Attività bancarie al sicuro in un momento di insicurezza

Come le banche possono mantenere la sicurezza e l'integrità dei dati nel mezzo di una pandemia?

I CIO degli istituti finanziari hanno molto a cui pensare ogni giorno. Frode. Violazione dei dati. Integrazione dei sistemi IT dopo una fusione. È un lavoro duro ed è uno che di solito passa inosservato a meno che non ci sia un problema. Ma una cosa che non avevano mai immaginato era di svegliarsi un giorno per scoprire che tutti in banca improvvisamente indossavano pantaloni della tuta e lavoravano da casa con connessioni Internet non sicure. Questo non è solo un incubo di moda, ma ha anche serie implicazioni per la sicurezza dei dati. 

Le violazioni dei dati possono verificarsi in più punti. Gli hacker possono accedere alle reti e accedere a informazioni che dovrebbero essere private e il malware può essere utilizzato per innescare perdite di dati invisibili. Ma una delle maggiori aree di rischio si verifica quando i dati vengono copiati da un sistema a un altro. Questo perché una catena è forte solo quanto il suo anello più debole e persino la tecnologia più sicura del pianeta non può proteggere le informazioni una volta migrate verso un altro sistema o piattaforma.

Sfortunatamente, i dati bancari vengono sempre copiati. Quando viene copiato, potrebbe essere condiviso tra 5.000 sistemi diversi. Questo succede così spesso che la maggior parte di noi non ci pensa più, ma il 40% dei budget IT è dedicato a questa funzione. In effetti, una singola attività semplice (come depositare un assegno o effettuare un pagamento ipotecario) può richiedere 10 o più sistemi separati - e ogni volta che i dati vengono trasferiti, devono essere copiati. Entro la fine di una transazione, potrebbero esserci più di una dozzina di copie degli stessi dati.

Questa è una ricetta per il caos anche in una buona giornata, ma durante la pandemia, è una ricetta per il disastro. È abbastanza brutto quando tutto ciò che taglia e incolla sta avvenendo all'interno dei confini felici di un firewall, ma quando ci sono letteralmente migliaia di impiegati della banca che inviano e ricevono file sulle connessioni da casa loro a malapena in grado di gestire un'ora di Netflix e giochi online, i problemi accadranno. Non è un "se" ma un "quanto farà male?"

Esistono due modi per ridurre la probabilità di un tracollo di informazioni. Il primo è assicurarsi che tutti abbiano a casa Internet sicuro e di classe business. Ciò costituisce la base per la protezione dei sistemi di database e dei server in cui sono archiviati dati sensibili. Anche se i dati sono crittografati, è necessario limitare l'accesso ad essi per mantenerli completamente protetti. Questo è esattamente il motivo per cui i dipendenti accedono alla rete della banca tramite una VPN quando si trovano su una connessione (domestica) non protetta e perché ricevono dispositivi specifici da utilizzare per bloccare e-mail personali, siti social e porte USB.

Eliminare Ctrl-C

La seconda risposta all'insicurezza dei dati è semplicemente quella di interrompere la copia dei dati. Per fare ciò, i dati devono essere liberati dalle applicazioni che li hanno creati. Il fatto che i dati siano così strettamente legati ai loro programmi non sarebbe un problema se quei programmi non dovessero parlare tra loro. Tuttavia, il "parlare" è l'essenza stessa della condivisione dei dati e su cosa si basa l'industria finanziaria: collaborazione e scambio di informazioni. Tutte queste applicazioni sono costruite utilizzando la propria lingua e possono comunicare tra loro solo quando i dati vengono copiati nella propria lingua. La vera soluzione è quella di rinnovare l'architettura dei dati in modo che i dati esistano come un'unica fonte che non è più legata a nessuna applicazione.

Garantire Internet sicuro e di prim'ordine nelle case di tutti costerà centinaia di milioni di dollari e richiederà anni per essere implementato. L'arresto della pratica della copia dei dati può essere realizzato in poche settimane a meno dell'1% del costo.

A prima vista, questo può sembrare un sogno irrealizzabile. L'intero settore finanziario è basato su centinaia di app autonome - dai sistemi di gestione stipendi ai sistemi operativi ATM - che si basano su "strette di mano" messe insieme per lavorare insieme. E la stragrande maggioranza di questi handoff richiede la copia dei dati. E poi copiato di nuovo. È come costruire la casa più sicura del mondo e poi spedire le chiavi della porta a 100 persone a caso. Un giorno qualcuno finirà con il tuo stereo.

La copia dei dati non è solo una cosa folle da fare, ma è completamente inutile. È un approccio sviluppato per la prima volta negli anni '60 e '70, quando in realtà non esisteva un modo pratico per condividere le informazioni tra i sistemi. Ma il mondo ha fatto molta strada da quando Osborne e Kaypro hanno dominato il mercato e da decenni utilizziamo strumenti indipendenti dalla piattaforma. 

È tempo che i dipartimenti IT delle banche riconoscano i pericoli di questo tipo di violazioni dei dati e ritirino Ctrl-C per sempre.


Author

L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.

Currently there are no comments, so be the first!
intopic.it