C’è una notizia che è stata poco commentata e riguarda l’obbligo delle banche europee di testare la loro capacità di ripresa dopo un attacco hacker. L’informazione è importante e dovrebbe segnare un ulteriore tassello verso quelle buone prassi di cui spesso si parla.
RTO – Recovery Time Objective
Il RTO (Recovery Time Objective) è il tempo necessario a tornare completamente operativi dopo un incidente informatico: sia esso di natura colposa o dolosa. È un livello di servizio essenziale che in questi mesi è divenuto noto soprattutto a causa dei continui data breach a strutture pubbliche che hanno provocato rallentamenti intollerabili. La notizia pubblicata da Milano Finanza riporta:
Nel 2024 la Banca centrale europea sottoporrà a una prova di stress sulla resilienza cibernetica 109 banche soggette alla sua vigilanza diretta, non con l’obiettivo di valutarne le capacità di prevenzione, bensì la risposta e la ripresa in caso di attacco cibernetico
Fonte: Milano Finanza (link)
Viene quindi spostata l’attenzione non tanto sulla prevenzione, quanto sulla capacità di reazione post-incidente. Questo paradigma, per gli addetti ai lavori, non è una novità: la prevenzione è fondamentale ma l’invulnerabilità non esiste. Bisogna quindi concentrare le propri forze sulla ripresa dei servizi e quindi sullo sviluppo di buone capacità di ripristino.
Livelli di servizio
La tematica dei livelli di servizio è stata trattata varie volte all’interno di questo portale ma per chi volesse approfondire l’argomento è possibile leggere un articolo del 2022 sui livelli di servizio indicati da AgID.
Il fatto che l’Europa si voglia concentrare sulle attività di ripresa è indice di lungimiranza: un data breach, seppur minimizzato nelle conseguenze può generare effetti sulle prestazioni. Sviluppare la capacità di continuità operativa non è sufficiente, è importante prevedere scenari in cui vi sono interruzioni di servizio prolungate. Sempre nell’articolo di Milano Finanza si legge:
Nel quadro dell’esercizio, 28 banche saranno sottoposte a una verifica più dettagliata, ai cui fini presenteranno maggiori informazioni riguardo alle modalità con cui avranno fronteggiato l’attacco cibernetico. Il campione include modelli imprenditoriali e aree geografiche differenti, per fornire una rappresentazione significativa del sistema bancario dell’area dell’euro e assicurare un coordinamento efficiente con altre attività di vigilanza.
Ad essere oggetto di test non saranno quindi solo i sistemi informativi ma l’intero modello di gestione e organizzazione delle banche. Sono infatti le persone e le loro procedure a garantire una partenza più rapida rispetto alle altre ed è la capacità di comunicazione ad evitare effetti negativi sulla clientela.
Conclusioni
L’attività prevista dalla BCE dovrebbe essere svolta da tutte le P.A. italiane, quantomeno dalle strutture quali regioni, comuni, ospedali e ASL. Invece continuiamo ad assistere a data breach seguiti da lunghi periodi di disservizi con comunicazioni scadenti e servizi interrotti in modo prolungato. I risultati del test saranno resi noti durante l’estate 2024 e sarà importante capire quali saranno gli insegnamenti ottenuti da tale prova.
