BANK OF ENGLAND: UN ATTACCO CYBER PUO’ ESSERE CAUSA DI RISCHIO SISTEMICO?
“Could a cyber attack cause a systemic impact in the financial sector?” (Quarterly Bulletin Q4-2018)
Phil WARREN, Kim KAIVANTO, Dan PRINCE
BANK OF ENGLAND
https://www.bankofengland.co.uk/
Un articolo recentemente pubblicato sul Quarterly Bulletin della Bank of England sottolinea che il rischio informatico è spesso considerato come un problema di priorità assoluta, non solo dalle singole istituzioni ma anche dal sistema finanziario nel suo complesso; tuttavia, una comprensione profonda del “rischio informatico sistemico” all'interno del settore finanziario resta a uno stadio pressochè embrionale.
Le posizioni sul tema non sono unanimi: da indicazioni più allarmiste - che presuppongono un legame diretto tra rischio cibernetico e rischio sistemico - si passa ad altre che, per contro, non evidenziano alcun tipo di connessione tra failure dei sistemi informatici e crisi sistemiche.
Data la diversità delle opinioni, nell’articolo in esame si valuta criticamente il legame tra rischio cibernetico e sistemico all'interno del settore finanziario. L’approccio degli Autori, in particolare, prevede l’analisi delle caratteristiche comuni delle esistenti definizioni di rischio sistemico e testa la loro applicabilità al rischio cibernetico.
Viene sottolineato, ad esempio, che il rischio cibernetico possiede caratteristiche in grado di contribuire a impatti di rilevanza sistemica. Nel settore finanziario, inoltre, esiste un crescente divario tra complessità dell’ambito tecnologico e capacità di comprendere tale aspetto; ciò contribuisce a rendere la mitigazione del cyber risk una sfida sempre più pressante.
A ciò si aggiunga che una valutazione del rischio secondo criteri “tradizionali” richiede tassonomie precise e strutturate, un risk appetite definito e valutazioni d’impatto; l'ambiente tecnologico risulta essere, per contro, molto complesso e caratterizzato da un elevato grado di opacità.
Secondo gli Autori, quindi, esistono le premesse per collegare il rischio cibernetico al rischio sistemico nel settore finanziario. Evidenziano, tra l’altro, come la dipendenza dalla tecnologia - in continuo aumento - conduca, nel tempo, a una proporzionale crescita degli attacchi informatici.
Ritengono perciò fondamentale che continui a essere rafforzato il ruolo svolto dagli operatori della sicurezza informatica, secondo criteri fondati su una più ampia e profonda comprensione delle caratteristiche e delle logiche degli attackers; ciò risulterà utile per calibrare efficacemente le risorse a disposizione per la difesa del settore.
Evidenziano, inoltre, la necessità di intraprendere ulteriori studi per meglio comprendere le relazioni esistenti, nel sistema economico, tra diversi aspetti del “fattore umano” (ad esempio: integrità dei dati e autenticità, fiducia nei servizi finanziari) ed eventuale potenziale d’impatto sull'economia reale in caso di attacco informatico.