Davide vs Golia: 16.000 banche insicure?

Davide vs Golia: 16.000 banche insicure?

Nell'aprile 2019, un piccolo istituto di credito a Greenville, in Pennsylvania, Bessemer System Federal Credit Union, ha intentato una causa contro Fiserv, un colosso di servizi finanziari con 24.000 dipendenti, per violazione del contratto. Dopo oltre un anno di ritardi, un giudice federale ha stabilito che il tribunale avrebbe ascoltato alcune delle richieste di Bessemer in tribunale. Questo è un caso aperto, e io non sono né giudice né giuria, ma le affermazioni fatte in questa causa e la portata di Fiserv attraverso il sistema finanziario globale sono sconcertanti e dovrebbero essere un promemoria per tutte le organizzazioni, in ogni settore, sull'importanza di mantenere una solida posizione di sicurezza.

Anche se non hai mai sentito parlare di Fiserv, è probabile che i tuoi dati vengano archiviati nei loro sistemi. Sono un fornitore di servizi che sostanzialmente fornisce tutta l'infrastruttura IT e digitale a oltre 16.000 piccole banche a livello globale. Forniscono tutto ciò che potresti fare elettronicamente in una banca. Elaborazione del prestito. Servizi bancari per smarthpone. Internet banking. Protezione dalle frodi. Pagamenti elettronici. Servizi bancomat.

Ovviamente, con una portata così ampia, così tanti clienti e operazioni primarie in uno dei settori più regolamentati, ti aspetteresti una forte attenzione alla sicurezza informatica. In effetti, una ricerca non scientifica di "sicurezza" nei titoli dei dipendenti Fiserv su LinkedIn produce 3.500 risultati.

Data l'importanza strategica dei servizi che Fiserv fornisce a Bessemer, perché Bessemer stanno scontando le loro giornate in tribunale? Nella causa, alcune delle molte affermazioni sono che:

  • Fiserv non è riuscito a "proteggere adeguatamente le informazioni riservate e altamente sensibili che Bessemer e i suoi membri hanno affidato a FiServ".
  • In risposta alle vulnerabilità della sicurezza, Fiserv ha implementato "correzioni puramente estetiche che sono state prontamente aggirate e non hanno risolto il problema".
  • "Minacciando azioni penali civili e penali se Bessemer discutesse dei problemi di Fiserv con terzi, inclusi altri clienti di Fiserv."

Signore e signori della giuria, vi presento, Allegato A.

Bessemer sostiene 40 punti deboli della sicurezza informatica nella causa, tra cui:

  • Mancato aggiornamento tempestivo e patch dei sistemi interessati da vulnerabilità ed esposizioni di sicurezza comunemente note, incluso il ritardo nella correzione di vulnerabilità ad alta gravità;
  • Impiegare prodotti e servizi oltre le scadenze di fine vita e di fine servizio, rendendoli vulnerabili;
  • Comunicazioni in uscita verso siti di malware noti;
  • Esecuzione di protocolli SSH obsoleti che presentano punti deboli facilmente sfruttabili;
  • Impiega certificati deboli, scaduti e autofirmati e codici di crittografia deboli;
  • Incapacità di proteggere adeguatamente i servizi web di Internet da vulnerabilità note e sfruttabili;
  • Mancato rispetto della crittografia HTTPS sui siti Web;
  • Mancato aggiornamento dei sistemi antivirus;
  • Mancata applicazione della verifica dell'identità appropriata e implementazione delle migliori pratiche di autenticazione sugli accessi dei clienti Bessemer.

L'elenco potrebbe continuare all'infinito nella causa di 156 pagine.

Resta da vedere se tutte queste accuse o tutte queste accuse siano accurate, ma ruotano principalmente attorno a best practice sulla sicurezza ben note e comunemente accettate. Allo stesso tempo, a giudicare dal personale, Fiserv è chiaramente un'organizzazione che ha investito nella sicurezza.

La sfida, per ogni impresa, è che la sicurezza è diventata incredibilmente complessa. Un'organizzazione come questa ha decine di migliaia di risorse. E ci sono centinaia di vettori di attacco che gli avversari possono usare per trovare punti deboli nella difesa di tali beni. Il quadro di sicurezza è così incredibilmente complicato che nessun essere umano può mai avvolgere la testa mantenendo la cyber resilience per un'organizzazione come questa.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.