Assicurazioni cyber cosa sono, perché tutti ne parlano e perché il loro prezzo continua a lievitare.
Il crescente rischio di sicurezza informatica riscontrabile a livello globale sta portando in grande attualità un aspetto fin ora rimasto abbastanza in secondo piano: le polizze assicurative per il rischio cyber. Sempre più aziende cercano di correre ai riparti, cercando di stipulare delle polizze in grado di coprire gli incidenti di sicurezza informatica, almeno nella misura utile a garantire la continuità di business.
Tuttavia, le criticità non mancano, in quanto le compagnie assicurative tendono inevitabilmente a cautelarsi e richiedono ai potenziali sottoscrittori delle loro polizze una serie sempre più cospicua di garanzie in merito all’organizzazione e alle dotazioni dei propri sistemi. Aumentando i rischi, ovviamente aumentano anche i premi delle polizze.
In tale scenario emerge un’unica certezza: la situazione relativa alla prevenzione e alle conseguenze degli incidenti di sicurezza informatica sta diventando per le aziende sempre più complessa da gestire.
Assicurazioni cyber, mitigare il rischio finanziario degli attacchi informatici: una strategia che paga, ma costa molto
Il report State of Ransomware 2022, commissionato da Sophos alla società di ricerca Vanson Bourne, ma del tutto agnostico a livello tecnologico, ci offre una serie di informazioni molto utili, soprattutto considerando come il ransomware da solo costituisca oltre il 75% della minaccia informatica globale.
Il report ha coinvolto ben 5600 IT Manager a livello globale, tra cui 200 facenti riferimento a PMI italiane. Una sezione molto sostanziosa a livello analitico è stata dedicata alle polizze assicurative per il rischio cyber, nell’ottica di capire quale sia la realtà dal punto di vista delle aziende che intendono provare ad assicurare la propria attività per mitigare il rischio finanziario derivante dagli attacchi informatici.
Valutando l’impatto del ransomware sulle Assicurazioni cyber, a livello globale, almeno per quanto concerne il survey condotto da Vanson Bourne, l’83% delle realtà coinvolte avrebbe sottoscritto una polizza cyberassicurativa, anche se il 34% rivela la presenza di una serie di esclusioni ed eccezioni tali da non garantire una copertura assoluta.
Per quanto riguarda i settori di business che hanno ritenuto che la sottoscrizione di una polizza cyber potesse rivelarsi una soluzione efficace nel caso in cui si verifichino incidenti di sicurezza informatica, le aziende attive nell’ambito dell’energia, utility ed oil & gas, anche in virtù della loro cospicua dimensione economica, si sono rivelate le più presenti, con l’89%, precedento di un soffio le aziende del settore retail (88%).
Ovviamente le aziende di maggior dimensioni sono quelle che stipulano maggiormente. Il report State of Ransomware 2022 rivela infatti come l’88% delle organizzazioni con 3.001-5.000 dipendenti abbia definito una polizza cyber, una percentuale che cala fino al 73% nel caso delle aziende con 100-250 dipendenti.
Allo stesso modo, chi ha già subito sulla propria pelle un attacco di sicurezza informatico è più attivo rispetto a chi è finora rimasto illeso (89% contro 70%).
Questi dati seguono un andamento certamente intuitivo, anche se i rapporti causa-effetto non sono così scontati. L’analisi offerta dal report evidenzia infatti che i cybercriminali preferirebbero attaccare le aziende assicurate, dal momento che queste garantirebbero una maggior garanzia di ricevere il pagamento di un riscatto.
Al tempo stesso, le aziende potrebbero ricorrere alle polizze per carcare di compensare delle lacune difensive, piuttosto che investire seriamente per incrementare il loro livello di sicurezza. Tale condotta, tuttavia, sta diventando sempre più difficile, in quanto le compagnie assicurative tendono a richiedere garanzie sempre più stringenti in termini di dotazioni tecnologiche e misure organizzative. Al di sotto di certi standard, le polizze di fatto non vengono stipulate.
Assicurazioni cyber risk. Ottenere una polizza cyberassicurativa comporta una procedura sempre più lunga ed onerosa
Uno dei dati più eloquenti che emerge dall’indagine di State of Ransomware 2022 è il fatto che il 94% delle aziende intervistate ha rivelato che le procedure per ottenere il rilascio di una polizza sono sensibilmente variate nel corso del 2021, comportando genericamente un quadro più gravoso da affrontare per chi intende assicurarsi contro il rischio cyber.
Il 54% degli intervistati ritiene che il livello minimo di garanzie tecnologiche dei sistemi di cybersicurezza che viene richiesto dalle compagnie per la stipula di una polizza sia sensibilmente aumentato nel corso dell’ultimo anno, mentre il 47% ritiene che le maggiori complessità risiedano proprio a livello procedurale, allungando spesso in maniera ingiustificata i tempi necessari per ottenere una copertura assicurativa.
Per quanto riguarda invece i premi, il 34% ha esplicitamente fatto notare un aumento, anche se il dato esprime quasi certamente una sottostima, in quanto molte polizze sono state stipulate o rinnovate nel primo semestre del 2021, quando gli aumenti più cospicui hanno iniziato a verificarsi nella seconda metà dello scorso anno.
È pertanto possibile che le aziende che hanno stipulato polizze all’inizio del 2021 abbiano accusato il colpo degli aumenti soltanto nella prima metà di quest’anno, periodo non compreso dal survey.
Il 40% delle aziende ha rilevato come siano sempre meno le compagnie assicurative ad rimanere attive nell’ambito della cybersecurity, in quanto diverse realtà si sarebbero ritirate ritenendo i rischi globali troppo elevati, anche che se il 95% delle aziende assicurate che ha subito almeno un attacco nel corso del 2021 ha candidamente ammesso che, una volta aperto il sinistro, le compagnie hanno regolarmente pagato almeno la cifra necessaria per riportare la situazione operativa a quella precedente l’incidente.
Nel caso di un attacco ransomware, non è molto chiaro in quanti casi la polizza abbia effettivamente coperto anche il pagamento del riscatto. Anche se il survey condotto da Vanson Bourne riporta per il 2021 una media del 40% (in ribasso rispetto al 44% del 2020), il dato non appare particolarmente rappresentativo quando si entra nel merito dei vari settori di business coinvolti.
Nel caso della pubblica istruzione (scuole di primarie e secondarie) le assicurazioni hanno pagato il riscatto nel 53% degli attacchi registrati. Dato che scende al 49% nel caso della PA e al 47% nel caso della sanità pubblica. Decisamente inferiore la casistica per le aziende operanti nei servizi finanziari (32%) e manifatturiere (30%).
Per cercare di interpretare questa singolare situazione, una possibile chiave di lettura potrebbe essere offerta dal livello di preparazione delle vittime. Nel caso del finance e del manufacturing, le realtà coinvolte sarebbero più dotate tecnologicamente e pronte dal punto di vista organizzativo rispetto alle aziende del settore pubblico. Per condividere questa affermazione non occorre nemmeno entrare troppo nel merito di riscontri analitici.
Secondo il report State of Ransomware 2022, tale indicatore sarebbe confermato dal fatto che le aziende che hanno ricevuto la minor copertura a livello percentuale per il pagamento dei riscatti sono anche coloro che hanno ripristinato la piena operatività nel minor lasso di tempo.
Il caso italiano: soltanto il 27% delle aziende è cyberassicurata, mentre il 40% non sarebbe in grado di ottenere una polizza
Il recente convegno La tutela dei dati in azienda: tra cyber security e compliance, organizzato da Assiteca, specialista nella gestione del rischio d’impresa, ha cercato di tracciare una fotografia aggiornata della realtà italiana, che si affianca idealmente al lavoro di State of Ransomware 2022, rivelando tuttavia un taglio decisamente più critico nei confronti della realtà di casa nostra.
Al convegno hanno partecipato rappresentanti delle imprese, delle istituzioni, esperti in materia di privacy e sicurezza, legali, magistrati e il Clusit (Associazione Italiana per la Sicurezza Informatica), il cui Rapporto 2022 si è rivelato una preziosa fonte di dati per sostenere le argomentazioni oggetto del comune dibattito, a cominciare dal +10% di attacchi informatici dal 2020 al 2021. Un trend che non accenna ad alcun segnale di rallentamento.
Secondo Ottorino Capparelli, responsabile Governance, Risk & Compliance di Assiteca: “Le statistiche a nostra disposizione ci consegnano un dato allarmante sul fronte della cyber security. Le aziende sono consapevoli dei rischi legati alla sicurezza dei propri dati, ma solo il 27% è coperto da una polizza assicurativa contro questo genere di rischi. La criticità del dato diventa ancora più evidente se confrontato con un’altra statistica: il 40% delle aziende italiane semplicemente non è in condizione di stipulare alcuna polizza assicurativa contro i rischi cyber”.
Se i numeri appaiono poco confortanti, il quadro più preoccupante deriva dal continuo incremento dei premi assicurativi, una situazione che da un lato evidenza la scarsa propensione degli assicuratori a sostenere questo genere di rischio, dall’altro rischia di mettere con le spalle al muro molte aziende. Secondo Capparelli infatti: “Questo accade perché i sistemi informatici da proteggere sono talmente sottodimensionati o obsoleti da non rendere l’assicurazione di questo rischio appetibile per le compagnie assicurative. Tale dinamica è inoltre riflessa dall’andamento dei premi: nel 2021, a fronte di un numero stabile di aziende assicurate contro il rischio cibernetico, sono cresciuti in modo evidente i premi, sintomo del fatto che questo genere di protezione, sebbene sia oggi più che mai necessaria, rischia di non essere sostenibile dal punto di vista economico a causa della scarsa attività di prevenzione delle aziende”. Ma siamo realmente sicuri che le responsabilità ricadano esclusivamente in capo alle aziende? Il tema dei premi delle polizze cyberassicurative diventerà probabilmente sempre più attuale, già a partire dai prossimi mesi.
Conflitto russo-ucraino: al momento conseguenze cyberwar meno gravi del previsto
Nei primi mesi del 2022 si è assistito ad un generale aumento di tossicità nella rete anche per gli effetti diretti ed indiretti della drammatica situazione geopolitica, sfociata nell’invasione russa sul territorio ucraino. Il campo di battaglia di questo atroce conflitto non si è limitata allo spazio fisico, in quanto il cyberspazio è stato utilizzato per portare a segno ripetuti attacchi alle infrastrutture critiche di entrambe le parti in causa.
Tuttavia, l’impatto generale della cyberwar è stato decisamente più mite rispetto a quanto ci si potesse aspettare. Dal punto di vista assicurativo, almeno su questo fronte arriva una buona notizia e non una ulteriore aggravante in termini di rischio.
Nel recente convegno La tutela dei dati in azienda: tra cyber security e compliance, l’avvocato Stefano Mele, responsabile del dipartimento di cybersecurity e privacy dello studio legale Gianni & Origoni, si è soffermato proprio sul rapporto tra geopolitica e sicurezza informatica: “A dispetto dei proclami giornalistici che quotidianamente leggiamo, il conflitto armato che da oltre due mesi la Russia sta conducendo contro l’Ucraina ha visto il cyberspazio come un campo di battaglia scarsamente utilizzato. Infatti, se prima dell’invasione, la Russia ha sicuramente sfruttato Internet e le tecnologie per attività di propaganda e disinformazione al fine di provare a vincere la guerra nella mente dei cittadini ucraini e questo piano non ha funzionato. Durante il conflitto convenzionale il cyberspazio non è stato il territorio prediletto dal governo di Mosca”.
Riguardo alle conseguenze generate agli attacchi nation state, che hanno quale bersaglio privilegiato le infrastrutture critiche e i servizi essenziali delle nazioni avversarie, secondo l’avv. Mele: “Occorre che le PA e le aziende italiane che erogano servizi essenziali per i cittadini e per la nostra sicurezza nazionale mantengano alta l’attenzione verso gli attacchi cibernetici di matrice russa soprattutto successivamente alla conclusione del conflitto convenzionale, quando, con il perdurare delle sanzioni contro la Russia e degli aiuti nei confronti dell’Ucraina, Putin potrebbe utilizzare proprio gli attacchi cibernetici come il principale strumento ritorsivo nei confronti dell’Italia, dell’Unione europea e più in generale di tutti i Paesi appartenenti all’Alleanza Atlantica”.
Cosa devono fare le aziende per difendersi dagli attacchi cyber e risultare più appetibili alle compagnie assicurative per il rilascio delle polizze?
Gli incidenti di sicurezza informatica sono in continuo aumento, così come i danni che mediamente le aziende subiscono quando cadono nella micidiale trappola dei cybercriminali. Al danno si aggiungere la beffa di polizze assicurative per il rischio cyber sempre più onerose e difficili da ottenere.
Tuttavia, le aziende, oltre ad acquisire un ulteriore livello di consapevolezza, devono muoversi concretamente per migliorare in maniera significativa la propria strategia di difesa informatica, in modo da ottenere con maggior facilità il rilascio di una polizza cyberassicurativa.
Tra le best practice che le aziende, ed in particolare le PMI, dovrebbero adottare, citiamo esplicitamente i cinque consigli che fanno da epilogo al report State of Ransomware 2022. Pur focalizzati in particolar modo sulla minaccia ransom, nella loro generica accezione costituiscono un punto di riferimento valido a 360 gradi per qualsiasi azienda voglia incrementare con investimenti seri la propria sicurezza informatica.
- “Implementare difese di elevata qualità in ogni parte del proprio ambiente informatico. Verificare i controlli di sicurezza, per assicurarsi che continuino a soddisfare le proprie esigenze.
- Svolgere attività di individuazione proattiva delle minacce, per bloccare i cybercriminali prima che possano sferrare un attacco. In caso di mancanza di tempo o personale esperto, ci si può rivolgere a specialisti di Managed Detection and Response (MDR) esterni.
- Potenziare la sicurezza dell’ambiente, individuando e risolvendo le vulnerabilità di sicurezza, ovvero: i dispositivi a cui mancano patch, i computer non protetti, le porte RDP aperte ecc. Le soluzioni di Extended Detection and Response (XDR) sono ideali per svolgere questi tipi di attività.
- Prepararsi al peggio. Bisogna sapere esattamente cosa fare e chi contattare in caso di incidente informatico.
- Effettuare backup e svolgere esercitazioni di ripristino da questi backup. L’obiettivo è cercare di riprendere rapidamente le operazioni, con tempi di inattività minimi”.
Ovviamente, le responsabilità delle aziende costituiscono soltanto una delle parti in causa. Anche il sistema legale e giudiziario dovrebbe cercare di individuare con maggior puntualità e punire con maggior durezza i cybercriminali.
È quanto in buona sostanza ha sostenuto Eugenio Fusco, Procuratore aggiunto del Tribunale di Milano, che nel corso del convegno La tutela dei dati in azienda: tra cyber security e compliance si è appunto concentrato sui risvolti penali del reato di cyber crime: “Purtroppo ci troviamo davanti ad una gamma di crimini caratterizzata da un elevato livello di impunità, legata principalmente alla difficoltà di attribuire i singoli reati a soggetti identificabili. Per questo motivo, è sempre più importante concentrarsi sulla prevenzione del reato. Le aziende colpite da attacchi cyber sono restie a denunciare, anche per il connesso danno reputazionale. In questo contesto, potrebbe essere l’assicurazione contro il rischio cyber a permettere alle imprese di arginare i danni”.
La tendenza comune è sostenere che le aziende debbano aumentare le proprie difese per cercare di arginare i rischi, facendo in buona sostanza di necessità virtù. Se da un lato questo atteggiamento è pienamente condivisibile, in quanto non si può più prescindere da un’adeguata protezione dei dati, risulta altrettanto evidente come ci si trovi innanzi ad un circolo vizioso, in cui a farne le spese, sotto tutti i punti di vista, sono sempre le aziende, costantemente nella morsa dei cybercriminali, degli oneri assicurativi e di un sistema che le tutela in maniera decisamente rivedibile.