La polizza assicurativa è uno strumento di finanziamento molto importante per la reattività e sopravvivenza dell'azienda dopo un incidente informatico. Ne abbiamo parlato con un ospite esperto in materia, Cesare Burei : broker assicurativo e co-amministratore di Margas.
Secondo il rapporto Clusit 2023 (Associazione Italiana per la Sicurezza Informatica), nel 2022 sono stati registrati 2.489 incidenti informatici gravi a livello mondiale, mostrando un aumento del 21% rispetto all'anno precedente. Tra questi, 188 attacchi noti (il 7,6% degli attacchi globali registrati) hanno colpito il nostro Paese , rappresentando un incremento del 169% in soli 12 mesi. Vai alla versione video in fondo alla pagina .
L'analisi degli incidenti registrati nel 2022 rivela una chiara prevalenza (82% del totale) di attacchi con finalità di cybercrime , che ammontano a oltre 2000 casi. In Italia, tale percentuale raggiunge addirittura il 93% del totale. Seguono attacchi di sabotaggio e spionaggio (11%), la guerra all'informazione e l'attivismo informatico, che costituiscono rispettivamente il 4% e il 3%.
Rimanendo in Italia, tra le tecniche di attacco più diffuse troviamo in prima linea la diffusione di malware tramite e-mail, seguita dal phishing, lo sfruttamento delle vulnerabilità, attacchi DDoS (ovvero Distributed Denial of Service - interruzione distribuita del servizio) e il furto delle credenziali.
Infine, sono emersi i settori più colpiti nel panorama italiano . Nel 2022, il 20% degli attacchi ha riguardato il settore della PA e governativo, mentre il 19% ha colpito le aziende manifatturiere. I restanti attacchi sono distribuiti in maniera uniforme e vanno dal settore IT, alla distribuzione, energia, traporti...eccetera.
L'INTERVISTA
D: Buongiorno Cesare, grazie per la disponibilità e per il contributo che oggi darai al nostro blog. Entriamo subito nel vivo dell'argomento: perché è importante aprire una polizza specifica contro il rischio cyber? Non esistono già delle polizze che coprono tutti i rischi di impresa?
R: Buongiorno Laura e grazie. È vero, ci sono le polizze che si chiamano "All Risks" , cioè "tutti i rischi". Dobbiamo tenere presente, però, che sono polizze "tradizionali" che considerano i rischi di danneggiamento a cose materiali. Quindi, coprono l'incendio, il danno da fumo, il danno da acqua, ma non coprono sicuramente danni puramente patrimoniali , come l'indisponibilità di un database a seguito di un attacco o di un incidente informatico.
Inoltre, normalmente, il rischio cyber è esplicitamente escluso dalle polizze tradizionali proprio per differenziare, a livello assicurativo, i prodotti
Continua a leggere l'intervista oppure guarda il video:
VIDEO
D: L'assicurazione copre i danni subiti da un attacco informatico? Se sì, in quale misura?
R: L'assicurazione cyber copre una parte dei danni causati da un danno informatico.
Partiamo subito dalla parte che non viene mai risarcita: il valore del dato
Il valore del dato non è valorizzato e quindi quanto vale la perdita? Non lo so nemmeno io che sono un proprietario, a meno che non abbia effettuato complesse operazioni di valutazione pre-sinistro, ma è una cosa molto rara. Mi paga i danni, i costi emergenti, cioè i costi che devo sostenere per recuperare quei dati e continuare ad operare.
Questo sì, l'assicurazione mi fornisce le persone, i servizi, la re-imputazione manuale dei costi, le risorse umane, che possono essere sia interne che specialisti esterni che mi aiutano a raccogliere le prove e a pulire e sanificare i sistemi. Mi copre anche gli eventuali costi di notifica derivanti da una violazione dei dati (data breach)
Ad esempio, se avviene un data breach , una divulgazione di dati personali, devo informare tutti gli utenti e i costi di notifica , come ad esempio l'utilizzo di un call center o la spedizione di lettere, sono coperti dall'assicurazione . Inoltre, l'assicurazione copre anche eventuali richieste di risarcimento danni da parte di terze parti danneggiate a seguito di data breach.
Un'altra sezione non secondaria riguarda la perdita di reddito dell'azienda. Se il sistema informatico è fermo, si verifica una situazione chiamata "danni da interruzione di esercizio". In questo caso, la polizza cyber copre la perdita di reddito dell'azienda . È importante precisare che si tratta della perdita di reddito e non del fatturato.
D: Per stipulare una polizza assicurativa contro il rischio cyber, la PMI deve adottare delle misure minime?
R: Direi proprio di sì. Siamo nel 2023, e le misure minime che alcune aziende applicano da vent'anni, ma moltissime aziende tuttora non applicano, sono abbastanza semplici. La regola consiste nell'avere dei backup , ovvero delle copie di sicurezza dei dati. I backup devono essere effettuati secondo la norma, la best practice cosiddetta internazionale conosciuta come "3-2-1": tre copie dei dati su due supporti diversi o due modalità diverse, ad esempio anche nel cloud, di cui una completamente offline.
Perché è importante seguire questa regola? Perché senza i backup, non saremo in grado di riprendere la nostra attività in caso di incidenti. E vi assicuro che è uno degli aspetti più trascurati all'interno delle aziende. Non basta solo crearli, è fondamentale anche verificare che funzionino correttamente.
Dopo un incidente, scoprire che i backup sono fermi a due anni prima sarebbe inutile quanto non averli affatto
Un'altra misura minima introdotta dopo la pandemia riguarda la protezione delle connessioni remote . Sia i lavoratori in modalità smart working sia i fornitori che si collegano alla rete aziendale devono utilizzare una VPN (Virtual Private Network) e la MFA (Multi-Factor Authentication - autenticazione a più fattori). Questa condizione è diventata imprescindibile perché durante la pandemia è emerso che username e password sono molto facili da violare.
La terza regola è che tutta la mia struttura, almeno a livello di PC, deve essere protetta dal cosiddetto EDR (Endpoint Detection and Response ) . Il famoso antivirus è la misura assolutamente minima, ovviamente non le soluzioni gratuite ma quelle a pagamento. Ancora meglio se si dispone di un XDR (Extended Detection and Response) che copra anche i server e gli apparati di rete. In ogni caso, è fondamentale che l'azienda sia strutturata e organizzata per implementare queste misure.
Se non si è adeguatamente strutturati, l'assicuratore in maniera onesta deve rifiutare di fornire la copertura assicurativa
D: E quindi qual è il ruolo dell'analisi delle vulnerabilità dell'infrastruttura IT nel momento in cui si sottoscrive una polizza assicurativa di questo tipo?
R: Allora, il cosiddetto Vulnerability Assessment (VA) serve a ottenere una fotografia iniziale del mio rischio cyber. Da fuori, da dentro: esistono diverse modalità che includono anche la parte produttiva. Il VA Mi serve per sapere in maniera agnostica come sono messo.
A livello assicurativo, si effettua una stima preventiva per determinare il valore degli elementi presenti all'interno dell'azienda, come gli edifici e le attrezzature, le merci...Stessa cosa va eseguita per gli asset digitali. Cosa possiedo all'interno dell'azienda? Quali risorse sono coinvolte? Come vengo visto dall'esterno? È possibile che ci siano macchine obsolete di cui non sono a conoscenza, oppure di cui sono a conoscenza, ma che potrebbero essere escluse dalla copertura assicurativa nel contratto cyber. Ad esempio, se un attacco proviene da una macchina obsoleta, intesa come fine del ciclo di vita o fine del supporto, la polizza potrebbe non essere attivata, e quindi per queste situazioni è necessario adottare misure di protezione aggiuntive.
Il Vulnerability Assessment mi serve come primo "brogliaccio" di lavoro per raccogliere informazioni e rispondere in modo coerente al questionario assicurativo
Le risposte al questionario devono essere condivise da un tavolo di lavoro che coinvolge l'IT manager o l'azienda MSP (Managed Service Provider) che segue l'azienda, insieme alla parte gestionale e finanziaria. In questo modo, si raccolgono le informazioni corrette e, se necessario, si aggiungono ulteriori dettagli per ottenere una valutazione del rischio aziendale veramente accurata.
Scopri se hai i requisiti minimi di sicurezza informatica
Chiedi informazioni a scpdigitale@scponline.it
Una polizza assicurativa contro il rischio cyber parte da un’infrastruttura preparata contro il rischio informatico. Prenota il check-up dei tuoi sistemi informativi .
Rapporto Clusit 2023: i dati più salienti
In questo video Laura Funes, Marketing Specialist di Scp, illustra i dati più salienti che emergono dal Rapporto Clusit 2023.
VIDEO