e verificare la capacità di attuare tempestivamente le eventuali misure correttive.
5. Rischi relativi alle ICT derivanti da terzi, che prevede l’adozione di una specifica strategia per la gestione dei rischi derivanti dalle terze parti considerato che le entità finanziarie dipendono sempre più da società tecnologiche per l’erogazione dei loro servizi ICT.

DORA dovrebbe entrare in vigore nel mese di ottobre 2022, mentre la sua effettiva adozione è prevista dopo 24 mesi seguendo l’iter già sperimentato con l’applicazione del GDPR.

Il framework TIBER-EU

TIBER-EU è un modello che intende fornire regole molto dettagliate e uniformi in ambito europeo per l’esecuzione di test di cybersicurezza sui sistemi critici delle istituzioni finanziarie. Tali verifiche sono condotte da team differenti, dotati di elevate competenze nel loro specifico ambito di operatività in modo da imitare le tattiche, le tecniche e le procedure effettivamente adottate dai cybercriminali nella vita reale. Lo scopo finale è quello di aiutare le organizzazioni a valutare concretamente le proprie capacità di protezione, rilevamento e risposta in caso di attacchi informatici migliorando la propria resilienza operativa.

A livello nazionale, a seconda delle rispettive competenze, la Banca d’Italia, la Consob e l’IVASS hanno attuato da tempo una collaborazione in tema di cybersecurity all’interno di un più ampio quadro di cooperazione internazionale da cui è scaturita l’adozione congiunta della Guida Nazionale TIBER-IT, come metodologia di riferimento di test avanzati di cybersicurezza su base volontaria.

Durante tutto il processo di svolgimento dei test, il framework presuppone un ampio coinvolgimento di tutte le principali parti interessate in cui sono comprese le Autorità pertinenti quali per esempio l’IVASS in riferimento alle imprese assicurative. Gli attori che intervengono nelle varie fasi sono i seguenti:

• Gruppo di coordinamento del TIBER, composto da rappresentanti della Banca d’Italia, della Consob e dell’IVASS con l’obiettivo di supportare gli organi competenti delle Autorità nel rilascio di una comunicazione di avvenuto svolgimento del test attestante che il processo sia stato condotto in conformità al framework.
• TIBER Cyber Team, formato da rappresentanti delle Autorità e supportato da un gruppo di risorse assicurate dalla Banca d’Italia, cura l’implementazione e propone eventuali aggiornamenti della Guida nazionale, supporta la pianificazione e coordinamento per l’esecuzione dei test anche di tipo transfrontaliero.
• Team Test Manager, designato per ogni test come principale punto di contatto con le imprese assicurative, è responsabile per la verifica che l’entità effettui il test in modo uniforme e controllato e concorda il perimetro di applicazione (scope) e gli scenari.
• White Team, è composto da personale dell’impresa assicurativa con un’adeguata seniority posizionato ai vertici della procedura di escalation relativa agli incidenti di sicurezza, ha la responsabilità dell’individuazione del perimetro, dell’esecuzione del test e dell’acquisizione dei servizi. I suoi membri devono essere gli unici a conoscenza dei test.
• White Team Lead, coordina tutte le attività dei test, incluse quelle relative all’acquisizione e gestione dei servizi erogati dai fornitori esterni e ai possibili incontri con le Autorità.
• Blue Team, è composto da tutto il personale dell’impresa assicurativa non membro del White Team e ha la responsabilità della difesa dei sistemi informativi. Per questo è fondamentale che non sia a conoscenza dei test e sia escluso dalla preparazione e dall’esecuzione degli stessi.
• Fornitore di servizi di analisi delle minacce (Targeted Threat Intelligence Provider), terza parte i cui servizi sono stati acquisiti dal White Team secondo gli standard e i requisiti minimi stabiliti dalle linee guida del framework, ha lo scopo di raccogliere informazioni mirate sull’entità, emulando la ricerca che sarebbe eseguita da un hacker esperto.
• Fornitore di servizi di Red Teaming (Red Teaming Provider), i cui servizi sono stati acquisiti dal White Team secondo le modalità del punto precedente, l’obiettivo è quello di tentare di violare i presìdi di sicurezza dell’organizzazione seguendo una metodologia di red teaming rigorosa ed etica.
• Purple Team, eventualmente creato in determinate situazioni allorquando per esempio avvenga la compromissione della segretezza dei test di red teaming, in situazioni complicate in cui vi è un alto grado di fiducia che l’attacco emulato ai sistemi critici possa portare a un’interruzione sostanziale delle operazioni oppure nei casi in cui c’è un'alta probabilità che la risposta del Blue Team per contenere l’attacco emulato rilevato avrà un impatto critico sui sistemi. Il Purple Team effettua in tali casi un coordinamento tra il Red Team e il Blue Team.

Il processo di esecuzione dei test si articola in 3 fasi della durata indicativa di circa 25 settimane:

1. Preparazione, in cui si acquisiscono i servizi dei fornitori esterni, si definisce il perimetro dei test e si effettua la riunione di lancio delle attività.
2. Testing, in cui il fornitore di servizi di analisi delle minacce identifica lo scenario di attacco e definisce la modellazione delle minacce in relazione allo specifico contesto dell’organizzazione. Sulla base di questa intelligence il Red Team pianifica ed esegue i test di sicurezza.
3. Chiusura, è la fase in cui sono redatti i report contenenti i risultati dei test (sia dal punto di vista difensivo che da quello offensivo) e in cui questi sono discussi in appositi workshop al termine dei quali inizia la fase di attestazione della regolarità attraverso un processo formale supervisionato dalle Autorità competenti.

Conclusioni

Le imprese assicurative, soprattutto quelle di grandi dimensioni o fortemente digitalizzate, devono iniziare a valutare quali impatti potranno avere tali normative nella propria organizzazione. Sicuramente tra le prime attività da mettere in campo sono da considerare gap-analysis in relazione al nuovo quadro regolatorio, assessment di sicurezza, analisi dei rischi ICT, analisi dei fornitori ICT e della contrattualistica stipulata, verifica delle procedure documentate in relazione agli aspetti di cybersecurity con particolare riferimento all’incident management e corsi di formazione a vari livelli (management, personale di cybersecurity, personale tecnico, utenti finali).

Il presente contributo è stato redatto con la collaborazione del Dott. Alessandro Rodolfi, Docente in materia di protezione dei dati e cybersecurity.