KRACK Attack: Simulazione di un attacco al protocollo WPA2
23 Gennaio 2018
GDPR perché certificarsi – La vera ragione economica e il fenomeno della selezione avversa
25 Gennaio 2018

Cyber insurance: analisi delle problematiche legate all’assicurazione del rischio informatico

La digitalizzazione dell’informazione, la diffusione capillare di dispositivi sempre connessi a Internet e la penetrazione di servizi Web-based hanno rivoluzionato l’organizzazione e l’operatività delle moderne aziende. Inoltre, i trend attuali legati alla diffusione dell’Internet of Things e dell’Industria 4.0 hanno come conseguenza il moltiplicarsi di dispositivi connessi e di apparati controllati da remoto e via software anche all’interno di linee produttive tradizionalmente “non connesse” tipiche del settore manifatturiero. Questa trasformazione comporta evidenti cambiamenti anche nel modo in cui le aziende percepiscono, gestiscono e trattano il rischio informatico.

La sicurezza informatica è stata tradizionalmente considerata come un insieme di vincoli aggiunti ai processi aziendali preesistenti, soddisfatti mediante l’adozione di soluzioni tecnologiche appropriate e prerogativa esclusiva del settore IT. Questa errata percezione è ormai obsoleta, e i più moderni approcci di management considerano la sicurezza informatica come un requisito necessario per garantire la corretta operatività di tutti i processi aziendali. Come diretta conseguenza di questo cambio di paradigma, la sicurezza informatica diventa una tematica trasversale, che interessa chiunque all’interno di una moderna azienda: il management è chiamato a definirne le politiche sulla base della catena del valore dell’azienda; i tecnici devono mettere in essere tutte le misure necessarie ad implementare le politiche definite dal management; chiunque entri in contatto con l’azienda (non solo dipendenti, ma anche consulenti, partner commerciali, fornitori, …) deve essere adeguatamente formato al fine di garantire un corretto utilizzo dei dispositivi informatici aziendali.

Il tremendo impatto che incidenti e attacchi informatici possono avere sulla capacità dell’azienda di generare profitto, assieme ai relativi danni collaterali (perdita di reputazione, sanzioni, conseguenze legali) rende necessario considerare anche la sicurezza informatica nel processo di gestione del rischio che caratterizza ogni attività di una moderna organizzazione. In particolare, recentemente sono emerse e stanno emergendo sul mercato assicurativo italiano polizze per le assicurazioni del “rischio cyber”, che consentono di trasferire almeno in parte il rischio legato a possibili attacchi informatici. Sebbene tali polizze assicurative non siano ancora largamente diffuse in Italia, il mercato è ormai aperto e in continua crescita. Osservando il comportamento del mercato assicurativo americano, che nel 2016 ha fatto registrare una crescita del 35% sull’anno precedente toccando un volume di affari di 1,35 miliardi di dollari, è facile prevedere che anche le aziende nostrane saranno presto portate ad avvalersi di simili coperture assicurative.

Nonostante questo tasso di crescita, occorre sottolineare le problematiche che tuttora affliggono il settore delle assicurazioni sul rischio cyber. Questi fattori rischiano di rallentare la crescita del mercato assicurativo, di fatto limitando le possibili scelte di gestione del rischio informatico da parte dei manager, e di causare un forte scollamento tra le attese di chi intende sottoscrivere una assicurazione contro il rischio informatico e i prodotti assicurativi esistenti.

Le principali difficoltà in questo ambito riguardano tre attività fondamentali per tutto il settore assicurativo: la valutazione del rischio; la valutazione del danno e la definizione delle limitazioni della copertura assicurativa.

Valutazione del rischio

La valutazione del rischio informatico è un’attività estremamente complessa non solo per grandi realtà ma anche per piccole e medie imprese e studi professionali. In generale una valutazione del rischio legato a un determinato evento considera la probabilità di accadimento di tale evento e le possibili conseguenze negative che tale evento potrebbe comportare. Questa valutazione è relativamente semplice in settori tradizionali, che coprono danni causati da incendi, allagamenti, furti, incidenti automobilistici. In tutte queste aree esiste una casistica molto numerosa che consente di basare le valutazioni del rischio su dati statisticamente rilevanti. Inoltre, tali eventi comportano danni materiali che possono essere valutati in modo oggettivo. Simili valutazioni sono invece molto complesse in ambito cyber.

Sebbene incidenti e attacchi informatici siano molto numerosi, le compagnie assicurative non dispongono ancora di statistiche attuariali sufficientemente accurate per essere utilizzate come base per la valutazione del rischio. Inoltre, considerando la rapidissima evoluzione delle tecnologie informatiche e dei modelli di business ad esse collegate, emergono numerosi dubbi sulla reale utilità di basi di dati storiche.

Occorre inoltre considerare che una delle principali motivazioni che spinge le aziende a considerare la sottoscrizione di polizze cyber è rappresentato dal crescente numero e impatto di attacchi informatici deliberati. Chiaramente la valutazione della probabilità di accadimento di un attacco informatico non può essere esclusivamente legata a fattori statistici, ed è influenzata dalla qualità e dalla quantità delle contromisure tecnologiche, formative e organizzative che una azienda ha implementato a protezione del proprio patrimonio informativo. Questa valutazione si dimostra essere estremamente complessa.

La valutazione accurata della sicurezza informatica di un’organizzazione richiede l’esecuzione di attività di vulnerability assessment e penetration testing. Tali attività richiedono l’impiego di risorse esterne specializzate per periodi di tempo che possono essere anche molto lunghi, e arrivare a costi proibitivi. Ad esempio, un’attività di vulnerability assessment su una singola applicazione Web di media complessità può arrivare a costare qualche migliaia di euro, mentre un penetration test sul sistema informativo di una grande organizzazione condotto da un team di esperti nel settore può facilmente raggiungere o superare le centinaia di migliaia di euro. Sebbene esistano aziende e organizzazioni che prevedono già simili attività all’interno del loro piano di gestione del rischio, è difficile pensare che gli assicuratori le rendano  obbligatorie per tutti i clienti che intendono sottoscrivere una polizza sul rischio informatico.

Attualmente, la maggioranza delle compagnie che offrono assicurazioni cyber prevedono un modello di valutazione del rischio basato su questionari che vengono sottoposti al cliente. Si tratta spesso di questionari complessi, contenenti decine o centinaia di domande che spaziano da informazioni generali sull’azienda (dimensione, settore, fatturato, numero e tipologia di clienti) a questioni di carattere prettamente tecnico inerenti l’architettura IT del cliente e le specifiche contromisure tecnologiche applicate; dalla definizione dei ruoli legati alla gestione della sicurezza fino alle politiche puntuali relative alle caratteristiche e alla lunghezza minima delle password. La complessità di simili questionari è tale da mettere in dubbio che un cliente, pur in buona fede, riesca a rispondere a tutti i quesiti in modo corretto e completo.

Occorre considerare che anche un questionario compilato alla perfezione non consente di effettuare una valutazione del rischio accurata. Dalle risposte una compagnia assicurativa può evincere il livello di consapevolezza e di maturità dell’approccio del cliente nei confronti del rischio informatico, ma il sistema informativo di aziende strutturate e che si dotano di ottime politiche può comunque essere affetto da vulnerabilità sfruttabili da attaccanti e criminali informatici.

Inoltre, sia il questionario sia l’esito di una eventuale attività di penetration test consente di avere una visione del livello corrente di sicurezza informatica di una organizzazione. La velocità con cui evolvono i moderni sistemi informativi può rendere questo dato obsoleto nell’arco di pochi mesi o poche settimane.

Tutte queste difficoltà nella valutazione del rischio comportano l’impossibilità di determinare in modo accurato premi e franchigie per le polizze assicurative. I grandi player del mercato assicurativo sono stati i primi a proporre prodotti assicurativi per coprire il rischio cyber nonostante queste incertezze, forti della loro capacità di poter sopperire anche ad eventuali danni economici derivanti da valutazioni errate. Player minori adottano strategie più attendiste, basate sulla valutazione delle prestazioni dei prodotti assicurativi esistenti e l’imitazione dei comportamenti di maggiore successo commerciale.

Il rischio per i clienti di polizze cyber è invece quello di pagare premi eccessivi per l’effettivo livello di rischio, o sottoscrivere polizze con franchigie e massimali fortemente penalizzanti.

Valutazione del danno

Altro fattore critico per le assicurazioni cyber è la corretta valutazione del danno derivante da un incidente o da un attacco informatico. Sono pochi i casi in cui questa valutazione è fattibile e obiettiva. Si consideri ad esempio un attacco informatico o un incidente che causa l’indisponibilità di un sito di e-commerce per un periodo di tempo limitato e misurabile. In questo caso il danno derivato può essere calcolato analizzando il fatturato che tale sito di e-commerce ha generato in periodi di tempo analoghi. Tuttavia, nella generalità dei casi questa valutazione non è affatto semplice.

Un tipico obiettivo degli attacchi informatici sono le informazioni aziendali tipicamente raccolte in scenari di spionaggio industriale, quali la lista dei clienti e delle relative offerte economiche o le proprietà intellettuali alla base di prodotti innovativi e concorrenziali. Il furto di questi dati può avere effetti estremamente pesanti, che non è semplice valutare.

Si consideri inoltre il danno reputazionale causato dalla pubblicazione di tutti i dati relativi ai clienti di un istituto bancario, di uno studio legale o di una clinica privata. Anche nel caso in cui l’operatività di queste aziende non subisca alcun danno, la natura stessa dei dati trattati e la rottura del vincolo di fiducia che i clienti devono necessariamente avere verso simili fornitori di servizi causerebbe danni economici gravi e difficilmente stimabili.

L’orientamento attuale relativo alla determinazione del danno in casi di “data leak” prevede la valorizzazione del singolo dato, e la successiva moltiplicazione per il numero dei dati persi o resi pubblici. Appare tuttavia evidente come una simile valutazione sia complessa, suscettibile a differenti interpretazioni e non rispondente al reale danno.

Occorre inoltre evidenziare una specificità del mondo cyber che può a prima vista apparire ovvia: le informazioni digitalizzate possono essere facilmente copiate. Ciò implica che un “furto” di dati in realtà non comporta la sottrazione del dato rubato, ma una sua copia effettuata dal “ladro digitale”. Chi ha subito l’attacco informatico può non accorgersi nemmeno di essere stato vittima del “furto” e trovarsi a fronteggiare concorrenti con prodotti quasi identici o strategie commerciali estremamente aggressive e mirate. Questi fenomeni possono ingenerare il dubbio che preziose informazioni aziendali siano state copiate mediante attacchi informatici, ma spesso questo rimarrà solo un sospetto indimostrabile. In casi simili il sottoscrittore di una polizza assicurativa sul rischio informatico non è nemmeno in grado di denunciare e dimostrare un sinistro.

Definizione delle limitazioni

Ad oggi, la grande maggioranza degli incidenti e degli attacchi informatici avviene con l’involontaria complicità di personale aziendale. Si pensi ad esempio alle truffe effettuate a mezzo informatico mediante messaggi di posta elettronica con mittenti falsificati, a cui alcuni dipendenti non sufficientemente formati danno credito. Altri casi eclatanti sono i malware che vengono installati sui computer aziendali da dipendenti che cliccano link presenti in mail di phishing. Si prenda inoltre in considerazione il caso recente del ransomware Wannacry: tale malware si è replicato su centinaia di migliaia di computer affetti da vulnerabilità che erano già note e già corrette da aggiornamenti si sicurezza del sistema operativo rilasciati settimane prima. Pertanto Wannacry ha colpito solo aziende che non hanno correttamente applicato le migliori pratiche di gestione degli aggiornamenti.

A fronte di un simile scenario occorre esaminare accuratamente le limitazioni poste dalle assicurazioni per definire i casi esclusi dalla copertura assicurativa. Un incidente informatico causato da un dipendente distratto sarà considerato come risarcibile? E incidenti causati da comportamenti “colposi” di un amministratore di rete, che ha configurato un apparato di rete senza cambiare le credenziali di accesso pre-configurate e note a tutti? Fino ad arrivare ai casi di insider threat, in cui dipendenti in malafede attuano in modo deliberato attività criminali volte a danneggiare la propria azienda.

La valutazione di tutti i possibili profili di responsabilità è estremamente complessa, e spesso i dati utilizzabili post-incidente per l’analisi di un sinistro informatico non consentono di ricostruirne con certezza la dinamica.

Spazio per soluzioni innovative

Nonostante l’importanza dei problemi analizzati precedentemente, appare evidente che le assicurazioni sul rischio informatico saranno protagoniste di una crescita consistente nel prossimo futuro. Affinché questa crescita sia duratura e possa contribuire alla corretta gestione del rischio informatico da parte di aziende e organizzazioni di qualunque dimensione occorre definire nuove strategie e metodologie per ottenere una più accurata valutazione delle diverse tipologie di rischio informatico, dei danni causati, e delle dinamiche con cui si verificano incidenti ed attacchi.

In tal senso esistono già esempi di partnership tra aziende specializzati in vulnerability assessment e gruppi assicurativi, con lo scopo di valutare accuratamente il rischio informatico di clienti di dimensioni medie e grandi che approcciano per la prima volta una polizza assicurativa. Questo approccio segue la giusta direzione, ma è ancora lontano dal risolvere tutti i problemi relativi al costo di simili attività (difficilmente sopportabile da piccole imprese e studi professionali) e alle forti variazioni che il profilo di rischio può subire a causa di modifiche apparentemente minime di un sistema informatico.

Ci troviamo quindi di fronte a un mercato in rapida evoluzione, in attesa di soluzioni tecnologiche innovative e di metodologie di valutazione più consone alle specificità del mondo cyber.

A cura di: Mirco Marchetti, Università di Modena e Reggio Emilia

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy