skip to Main Content

Come la cybersecurity del Pentagono tutelerà le banche Usa con Project Indigo

Bank of America, BNY Mellon, Citigroup, Goldman Sachs, JPMorgan Chase, Morgan Stanley, State Street e Wells Fargo sono gli istituti coinvolti al momento nella partecipazione al progetto del Pentagono. L’approfondimento dell’analista Fabio Vanorio, firma di Start Magazine Negli Stati Uniti, la protezione dei settori strategici dell’economia dalle minacce nel cyberspace è un obiettivo di sicurezza nazionale.…

Negli Stati Uniti, la protezione dei settori strategici dell’economia dalle minacce nel cyberspace è un obiettivo di sicurezza nazionale. In particolare, il Pentagono ha attribuito priorità specifica al consolidamento di capacita’ di hacking difensivo ed offensivo, le cui azioni intraprese stanno conducendo ad importanti risultati.

Il problema è al centro anche dell’attenzione del legislatore. Il Congresso sta, da tempo, considerando quale ruolo debba svolgere la struttura militare dedicata, la U.S. Cyber Command (USCYBERCOM), nella tutela del settore aziendale ed industriale privato dal cyber risk. Per una dettagliata analisi del funzionamento di USCYBERCOM e delle sue più recenti evoluzioni organizzative, si rimanda allo studio pubblicato dall’Istituto Italiano di Studi Strategici “Niccolo’ Machiavelli”.

Nel marzo scorso, nel corso di un’audizione di fronte all’Armed Service Committee del Senato, il comandante di USCYBERCOM (nonche’ Direttore della National Security Agency, NSA), generale Paul Nakasone ha lamentato (con una certa frustrazione) come la PPD-20, Presidential Policy Directive 20, riferimento procedurale di autorizzazione delle operazioni di hacking offensivo nel cyberspace sia ancora in fase di attuazione.

Già in precedenza, nell’estate 2017, il generale Vincent Stewart, attuale Vice Comandante di USCYBERCOM, aveva evidenziato un analogo ritardo nell’applicazione operativa della capacità (già presente nella NSA) di decodificare esempi di malware in modo da isolarli, riprogettarli e prepararli per un nuovo utilizzo, possibilmente contro gli stessi aggressori che avevano operato a danno degli Stati Uniti.

Nonostante i ritardi legislativi riconosciuti, il Congresso stesso, l’Amministrazione Trump ed il Pentagono stanno spingendo per un impiego sistemico sempre maggiore di USCYBERCOM. In tal senso, un accordo riservato di condivisione delle informazioni siglato con il Financial Services Information Sharing and Analysis Center (FS-ISAC) ha avviato la definizione di una piattaforma di difesa dalla minaccia cyber, ma anche di monitoraggio e valutazione della stessa, per il settore bancario statunitense.

Avviato nel 2017, il programa pilota (nome in codice “Project Indigo”) prevede un rapporto di scambio dati tra USCYBERCOM ed una sottounità del FS-ISAC, la Financial Systemic Analysis & Resilience Center (FSARC). I dati in questione sono risultanti di azioni di compromissione aventi come obiettivo il sistema bancario, incluse la presenza di malware rilevati. USCYBERCOM viene informato di ogni operazione di hacking a livello nazionale, e l’intelligence acquisita dalla struttura militare viene sottoposta a valutazione indipendente che, in caso di rilevazione di minacce alla sicurezza nazionale, determina un’immediata veicolazione ai livelli gerarchicamente superiori.

L’attività è successiva ma anche precedente ad un attacco. E’ possibile, infatti, che la struttura informatica di una banca possa dedurre che vi siano le condizioni a breve per un attacco alla proprie infrastrutture di rete ed in tal caso riporti quanto rilevato ad USCYBERCOM, chiedendo di intervenire con approfondimenti congiunti al FSARC o anche mediante misure offensive per contrastare ed annientare l’attacco, allorquando le attività di hacking di ritorsione vengano ritenute opportune e approvate dal Pentagono.

Attualmente il programma è organizzato in una maniera abbastanza informale, ma i partecipanti stanno esaminando la possibilità di rendere la collaborazione sistematica. Otto istituzioni finanziarie sono attualmente coinvolte nel FSARC:

  • Bank of America,
  • BNY Mellon,
  • Citigroup,
  • Goldman Sachs,
  • JPMorgan Chase,
  • Morgan Stanley,
  • State Street,
  • Wells Fargo.

Ciascuna di queste banche d’investimento ha fornito il proprio consenso al FSARC di condividere dati “considerati non esclusivi” con l’obiettivo di ricevere protezione infrastrutturale, documentale e del personale impiegato, ma non relativa ad informazioni inerenti la propria clientela, la cui natura diventa “esclusiva” dell’istituzione finanziaria.

Project Indigo prevede la fornitura di dati principalmente al Department of Homeland Security (DHS), al Federal Bureau of investigation (FBI) ed al Tesoro statunitense, partners governativi indicati nel comunicato stampa dell’ottobre 2016, con cui si pubblicizzava la futura attivita’ del FSARC (“identificare, analizzare, valutare e coordinare proattivamente le attività per mitigare il rischio sistemico nel sistema finanziario statunitense dalle attuali ed emergenti minacce di cybersecurity mediante operazioni focalizzate e collaborazione rafforzata tra aziende, partner industriali e governativi”). Nello stesso comunicato non vengono menzionate ne’ USCYBERCOM, ne’ la NSA, la cui importanza si sta dimostrando, però, sempre più rilevante.

La cyber community statunitense, infatti, sta acquisendo consapevolezza sia dell’importanza dell’impiego di benchmark, di fondamentale ausilio per le istituzioni finanziarie nel valutare la prontezza operativa nella gestione del cyber risk garantendo vigilanza e resilienza, sia della necessità di guardare oltre le proprie esperienze lavorando sinergicamente con più ampie comunità, militare in primis, che stiano fronteggiando le stesse minacce.

++

Fabio Vanorio è un dirigente del Ministero degli Affari Esteri e della Cooperazione Internazionale, in aspettativa dal 2014. Attualmente, risiede a New York dove ha in corso progetti di ricerca accademica in materia di economia internazionale ed economia della sicurezza nazionale. Scrive per l’Hungarian Defense Review e per l’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.

DISCLAIMER: Tutte le opinioni espresse sono da ricondurre all’autore e non riflettono alcuna posizione ufficiale riconducibile né al Governo italiano, né al Ministero degli Affari Esteri e per la Cooperazione Internazionale.

Back To Top