26 Luglio 2020 - Tempo di lettura: 14 minuti
Nell'aprile 2019, un piccolo istituto di credito a Greenville, in Pennsylvania, Bessemer System Federal Credit Union, ha intentato una causa contro Fiserv, un colosso di servizi finanziari con 24.000 dipendenti, per violazione del contratto. Dopo oltre un anno di ritardi, un giudice federale ha stabilito che il tribunale avrebbe ascoltato alcune delle richieste di Bessemer in tribunale. Questo è un caso aperto, e io non sono né giudice né giuria, ma le affermazioni fatte in questa causa e la portata di Fiserv attraverso il sistema finanziario globale sono sconcertanti e dovrebbero essere un promemoria per tutte le organizzazioni, in ogni settore, sull'importanza di mantenere una solida posizione di sicurezza.
Anche se non hai mai sentito parlare di Fiserv, è probabile che i tuoi dati vengano archiviati nei loro sistemi. Sono un fornitore di servizi che sostanzialmente fornisce tutta l'infrastruttura IT e digitale a oltre 16.000 piccole banche a livello globale. Forniscono tutto ciò che potresti fare elettronicamente in una banca. Elaborazione del prestito. Servizi bancari per smarthpone. Internet banking. Protezione dalle frodi. Pagamenti elettronici. Servizi bancomat.
Ovviamente, con una portata così ampia, così tanti clienti e operazioni primarie in uno dei settori più regolamentati, ti aspetteresti una forte attenzione alla sicurezza informatica. In effetti, una ricerca non scientifica di "sicurezza" nei titoli dei dipendenti Fiserv su LinkedIn produce 3.500 risultati.
Data l'importanza strategica dei servizi che Fiserv fornisce a Bessemer, perché Bessemer stanno scontando le loro giornate in tribunale? Nella causa, alcune delle molte affermazioni sono che:
Signore e signori della giuria, vi presento, Allegato A.
Bessemer sostiene 40 punti deboli della sicurezza informatica nella causa, tra cui:
L'elenco potrebbe continuare all'infinito nella causa di 156 pagine.
Resta da vedere se tutte queste accuse o tutte queste accuse siano accurate, ma ruotano principalmente attorno a best practice sulla sicurezza ben note e comunemente accettate. Allo stesso tempo, a giudicare dal personale, Fiserv è chiaramente un'organizzazione che ha investito nella sicurezza.
La sfida, per ogni impresa, è che la sicurezza è diventata incredibilmente complessa. Un'organizzazione come questa ha decine di migliaia di risorse. E ci sono centinaia di vettori di attacco che gli avversari possono usare per trovare punti deboli nella difesa di tali beni. Il quadro di sicurezza è così incredibilmente complicato che nessun essere umano può mai avvolgere la testa mantenendo la cyber resilience per un'organizzazione come questa.