Gruppo KBC
Come creare un gruppo bancario e assicurativo multinazionale cyber-resiliente
Due persone parlano di un gruppo bancario e assicurativo multinazionale cyber-resiliente

Quando KBC ha implementato la piattaforma IBM Security SOAR, precedentemente nota come Resilient, ha acquisito un hub centralizzato per la risposta agli incidenti di sicurezza informatica. L'azienda ora è in grado di visionare le minacce nelle varie controllate e di attivare le risposte a livello locale e di gruppo previste dalle varie normative.

Sfida di business

Essendo una realtà bancaria e assicurativa presente in moltissimi paesi, il KBC Group aveva necessità di supervisionare e coordinare le proprie risposte alle minacce informatiche, rispettando al contempo gli stringenti requisiti normativi in materia di segnalazione degli episodi di cyber criminalità.

Trasformazione

KBC ha scelto la piattaforma Resilient SOAR per acquisire una visione esaustiva e coordinare risposte tempestive alle minacce informatiche per tutte le sue controllate europee.

Risultati Offre una vista sinottica sugli
incidenti informatici che interessano più entità in paesi diversi
Consente di inserire azioni circoscritte
mantenendo un quadro generale standardizzato di risposta agli incidenti
Gestisce la conformità ai requisiti di notifica legale
per numerose normative europee
Storia di una sfida aziendale
La sfida della sicurezza informatica multilivello

KBC opera in tutta Europa tramite una serie di banche e compagnie di assicurazioni interamente sotto il suo controllo. Queste società sono tuttavia provviste di un elevato livello di autonomia, e operano nei mercati di Belgio, Repubblica Ceca, Slovacchia, Ungheria, Bulgaria e Irlanda. Sebbene le normative sui servizi finanziari siano in gran parte determinate a livello nazionale, le controllate di KBC rientrano comunque nella sfera di competenza dell'Unione Europea (UE) e della Banca Centrale Europea (BCE). L'entrata in vigore di una serie di regolamenti, come ad esempio il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva 2 sui servizi di pagamento (PSD2), unita alle aspettative di supervisione della BCE in materia di sicurezza informatica ha imposto su KBC e sulle sue controllate una serie di requisiti stringenti in merito alla segnalazione e alla risposta alle violazioni dei dati e agli incidenti informatici.

Nel 2016 KBC ha formato il suo Cyber-Expertise and Response Team (CERT) nella sede centrale di Bruxelles. Il team ha avuto l'incarico di organizzare la risposta alle minacce informatiche in tutte le controllate europee del gruppo. Il CERT aveva bisogno di supervisionare centralmente il suo processo di risposta agli incidenti, ma senza creare un dipartimento apposito. Le controllate europee e internazionali del gruppo disponevano di team di sicurezza e di risposta agli incidenti consolidati e in gran parte autonomi. Piuttosto che duplicare gli sforzi, il CERT di KBC intendeva supplementare le capacità di questi team e migliorare la postura di cybersecurity generale del gruppo, elevando i livelli di attenzione e il coordinamento delle risposte.

KBC era alla ricerca di un meccanismo che consentisse al CERT di registrare e visualizzare le minacce in ciascuna delle società controllate, e che avviasse le operazioni di segnalazione e di risposta previste dalla normativa sia a livello locale che a livello di gruppo.

Kris Caron, il responsabile della gestione delle crisi e degli incidenti del CERT, descrive la relazione che intercorre tra il team e gli uffici di sicurezza a livello di singolo paese: "Se un evento interessa più di un paese o se la Direzione centrale o locale ci chiede di assumere il controllo di una certa situazione, allora interveniamo. Negli altri casi operiamo in modalità di supporto. Per questo motivo quello di cui avevamo bisogno era una vista complessiva su tutti gli incidenti".

KBC era alla ricerca di una soluzione tecnologica che aiutasse a implementare i playbook di risposta agli incidenti per svariati tipi di eventi, in modo da avere risposte omogenee in tutto il gruppo. I playbook descrivono minuziosamente i passaggi sequenziali da attuare in caso di incidente, alcuni dei quali possono avvenire in modo automatico. Ad esempio, quando viene rilevato del malware nei computer di una banca, il playbook illustra i passaggi da attuare per un'eventuale escalation, per il contenimento del malware e per la risoluzione della problematica.

"Avevamo bisogno di qualcosa che consentisse al CERT di coordinare le risposte, che fosse integrabile negli strumenti tecnici in dotazione, e che automatizzasse alcune risposte", afferma Caron. "Inoltre, avevamo bisogno di velocità. In fatto di segnalazioni siamo assoggettati a svariate normative, e una di esse, emanata dalla BCE, ci impone di segnalare gli incidenti informatici entro due ore”.

La piattaforma Resilient innesca automaticamente i task e le notifiche di gestione delle crisi in ogni ufficio e dipartimento interessato del gruppo bancario. Kris Caron Head of Crisis and Incident Management, CERT Gruppo KBC
Storia della trasformazione
Orchestrazione e visualizzazione della sicurezza informatica

KBC ha indetto un "beauty contest" invitando una serie di fornitori a effettuare una serie di dimostrazioni delle rispettive piattaforme di security reporting. La soluzione vincente è risultata essere la piattaforma Security SOAR di IBM, precedentemente nota come Resilient. IBM Security SOAR offre una solida base per la pianificazione e la gestione delle risposte, oltre che per la mitigazione di una vasta gamma di tipi di incidenti a tutti i livelli dell'organizzazione di KBC.

"Uno dei motivi principali per cui abbiamo scelto Resilient è che i nostri interlocutori ne capivano davvero di cybersecurity, ed erano disposti a lavorare con noi per adattare la piattaforma alle nostre esigenze specifiche", racconta Caron. "Uno dei momenti determinanti è stato il nostro viaggio a Boston, quando siamo andati a conoscere le persone che si sarebbero occupate di noi e l'organizzazione nel suo complesso. Questo momento di contatto e conoscenza ha gettato le basi della nostra partnership, che ci consentirà poi di sviluppare ulteriormente l'impronta di Resilient".

Il team di IBM Security SOAR ha fornito un contributo decisivo per integrare la piattaforma con l'infrastruttura di sicurezza e IT del cliente. KBC ha utilizzato i playbook standard pre-caricati per la gestione dei tipi di incidenti più diffusi, come malware, denial of service e phishing, in modo da integrare i propri playbook KBC nella piattaforma IBM Security SOAR. I consulenti di IBM Security hanno collaborato con KBC per aggiungere nei playbook del gruppo alcuni meccanismi di innesco delle segnalazioni previste dalla normativa. Tali meccanismi sono stati pensati per soddisfare i requisiti previsti dal GDPR, dalla BCE, dalla PSD2 e dalla Direttiva UE sulla sicurezza delle reti e delle informazioni (NIS) sulle infrastrutture critiche. Inoltre, il team ha implementato un maggior numero di playbook sulle minacce alla sicurezza informatica, tra cui quello per la CEO Fraud e per altre fattispecie specificamente indicate da KBC.

Il lavoro con IBM Security SOAR è cominciato nell'ottobre 2017, mentre il primo go-live è avvenuto nel febbraio 2018 con CERT e l'organizzazione di Bruxelles. Da febbraio a maggio 2018, IBM Security SOAR e il CERT hanno collaborato con altre entità per formare il personale e integrare i playbook di IBM Security SOAR nell'infrastruttura di sicurezza. Durante quel periodo, KBC ha aggiunto tutti i contenuti locali richiesti dalle organizzazioni a livello di singolo paese.

Caron descrive in che modo KBC può sfruttare la flessibilità della piattaforma SOAR per arricchire i playbook del gruppo con contenuti locali: “Anche se abbiamo lasciato una certa autonomia alle diverse realtà locali, per questi playbook volevamo una tassonomia comune e una serie di attività di base. Ogni realtà può disporre dei propri task per i processi o le normative locali, ma centralmente avevamo l'esigenza di fare riferimento a un quadro comune per poter collaborare con più team sul medesimo incidente. Pertanto, per le registrazioni abbiamo adottato l'inglese come "lingua franca".

Avevamo bisogno di velocità. Siamo assoggettati a numerose normative in materia di segnalazione, tra cui l’obbligo della BCE di segnalare gli incidenti informatici entro due ore. Kris Caron Head of Crisis and Incident Management, CERT Gruppo KBC
Storia dei risultati
Una vista centralizzata, risposta locale e virtuale

La piattaforma IBM Security SOAR fornisce ora al CERT una visione d'insieme degli incidenti informatici che interessano più entità in diversi paesi. "Credo che i maggiori benefici derivino dall'abbattimento delle barriere informative", dice Caron. "Grazie a un punto di vista unificato abbiamo la possibilità di capire meglio cosa sta succedendo negli altri paesi, e possiamo coordinare la nostra risposta con i rispettivi team".

La piattaforma è stata progettata per dare flessibilità ed estensibilità, e consente a KBC di inserire nei playbook risposte circoscritte mantenendo comunque un quadro di riferimento standardizzato per le risposte agli incidenti. La piattaforma consente di agire istantaneamente sulla base degli avvisi di sicurezza, offre informazioni preziose e contestualità sugli incidenti, e permette di opporre una risposta adattiva alle minacce informatiche complesse.

Caron afferma che "la piattaforma Resilient ha introdotto il principio "rompere il vetro in caso di emergenza" per lanciare gli allarmi, in quanto innesca automaticamente le attività e le notifiche per la gestione della crisi in ogni ufficio e dipartimento interessato all'interno dell'intero gruppo bancario”.

KBC ora può gestire meglio la conformità ai requisiti di notifica legale prescritti dai vari GDPR, BCE, PSD2 e NIS. La piattaforma IBM Security SOAR aiuta a ridurre i tempi di risposta agli incidenti, togliendo gran parte dell'onere analitico dalle spalle dei cyber analyst di KBC. L'automazione di molti processi aiuta i team cyber a stabilire le priorità e a rispondere rapidamente agli incidenti più critici, come richiesto dalla nuova legislazione.

Per testare il sistema, il CERT ha effettuato un'esercitazione sulle minacce informatiche nel corso di uno stress test gestito dal comitato esecutivo della banca. Il CERT ha inserito il caso nella soluzione IBM Security SOAR e ha richiesto una risposta. "Si trattava di un'operazione fuori dagli schemi, qualcosa di nuovo e legato al rischio informatico. Abbiamo ottenuto una risposta efficace e veloce con uno sforzo molto minore rispetto al passato", ricorda Caron. "Abbiamo potuto concentrarci sulla mitigazione della crisi, potendo richiedere rapidamente al gruppo azioni intermedie supplementari, invece di perdere tempo a telefonare ai nostri team internazionali".

KBC registra tutti gli eventi di cybersecurity nella piattaforma IBM Security SOAR, dagli incidenti più piccoli e circoscritti fino a eventi che interessano l'intero gruppo. Il gruppo ha aggiunto altri 60 utenti alla piattaforma e continua ad ampliarne l'uso per aiutare a gestire gli episodi di frode, le frodi elettroniche, i problemi di gestione delle vulnerabilità e non solo. "Vogliamo che i nostri uffici specializzati nella gestione delle crisi e degli incidenti offrano questo servizio ad altri team, ora che disponiamo della piattaforma Resilient SOAR", spiega Caron. "Siamo collegati da New York a Hong Kong e in tutta Europa, e la continuità operativa e la gestione delle crisi sono i prossimi ambiti da affrontare".

Logo di KBC
Gruppo KBC

KBC (link esterno a ibm.com) è una società con sede a Bruxelles nata nel 1998 dalla fusione di due istituti bancari e di una compagnia di assicurazione belgi.La divisione assicurativa della banca serve 11 milioni di clienti in tutta Europa nei mercati di Belgio, Repubblica Ceca, Slovacchia, Ungheria, Bulgaria e Irlanda.KBC conta anche una presenza limitata negli Stati Uniti e in Asia, principalmente per servire i clienti dei suoi mercati principali.I 42.000 dipendenti di KBC ambiscono a offrire ai clienti del gruppo un'esperienza bancaria e assicurativa unica e personalizzata attraverso oltre 1.400 filiali e svariati canali elettronici.

Fai il passo successivo

Per saperne di più sulla soluzione IBM presentata in questa storia, contatta il tuo rappresentante IBM o un business partner IBM.

Visualizza PDF Visualizza altre storie dei clienti
Note a piè di pagina

© Copyright IBM Corporation 2020. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Prodotto negli Stati Uniti d'America, febbraio 2020.

IBM, il logo IBM, ibm.com e Resilient sono marchi di International Business Machines Corp., registrati in molte giurisdizioni del mondo.Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società.Un elenco aggiornato dei marchi IBM è disponibile sul web alla pagina "Copyright and trademark information" (Informazioni sul copyright e sui marchi) all’indirizzo www.ibm.com/it-it/legal/copytrade.shtml.

Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.

Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.

È responsabilità del cliente assicurare la conformità a normative e regolamenti applicabili. IBM non fornisce consulenza legale né dichiara o garantisce che i propri servizi o prodotti assicurino al cliente la conformità con qualsivoglia legge o regolamento.

Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati e danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato totalmente sicuro e nessun singolo prodotto, servizio o misura di sicurezza è da considerarsi completamente efficace nella prevenzione dell’uso o dell’accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE SISTEMI, PRODOTTI O SERVIZI SIANO ESENTI DA O RENDERANNO L’AZIENDA ESENTE DA CONDOTTA MALEVOLA O ILLEGALE DI UNA QUALSIASI PARTE.