Sebbene la crescente adozione della tecnologia di sicurezza abbia visto una netta riduzione del volume di manodopera richiesto per la sicurezza delle banche e degli istituti finanziari, sembrerebbe che la scelta ottimale sia una combinazione del meglio di entrambi i settori. Hi-Tech Security Solutions parla con gli specialisti del settore del mix di sicurezza, della criminalità informatica e dell’assalto dell’intelligenza artificiale (AI).
Franz Kersten, del produttore di telecamere di sorveglianza Panasonic, sottolinea che in passato le guardie di sicurezza pattugliavano percorsi prestabiliti all’interno delle sedi dei clienti, con la speranza di identificare e avvisare la direzione dei rischi o delle minacce. Tuttavia, questo ruolo è diminuito grazie all’impiego di telecamere di sorveglianza che consentono di avere un operatore in una stanza che osserva più siti simultaneamente, senza la necessità di essere a terra, a meno che un incidente non lo richieda.
Un ulteriore vantaggio di questo monitoraggio remoto è che non è più necessario collocare guardie disarmate di grado C in aree ad alto rischio, dove la possibilità di attacco è elevata. Il dispiegamento di squadre di reazione armate viene attivato solo quando l’intero rischio è stato valutato dalla telecamera.
Franz Kersten
“Da un punto di vista pratico, le telecamere eliminano qualsiasi problema di identificazione della situazione che potrebbe verificarsi quando una guardia ha una visione limitata o danneggiata. Dal punto di vista finanziario, i clienti possono ora passare da un modello di costi operativi a un modello di spesa in conto capitale, con tutte le telecamere collegate a uno SLA che definisce un piano di manutenzione prestabilito”.
Il collega Gert Janzen aggiunge che il backend dei sistemi abilitati all’analisi video e al rilevamento facciale sta mostrando un netto miglioramento e quindi la dipendenza dalla manodopera può essere ridotta, poiché molte delle loro funzioni vengono sostituite dall’intelligenza incorporata nei sistemi di sicurezza.
L’integrazione rimane la chiave
Bisogna sottolineare che la tecnologia o la manodopera in isolamento non sono mai la soluzione, dice Kersten. “Devono semplicemente lavorare in sinergia per rendere le misure di sicurezza sostenibili. La migrazione a un sistema automatico con la sorveglianza come strumento attivo e non solo come componente aggiuntivo passivo è molto vantaggiosa, ma questi vantaggi devono essere comunicati all’utente finale.
“Gli integratori di sistemi devono essere creativi nell’applicare le soluzioni, poiché non si tratta di uno scenario da dipingere. È importante studiare con attenzione e metodo le esigenze del cliente e poi abbinarle alla tecnologia disponibile, considerando le caratteristiche e l’integrazione tra i sistemi (sorveglianza, T&A e controllo accessi)”.
Ian Downie, dell’azienda di servizi di sicurezza gestiti Xone, afferma che la tecnologia di sicurezza sta diventando più intelligente, nella misura in cui i dispositivi possono informare gli utenti quando le cose funzionano o sono fuori servizio e possono anche automatizzare i processi. Un esempio che cita è la sostituzione della guardia di sicurezza all’ingresso di un’area riservata ad alto rischio con una procedura di chiusura che richiede una verifica elettronica e delle password.
“L’IoT consente alla tecnologia di essere abbastanza intelligente da svolgere le funzioni delle persone, mentre in precedenza i sistemi erano molto più limitati. Di conseguenza, questa automazione diventa più affidabile e oggettiva, poiché è facile verificare se i processi vengono eseguiti in modo efficace, riducendo così la dipendenza dall’elemento umano”, spiega.
Ian Downie
È necessario creare un ambiente di comando e controllo centralizzato, con dispositivi integrati e che consenta la quantità minima di manodopera necessaria per rispettare i processi richiesti. I dispositivi integrati potrebbero includere il controllo degli accessi, la gestione dei visitatori, il monitoraggio delle aree riservate, le strutture per la gestione del denaro, la sicurezza del denaro e la risposta agli allarmi e alle notifiche di emergenza.
Integrare manodopera e tecnologia
Secondo Gus Brecher, sviluppatore di sistemi di gestione video, Cathexis, si può migliorare l’efficacia o l’efficienza della manodopera impiegata aggiungendo la tecnologia all’equazione.
“Tuttavia, la riduzione della manodopera non deve essere il fattore trainante dell’aggiunta di tecnologia. In definitiva, si dovrebbe puntare a una soluzione di sicurezza più efficace, con errori minimi, la capacità di estrarre la business intelligence dal sistema, se possibile, e, quando si verifica un incidente di sicurezza, il team di sicurezza deve essere in grado di reagire in modo efficiente ed efficace nel modo corretto. La soluzione può, e spesso lo fa, comportare una riduzione della manodopera”.
Gus Brecher
L’utilizzo dell’analisi video consente di innescare eventi in modo intelligente e di avviare risposte automatiche nella sala di controllo, eliminando così la dipendenza dagli operatori per prendere decisioni. Bisogna anche considerare i vantaggi che la tecnologia moderna può portare alle organizzazioni, al di là della sicurezza. Ad esempio, il conteggio delle persone all’interno di una sala bancaria o presso un ATM può avvisare la direzione del fatto che in determinati giorni o orari potrebbe essere necessario più personale o risorse per garantire la soddisfazione dei clienti. Un altro esempio è la segnalazione dei clienti VIP tramite i sistemi di riconoscimento facciale, in base ai quali il sistema avviserà la direzione della presenza del VIP nell’edificio e consentirà di fornire livelli di servizio migliori.
La minaccia virtuale
Il crimine informatico è una minaccia reale e globale, con tutti i dispositivi IoT che rappresentano una potenziale porta d’accesso ad aree sensibili o ad alto rischio. Kersten suggerisce che, oltre a un firewall o a una VPN con politiche di sicurezza in atto, si dovrebbe considerare la crittografia su due livelli: SSL (chiuso) o proprietario, con la propria crittografia dei dati; al secondo livello, una soluzione end-to-end in collaborazione con un fornitore di protezione endpoint riconosciuto, utilizzando certificati di sicurezza incorporati nel proprio hardware e software. In questo modo, si elimina l’opportunità per gli hacker di accedere alle porte o alle interfacce degli utenti.
“Panasonic utilizza due livelli di crittografia dei dati: il nostro SSL, che è più sicuro del più comunemente conosciuto SSL aperto. Il secondo livello è una partnership tra Panasonic e Symantec. Questa partnership aggiunge un ulteriore livello di crittografia e di protezione dei dati e aumenta la credibilità della cyber-sicurezza incorporata nelle telecamere Panasonic i-PRO”, afferma Kersten.
Downie avverte che esiste una quantità significativa di legislazione sulla cybersecurity, che evidenzia la necessità per le organizzazioni di adottare le misure preventive necessarie per ridurre efficacemente il rischio.
“È importante ricordare che esistono normative specifiche sulla privacy delle informazioni, come la legge PoPI. Le misure devono quindi essere all’avanguardia, rispettando al contempo la privacy delle persone. L’implementazione di un caveau centralizzato di dati riservati, gestito da un responsabile del controllo dei dati, sta diventando sempre più rilevante. Il personale di tutti i settori deve essere educato a essere cauto nel gestire le e-mail, in particolare quando è a conoscenza di informazioni privilegiate”.
Protocolli rigorosi in termini di password per le e-mail, altre password e quali e-mail possono e non possono essere consultate, dovrebbero essere un dato di fatto. Allo stesso modo, i firewall e i software antivirus devono essere mantenuti e controllati vigorosamente.
Politiche e procedure
Brecher solleva un punto interessante: Tutta la tecnologia del mondo non serve se non si dispone di procedure e processi di gestione della sicurezza adeguati. Ciò è particolarmente rilevante sia per la sicurezza dell’accesso ai dati che per la sicurezza dei dati stessi. Consiglia di utilizzare canali di comunicazione criptati e, quando si archiviano i dati, di utilizzare chiavi di crittografia. Cathexis utilizza personalmente due chiavi RSA-1024 per la firma dei dati e una crittografia di blocco AES 128 opzionale con password generate in modo casuale. Inoltre, i filmati archiviati possono essere riprodotti solo con il software proprietario Cathexis.
“È fondamentale che gli utenti finali considerino la legge PoPI e le sue implicazioni quando riprendono le persone e utilizzano questi dati. Stiamo istituendo un processo che prevede la filigrana automatica e la sovrapposizione dei filmati con una password necessaria per visualizzarli, al fine di garantire che i filmati non vengano accidentalmente o deliberatamente diffusi nel pubblico dominio”, afferma Brecher.
In poche parole, continua, i punti deboli sono i dispositivi periferici come le fotocamere, con alcuni dei marchi meno affidabili che forniscono un ingresso backdoor. Gli switch di rete intelligenti, il controllo dell’accesso fisico ai sistemi e l’insistenza sulle password contribuiscono a creare un ambiente informatico più sicuro.
Ottenere l’intelligenza
Si è parlato molto di intelligenza artificiale (AI) e il ritmo di sviluppo della tecnologia è a dir poco sbalorditivo. Kersten ritiene che, tuttavia, si tratti ancora di una fase iniziale. “In definitiva, molte organizzazioni vogliono che i loro sistemi imparino e inizino a sostituire le funzioni dell’operatore umano attraverso l’apprendimento profondo e l’AI. L’AI è interessante per molti, perché non presenta caratteristiche e idiosincrasie umane, come la stanchezza e il saltare dettagli critici, e quindi è percepita come più affidabile e obiettiva della sua controparte umana”.
Sottolinea che l’AI non si limita solo ai sistemi di sorveglianza. Piuttosto, sistemi diversi inizieranno a condividere le informazioni tra loro, con l’intelligenza artificiale distribuita su molti dispositivi. Janzen aggiunge che tutti noi dobbiamo prestare maggiore attenzione ai big data per aiutarci a implementare soluzioni e a far crescere le funzionalità delle telecamere. L’ideale, dice, è il consolidamento di un’azienda di big data con un’azienda di sicurezza tradizionale, per fornire un approccio proattivo alle soluzioni di sicurezza.
Downie afferma che, man mano che l’AI diventa più sofisticata, offre la capacità di identificare rapidamente gli eventi che non sono la norma e consente di monitorare uno scenario su cui si può agire in modo appropriato. Come esempi, cita il monitoraggio delle persone che entrano in aree riservate, i comportamenti insoliti o innaturali, il bighellonare e gli oggetti lasciati in luoghi riservati. “Con il progredire dell’apprendimento profondo, le capacità del sistema diventano più raffinate e ci sarà una relativa riduzione della manodopera necessaria. Lo vediamo in alcuni impianti di produzione di fascia alta, dove la robotica è arrivata a un punto in cui quasi gestisce le operazioni dell’impianto”.
Brecher ritiene che il termine ‘AI’ sia attualmente abusato, ma che si tratti comunque di una realtà. L’AI viene utilizzata per automatizzare la raccolta di informazioni, al fine di prendere decisioni informate senza necessariamente l’intervento umano. Gli algoritmi di apprendimento vengono quindi proposti come soluzione per stabilire le norme in un ambiente e i sistemi possono generare allarmi su ciò che è considerato anormale. Tuttavia, gli esseri umani dovranno ancora convalidare questi allarmi.
“L’AI può quindi ridurre la dipendenza dagli esseri umani nel prendere decisioni, ma non sostituirà nel prossimo futuro la necessità di manodopera. Da un punto di vista operativo, possiamo utilizzare l’AI per vedere quali tendenze sono prevalenti, ad esempio che ci sono più persone in una sala bancaria o in un ambiente di vendita al dettaglio il sabato e che quindi c’è bisogno di più cassieri o addetti alla sicurezza in quel momento. L’AI permetterebbe anche di scoprire gli incidenti più velocemente. Si potrebbe anche utilizzarla per effettuare la post-elaborazione dei filmati. Cathexis utilizza tre algoritmi di ricerca avanzati che elaborano i dati metodici delle telecamere per analizzare i movimenti. Questo tipo di intelligenza aumenta l’efficacia e l’efficienza del sistema e riduce il tempo necessario per cercare una persona specifica in un video”.
Proteggere la sua identità digitale
Schalk Nolte, CEO di Entersekt, commenta i problemi di sicurezza che dobbiamo affrontare quando il settore finanziario abbraccia il mondo digitale.
Man mano che il nostro mondo diventa più digitalizzato, le informazioni che vogliamo mantenere private sono sempre più a rischio, eppure nessuno vuole che queste informazioni siano protette da misure di sicurezza ingombranti che non si adattano al nostro ritmo di vita. Ora è pronto il terreno per l’adozione su larga scala della tecnologia biometrica super-conveniente, soprattutto sui dispositivi mobili.
Diverse forme di sicurezza biometrica hanno già iniziato a farsi strada nel settore bancario e dei pagamenti; tra queste ci sono il volto, l’impronta digitale, l’iride, il palmo della mano, la vena e il voi.
Schalk Nolte
Tutti coloro che hanno a che fare con il digital banking e la sicurezza hanno seguito i rapidi sviluppi della biometria e hanno discusso sull’utilità della tecnologia nella lotta contro il crimine informatico. Ci sono pochi dubbi sul fatto che la biometria giocherà un ruolo importante nella sicurezza dei servizi mobili, soprattutto se vista dal punto di vista della comodità dell’utente.
Tuttavia, è anche giusto sottolineare che la biometria può mettere a rischio le aziende e i loro clienti se viene utilizzata come unico mezzo di identificazione degli utenti e di autenticazione delle transazioni.
Per proteggere efficacemente le transazioni ad alto rischio, le banche e gli altri fornitori di servizi finanziari hanno bisogno di un forte livello di sicurezza di base. Un esempio è la piattaforma Transakt di Entersekt, dove la biometria può essere aggiunta tramite un plug-in, per aumentare i livelli di rischio o migliorare l’esperienza dell’utente.
A differenza dei nomi utente e delle password, che possiamo cambiare a piacimento, esiste un solo set di dati biometrici. Se questo cade nelle mani degli hacker, non è utile ai fini dell’autenticazione. Il consenso degli esperti del settore, come FIDO Alliance, è che dobbiamo limitare l’esposizione dei nostri dati biometrici privati, non condividendoli. Dovremmo invece tenerlo bloccato sui nostri dispositivi personali.
C’è un’app per questo (ovviamente).
Di recente abbiamo lanciato un nuovo strumento di abilitazione al commercio digitale chiamato Connekt. Lo strumento consente agli istituti finanziari di attivare nuovi servizi di pagamento mobile all’interno delle loro applicazioni bancarie esistenti in modo rapido ed economico.
Funziona indipendentemente dalla tecnologia sottostante, dall’endpoint di pagamento o dalla rete di commercianti coinvolti. Le reti di carte come Visa e Mastercard hanno sviluppato nuove tecnologie per consentire e proteggere i consumatori online che effettuano pagamenti senza contanti.
Innovazioni come la tokenizzazione, i pagamenti app-to-app, il 3D Secure e i portafogli mobili – insieme a tecnologie come il QR (scan to pay) e l’NFC (tap to pay) – rendono il numero di opzioni di pagamento che le banche devono prendere in considerazione e a cui devono rispondere travolgente.
Il vantaggio principale di Connekt è che gli utenti mobili della banca potranno godere della stessa esperienza d’uso per l’avvio e l’autenticazione delle transazioni di e-commerce come per le operazioni bancarie. Non c’è bisogno che il consumatore scarichi una miriade di applicazioni per i pagamenti mobili; può accedere a tutti i diversi servizi attraverso un unico punto di fiducia – la sua app bancaria di marca.
