Risultati della supervisione informatica 2021
Durante l'anno in esame hanno fatto notizia gli attacchi informatici riusciti contro aziende affermate di tutti i settori industriali, sia in Svizzera che nel resto del mondo. La SFMA ha inoltre osservato un numero crescente di attacchi informatici segnalati. Dall’entrata in vigore, nel settembre 2020, dei chiarimenti sull’obbligo di notifica degli attacchi informatici, pubblicati nella Guida SFMA 05/2020, sono stati segnalati complessivamente 95 attacchi informatici di sostanziale importanza per le istituzioni colpite. Gli istituti più colpiti sono state le banche, seguite dai gestori patrimoniali e dalle compagnie di assicurazione.
La SFMA continua a considerare i rischi informatici come uno dei principali rischi cui deve far fronte la piazza finanziaria svizzera. Nell'anno in esame ha pertanto stanziato ulteriori risorse in questo settore. Rispetto al 2020, la SFMA ha inoltre condotto un numero significativamente maggiore di controlli di vigilanza in loco specifici per il cyber.
Risultati dei controlli di vigilanza in loco e casi segnalati di gravi attacchi informatici
Gli assoggettati prestano sempre più attenzione ai rischi informatici, che molto spesso identificano come uno dei principali ambiti di rischio. Tra il 2019 e il 2021 la SFMA ha quasi triplicato il numero di controlli prudenziali condotti presso gli istituti. Per il 2022 è previsto un ulteriore aumento del numero delle revisioni. Tuttavia nell'anno in esame è stato anche constatato che alcune imprese assoggettate non riferiscono regolarmente su questi rischi alla direzione o al consiglio d'amministrazione. Per quanto riguarda l’identificazione delle potenziali minacce specifiche dell’istituto derivanti da attacchi informatici, ad alcuni istituti mancava una chiara definizione della portata e del contenuto dei loro dati critici e/o sensibili specifici dell’azienda. Di conseguenza, queste istituzioni hanno segnalato difficoltà nell’attuazione delle misure di protezione mirate. Per ottenere una visione più completa e realistica delle capacità delle istituzioni di resistere agli attacchi informatici, nell’anno in esame la vigilanza informatica della SFMA ha compreso per la prima volta due diverse analisi di scenari basati sulle minacce. Innanzitutto sono stati testati i processi di rilevamento e risposta a un attacco informatico mediante esercizi simulati che simulano scenari di attacco. In secondo luogo, la SFMA ha incaricato degli specialisti di condurre test basati su scenari in condizioni controllate e in consultazione con le istituzioni. La maggior parte dei risultati dei controlli prudenziali in loco riguardava la protezione dei processi aziendali e dell’infrastruttura tecnologica. Alcune imprese vigilate hanno mostrato margini di miglioramento negli ambiti della formazione e sensibilizzazione in ambito cyber. Affinché le misure di protezione siano efficaci, è essenziale garantire che i dipendenti a tutti i livelli gerarchici siano tenuti regolarmente informati sui rischi cyber e che conoscano e comprendano le modalità di attacco più comuni, come il phishing; devono anche sapere chi contattare all’interno dell’azienda se rilevano segnali di un attacco informatico. Oltre la metà delle segnalazioni ricevute di attacchi informatici di notevole importanza riguardavano attacchi alla disponibilità tramite Distributed Denial of Service (DDoS). Dall’introduzione dell’obbligo di notifica nel settembre 2020 sono state osservate complessivamente tre ondate di DDoS. In particolare, la prima ondata del settembre 2020 ha avuto gravi conseguenze e, in alcuni casi, ha influito sulla disponibilità di infrastrutture per il lavoro a distanza, servizi online, infrastrutture di posta elettronica e altri sistemi. Alcune istituzioni hanno trascurato i loro meccanismi di difesa in questo ambito. La seconda categoria di segnalazione più frequente riguardava gli attacchi a terzi. Circa il 25% delle imprese assoggettate interessate non è stata attaccata direttamente; invece, sono stati attaccati indirettamente tramite i loro principali fornitori di servizi. Per quanto riguarda l’identificazione e la registrazione degli attacchi informatici, era chiaro che alcune istituzioni non avevano monitorato la propria infrastruttura tecnologica in modo tempestivo e sistematico. In alcuni casi i dati di registro critici non venivano analizzati oppure tali analisi venivano eseguite solo durante l'orario d'ufficio. Nell’anno in esame, la maggior parte degli istituti ha adottato misure precauzionali per garantire il tempestivo ripristino della normale operatività aziendale a seguito di eventi straordinari. In molti casi però mancavano ancora misure concrete per ripristinare l’attività dopo gli attacchi informatici. (Dal Rapporto Annuale 2021)