Le polizze assicurative cyber: un tassello del complesso mosaico di Risk Management

A cura di:Redazione Ore

Le conseguenze di un attacco informatico spaziano dal furto di segreti industriali e informazioni riservate, ai danni reputazionali e la conseguente perdita di business, fino a deterioramenti finanziari o sanzioni amministrative. In risposta a questi sinistri il mondo assicurativo ha creato dei prodotti ad hoc.

Le polizze cyber risk sono presenti sul mercato da almeno un decennio ma dalla seconda metà del 2015 hanno avuto una crescita significativa. Si tratta di un prodotto che non ha bisogno di pubblicità, la violazione informatica di grandi società è ciclicamente sulle prime pagine dei giornali. Nel suo ultimo rapporto di ricerca – A Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity – Allianz Global Corporate & Specialty prevede prevede che i premi delle cyberassicurazioni nei prossimi dieci anni aumenteranno globalmente dagli attuali 2 miliardi di dollari all’anno a più di 20 miliardi, con un tasso di crescita annuale composto superiore il 20%.

Al momento il mercato è conteso da pochi grandi attori quali American International Group, ACE, Chubb Corp, Zurich Insurance e pochi altri. Ma l’aumento costante della consapevolezza del rischio e la spinosa questione della privacy, ambito in cui si attende un prossimo intervento normativo anche in Italia, sosterranno una crescita e ramificazione del comparto. Le previsioni sono confermate dal fatto che la fetta di mercato è decisamente ampia e a oggi meno del 10% delle imprese ha una copertura assicurativa di questo tipo. Per le restanti 90%, in caso di attacco informatico, gli amministratori sono i primi ad esporsi a una composita catena di responsabilità, e visto il crescente numero di casi i vertici aziendali non possono ignorare la questione.

Quali procedure devono quindi attivare le aziende per assicurare il loro comparto cyber? In genere le compagnie assicurative richiedono la compilazione di un questionario inerente la valutazione del rischio che permetta di calcolare il premio assicurativo. Le società devono fornire un attento esame della postura cyber che evidenzi la quantità di dati sensibili, le policy di protezione di questi, la geolocalizzazione delle sedi, i sistemi di firewall e antivirus, il monitoraggio delle intrusioni, le strategie di backup, le esposizioni sui social network e le strategie di business continuity. Il fatto che i questionari cambino – anche di molto – da compagnia a compagnia, indica la complessità del prodotto e sottolinea la necessità di una normalizzazione legislativa che tenga il passo delle innovazioni tecnologiche.

Un esempio è rappresentato dai ransomware, quei virus informatici che prendono in ostaggio i file attraverso tecniche di crittografia e chiedono un riscatto in denaro: la giurisprudenza italiana non ha ancora prodotto nulla in proposito e in questa eventualità la polizza non garantisce nessuna copertura nel nostro Paese. Parlando poi di costi la situazione è ancora in via di definizione e in molti casi le compagnie valutano caso per caso e agiscono in maniera contrattuale. Indicativamente, il costo della polizza varia in funzione del fatturato del cliente e del limite di indennizzo scelto. Tra le compagnie più attive sul mercato italiano troviamo Allianz AGCS che con la polizza Cyber Protect copre i danni provocati da un attacco informatico fino a un massimale di 100 milioni di euro. Generali mette sul mercato Connected Family: una polizza domestica, familiare o personale, con uno speciale pacchetto di garanzie legato all’uso di e-commerce, social network e internet in generale. Un altro prodotto ancora è quello proposto da Axa Mps che inserisce la garanzia cyber risk all’interno del pacchetto Mia protezione modellato a difesa dell’identità digitale. Quest’ultimo prevede anche una attività di flooding che agisce riequilibrando i contenuti dell’utente colpito da danno reputazionale e impedendo alle informazioni negative di comparire nelle prime pagine dei motori di ricerca.

Se all’interno del mondo aziendale il rischio residuo di un possibile attacco informatico può essere trasferito – con qualche riserva come vedremo sotto – alle compagnie assicurative, più complessa è la questione che riguarda il rischio sistemico relativo al contagio e al possibile coinvolgimento delle infrastrutture critiche nazionali. La sempre più diffusa interconnessione al sistema cyber di strutture quali reti idriche ed elettriche aumenta esponenzialmente il pericolo che un attacco informatico localizzato si estenda velocemente con effetti disastrosi per il sistema Paese. Questo è anche il pensiero di Jason Healey della Cyber Statecraft Initiative for the International Affairs all’Atlantic Council che legge il problema della cyber security in termini di sicurezza nazionale.

La fondatezza di questa prospettiva viene confermata da un recente report del Centre of Risk Studies dell’Università di Cambridge secondo cui un attacco parziale alla rete energetica produrrebbe immediatamente, oltre a una situazione caotica nei trasporti e una conseguente riduzione drastica degli introiti commerciali, un aumento della mortalità a seguito della carenza di acqua potabile e della mancata assistenza fornita dalle strutture ospedaliere coinvolte.

Secondo Allianz Global il costo mondiale del crimine informatico si aggira intorno ai 450 miliardi di dollari l’anno, di cui le 10 principali economie mondiali rappresentano la metà del totale. Numeri drammatici che mostrano un serio rischio per la stabilità del sistema finanziario e geopolitico mondiale. A questo si aggiunge la preoccupazione di alcuni analisti secondo cui le compagnie assicurative sottostimano i massimali dei danni aggregati. Infine non dobbiamo dimenticare che, a differenza di un’azienda, la sicurezza di uno Stato, che ha nelle infrastrutture critiche un suo punto nevralgico, non può ragionare esclusivamente in termini di danni economici.

In un periodo in cui il concetto stesso di sicurezza nazionale deve fare i conti con il terrorismo, preoccupa sapere che nell’autunno 2015 lo US Office of Personnel Management ha ammesso che gli sono stati sottratti documenti inerenti la sicurezza nazionale tra cui più di 5 milioni di impronte digitali di impiegati federali.

Fatti come questo sottolineano l’importanza di una politica olistica di cyber security che non faccia eccessivamente riferimento al sistema assicurativo, per non correre il rischio di essere sì assicurati ma per nulla sicuri. Per evitare questo errore occorre partire dal presupposto che l’assicurazione entra in funzione solamente se le misure preventive hanno fallito. Le assicurazioni sono da intendersi quindi come un tassello dell’analisi del rischio: un mosaico composto da fattori tecnici, organizzativi e legali, e solamente coniugando i vari aspetti in modo complesso e consapevole è possibile contrastare efficacemente il rischio, informatico e non solo. In tal proposito negli ultimi anni, il National Protection and Programs Directorate (NPPD) ha organizzato delle tavole rotonde invitando analisti assicurativi, brooker, risk manager, esperti informatici, gestori di infrastrutture critiche e scienziati sociali per esaminare lo stato del mercato assicurativo della sicurezza informatica e ragionando su come incentivare una migliore gestione del rischio.

L’intento è di far interagire i protagonisti del settore pubblico e privato con lo scopo di proteggere le reti informatiche, assistendoli collettivamente e individualmente e migliorando così la sicurezza informatica complessiva. Il report del NPPD ha identificato tre aree in cui sarebbe possibile ottenere una più robusta copertura, non solo per i danni economici e immateriali ma anche per quelli tangibili che coinvolgono le infrastrutture critiche. La prima ha a che fare con la necessità di condividere i dati degli attacchi informatici, una pratica poco diffusa perché mette a repentaglio l’immagine della sicurezza aziendale ma che può, tramite una condivisione anonima, creare un database di vitale importanza. Quest’ultimo potrebbe poi essere utilizzato dal settore assicurativo per costruire modelli di rischio e simulazioni più attendibili, così da stabilire un premio assicurativo preciso anche per sistemi complessi come le infrastrutture critiche. Infine, lo studio sottolinea la necessità di una diffusione capillare della cultura della gestione del rischio di impresa che limiti i fenomeni di contagio e riduca al minimo minimo il rischio residuo da trasferire sul mercato assicurativo.

Uno dei primi fattori di cyber sicurezza su cui occorre lavorare è infatti interno alle aziende e ha a che fare con la formazione dei dipendenti. La maggior parte di questi sa poco di sicurezza informatica ed è probabile che inavvertitamente tenga comportamenti a rischio: un dipendente negligente che sbaglia a prendere le adeguate precauzioni espone costantemente il sistema. Negli ambienti assicurativi è noto il caso di Aon che durante una visita a un cliente ha scoperto che un quarto degli impiegati usava la password di default, che era appunto “password”, e che quando è stata obbligata a cambiarla con un codice alfanumerico teneva la nuova password su un post-it sotto lo schermo del pc.

Se si trasferisce una parte del rischio a una assicurazione occorre poi conoscere con precisione la reale copertura garantita dalla polizza. Secondo un report di Marsh più della metà dei CEO britannici ritiene che la propria polizza assicurativa copra anche il cyber risk aziendale, ma in realtà solamente il 10% rispetta del tutto questa aspettativa.

Secondo Adam Thomas di Deloitte & Touche LLP, a causa di superficiali calcoli di pricing, e del fatto che per avere modelli di rischio assicurativo attendibile occorrono almeno due decenni, il mercato delle cyber assicurazioni assomiglia a un “wild wild west” dove le aziende corrono il serio rischio di trovarsi con polizze che non forniscono una reale protezione ma addirittura una sensazione di illusoria sicurezza.

Occorre quindi un piano olistico di analisi del rischio cyber che lavora su due livelli. Il primo è rappresentato dal cyber risk management e composto da interventi diversificati per la messa in sicurezza, in locale e in mobilità, in relazione a minacce esterne di natura informatica o di altro tipo. Il secondo livello consiste nel trasferimento dei rischi: visto che questi non sono del tutto eliminabili, i rischi residui vengono trasferiti con contratti ad hoc e finalizzati a far fronte al ripristino, alle perdite economico-finanziarie e alle pretese di terzi. Per stimolare l’integrazione dei due livelli il legislatore può prendere a esempio i Certification Bodies introdotti nel Regno Unito: organismi che garantiscono l’implementazione delle procedure di sicurezza aziendale.

Così come nella responsabilità civile auto una compagnia assicurativa può rivalersi sull’assicurato che non ha sottoposto il veicolo alla periodica revisione, allo stesso modo le società che intendono sottoscrivere una copertura cyber e devono garantire standard di sicurezza interni. Così facendo i meccanismi di rivalsa incentivano le aziende a un comportamento virtuoso creando un mercato assicurativo mirato ma anche limitando la diffusione sistemica del rischio.

A cura di Luisa Franchina, Presidente di AIIC – Alessandro PastoreMarco Spada

Articolo pubblicato sulla rivista ICT Security – Aprile 2016

Condividi sui Social Network:

Articoli simili

Oceano GDPR: Pubblica Amministrazione e PMI a rimorchio dell’Open Source per entrare in porto

Oceano GDPR: Pubblica Amministrazione e PMI a rimorchio dell’Open Source per entrare in porto

A cura di:Leonardo Scalera Ore Pubblicato il

“TERRA, TERRA IN VISTA…” Chi non ha mai sentito questa frase urlata a squarciagola da un marinaio di vedetta durante una proiezione di un film di pirati o non l’ha letta in qualche classico di avventura? L’ “epilogo di un viaggio” può essere di diversi tipi: si può raggiungere la destinazione (magari dopo avere navigato…

Il 37% delle organizzazioni non sa se deve essere conforme al GDPR

Il 37% delle organizzazioni non sa se deve essere conforme al GDPR

A cura di:Redazione Ore Pubblicato il

I risultati di un’indagine evidenziano a livello mondiale la confusione e la scarsa preparazione di fronte alla prossima entrata in vigore del GDPR WatchGuard® Technologies, produttore leader di soluzioni di sicurezza di rete avanzate, ha condiviso i risultati di un’indagine svolta a livello globale che ha esplorato quanto le aziende conoscano e comprendano il GDPR…

I chips RFID possono essere hackerati: i metodi d’attacco e quelli di difesa

I chips RFID possono essere hackerati: i metodi d’attacco e quelli di difesa

A cura di:Redazione Ore Pubblicato il

In telecomunicazioni ed elettronica con l’acronimo RFID – dall’inglese Radio-Frequency IDentification, ovvero “identificazione a radiofrequenza” – si intende una tecnologia per l’identificazione e/o memorizzazione automatica di informazioni inerenti a oggetti, animali o persone. Il funzionamento dei comunemente detti “chips” si basa sulla capacità di memorizzare dati da parte di particolari etichette elettroniche – chiamate “tag”…

Cyber Warfare, Cyber Defence, Cyber Terrorismo: questo e molto altro al Cyber Crime Conference 2018

Cyber Warfare, Cyber Defence, Cyber Terrorismo: questo e molto altro al Cyber Crime Conference 2018

A cura di:Redazione Ore Pubblicato il

Manca pochissimo all’appuntamento primaverile con la sicurezza informatica. Il Cyber Crime Conference – giunto alla sua nona edizione – si terrà a Roma il prossimo 18 aprile, presso l’Auditorium della Tecnica all’EUR. La cybersecurity è il tema del momento: lo scorso anno si sono verificati oltre 159,000 attacchi, con perdite per le aziende che si stimano intorno…

Elaboratori Quantistici e Crittografia Post-Quantum, oggi

Elaboratori Quantistici e Crittografia Post-Quantum, oggi

A cura di:Andrea Pasquinucci Ore Pubblicato il

Quando si pianificano o si valutano i sistemi di sicurezza IT, è importante considerare non solo le minacce e le vulnerabilità odierne, ma anche possibili scenari futuri. Un campo abbastanza interessante che molto probabilmente influenzerà il panorama futuro della sicurezza IT è la teoria dell’Informazione Quantistica. La teoria dell’Informazione Quantistica può essere brevemente descritta come…

Il principio di privacy-by-design per gestire gli adempimenti previsti dal GDPR

Il principio di privacy-by-design per gestire gli adempimenti previsti dal GDPR

A cura di:Cesare Gallotti Ore Pubblicato il

Negli ultimi mesi si sono moltiplicati gli interventi sul GDPR. L’esperienza con norme dedicate ai sistemi di gestione (in particolare ISO 9001 e ISO/IEC 27001) può aiutare ad attuare alcuni requisiti in modo sì rigoroso, ma anche sostenibile nel tempo. È infatti evidente che molte guide, suggerendo soluzioni eccessivamente onerose, non tengono conto di come…