Dalla Cyber Security all’Assicurazione

La polizza assicurativa è uno strumento di finanziamento molto importante per la reattività e sopravvivenza dell'azienda dopo un incidente informatico. Ne abbiamo parlato con un ospite esperto in materia, Cesare Burei: broker assicurativo e co-amministratore di Margas.

Secondo il rapporto Clusit 2023 (Associazione Italiana per la Sicurezza Informatica), nel 2022 sono stati registrati 2.489 incidenti informatici gravi a livello mondiale, mostrando un aumento del 21% rispetto all'anno precedente. Tra questi, 188 attacchi noti (il 7,6% degli attacchi globali registrati) hanno colpito il nostro Paese, rappresentando un incremento del 169% in soli 12 mesi. Vai alla versione video in fondo alla pagina.

L'analisi degli incidenti registrati nel 2022 rivela una chiara prevalenza (82% del totale) di attacchi con finalità di cybercrime, che ammontano a oltre 2000 casi. In Italia, tale percentuale raggiunge addirittura il 93% del totale. Seguono attacchi di sabotaggio e spionaggio (11%), la guerra all'informazione e l'attivismo informatico, che costituiscono rispettivamente il 4% e il 3%.

Rimanendo in Italia, tra le tecniche di attacco più diffuse troviamo in prima linea la diffusione di malware tramite e-mail, seguita dal phishing, lo sfruttamento delle vulnerabilità, attacchi DDoS (ovvero Distributed Denial of Service - interruzione distribuita del servizio) e il furto delle credenziali.

Infine, sono emersi i settori più colpiti nel panorama italiano. Nel 2022, il 20% degli attacchi ha riguardato il settore della PA e governativo, mentre il 19% ha colpito le aziende manifatturiere. I restanti attacchi sono distribuiti in maniera uniforme e vanno dal settore IT, alla distribuzione, energia, traporti...eccetera.

L'INTERVISTA

D: Buongiorno Cesare, grazie per la disponibilità e per il contributo che oggi darai al nostro blog. Entriamo subito nel vivo dell'argomento: perché è importante aprire una polizza specifica contro il rischio cyber? Non esistono già delle polizze che coprono tutti i rischi di impresa?

R: Buongiorno Laura e grazie. È vero, ci sono le polizze che si chiamano "All Risks", cioè "tutti i rischi". Dobbiamo tenere presente, però, che sono polizze "tradizionali" che considerano i rischi di danneggiamento a cose materiali. Quindi, coprono l'incendio, il danno da fumo, il danno da acqua, ma non coprono sicuramente danni puramente patrimoniali, come l'indisponibilità di un database a seguito di un attacco o di un incidente informatico.  

Inoltre, normalmente, il rischio cyber è esplicitamente escluso dalle polizze tradizionali proprio per differenziare, a livello assicurativo, i prodotti

Continua a leggere l'intervista oppure guarda il video:

D: L'assicurazione copre i danni subiti da un attacco informatico? Se sì, in quale misura? 

R: L'assicurazione cyber copre una parte dei danni causati da un danno informatico. 

Partiamo subito dalla parte che non viene mai risarcita: il valore del dato

Il valore del dato non è valorizzato e quindi quanto vale la perdita? Non lo so nemmeno io che sono un proprietario, a meno che non abbia effettuato complesse operazioni di valutazione pre-sinistro, ma è una cosa molto rara. Mi paga i danni, i costi emergenti, cioè i costi che devo sostenere per recuperare quei dati e continuare ad operare.  

Questo sì, l'assicurazione mi fornisce le persone, i servizi, la re-imputazione manuale dei costi, le risorse umane, che possono essere sia interne che specialisti esterni che mi aiutano a raccogliere le prove e a pulire e sanificare i sistemi. Mi copre anche gli eventuali costi di notifica derivanti da una violazione dei dati (data breach)

Ad esempio, se avviene un data breach, una divulgazione di dati personali, devo informare tutti gli utenti e i costi di notifica, come ad esempio l'utilizzo di un call center o la spedizione di lettere, sono coperti dall'assicurazione. Inoltre, l'assicurazione copre anche eventuali richieste di risarcimento danni da parte di terze parti danneggiate a seguito di data breach. 

Un'altra sezione non secondaria riguarda la perdita di reddito dell'azienda. Se il sistema informatico è fermo, si verifica una situazione chiamata "danni da interruzione di esercizio". In questo caso, la polizza cyber copre la perdita di reddito dell'azienda. È importante precisare che si tratta della perdita di reddito e non del fatturato. 

D: Per stipulare una polizza assicurativa contro il rischio cyber, la PMI deve adottare delle misure minime?  

R: Direi proprio di sì. Siamo nel 2023, e le misure minime che alcune aziende applicano da vent'anni, ma moltissime aziende tuttora non applicano, sono abbastanza semplici. La regola consiste nell'avere dei backup, ovvero delle copie di sicurezza dei dati. I backup devono essere effettuati secondo la norma, la best practice cosiddetta internazionale conosciuta come "3-2-1": tre copie dei dati su due supporti diversi o due modalità diverse, ad esempio anche nel cloud, di cui una completamente offline. 

Perché è importante seguire questa regola? Perché senza i backup, non saremo in grado di riprendere la nostra attività in caso di incidenti. E vi assicuro che è uno degli aspetti più trascurati all'interno delle aziende. Non basta solo crearli, è fondamentale anche verificare che funzionino correttamente.  

Dopo un incidente, scoprire che i backup sono fermi a due anni prima sarebbe inutile quanto non averli affatto

Un'altra misura minima introdotta dopo la pandemia riguarda la protezione delle connessioni remote. Sia i lavoratori in modalità smart working sia i fornitori che si collegano alla rete aziendale devono utilizzare una VPN (Virtual Private Network) e la MFA (Multi-Factor Authentication - autenticazione a più fattori). Questa condizione è diventata imprescindibile perché durante la pandemia è emerso che  username e password sono molto facili da violare.

La terza regola è che tutta la mia struttura, almeno a livello di PC, deve essere protetta dal cosiddetto EDR (Endpoint Detection and Response). Il famoso antivirus è la misura assolutamente minima, ovviamente non le soluzioni gratuite ma quelle a pagamento. Ancora meglio se si dispone di un XDR (Extended Detection and Response) che copra anche i server e gli apparati di rete. In ogni caso, è fondamentale che l'azienda sia strutturata e organizzata per implementare queste misure.

Se non si è adeguatamente strutturati, l'assicuratore in maniera onesta deve rifiutare di fornire la copertura assicurativa

D: E quindi qual è il ruolo dell'analisi delle vulnerabilità dell'infrastruttura IT nel momento in cui si sottoscrive una polizza assicurativa di questo tipo?  

R: Allora, il cosiddetto Vulnerability Assessment (VA) serve a ottenere una fotografia iniziale del mio rischio cyber. Da fuori, da dentro: esistono diverse modalità che includono anche la parte produttiva. Il VA Mi serve per sapere in maniera agnostica come sono messo.

A livello assicurativo, si effettua una stima preventiva per determinare il valore degli elementi presenti all'interno dell'azienda, come gli edifici e le attrezzature, le merci...Stessa cosa va eseguita per gli asset digitali. Cosa possiedo all'interno dell'azienda? Quali risorse sono coinvolte? Come vengo visto dall'esterno? È possibile che ci siano macchine obsolete di cui non sono a conoscenza, oppure di cui sono a conoscenza, ma che potrebbero essere escluse dalla copertura assicurativa nel contratto cyber. Ad esempio, se un attacco proviene da una macchina obsoleta, intesa come fine del ciclo di vita o fine del supporto, la polizza potrebbe non essere attivata, e quindi per queste situazioni è necessario adottare misure di protezione aggiuntive. 

Il Vulnerability Assessment mi serve come primo "brogliaccio" di lavoro per raccogliere informazioni e rispondere in modo coerente al questionario assicurativo

Le risposte al questionario devono essere condivise da un tavolo di lavoro che coinvolge l'IT manager o l'azienda MSP (Managed Service Provider) che segue l'azienda, insieme alla parte gestionale e finanziaria. In questo modo, si raccolgono le informazioni corrette e, se necessario, si aggiungono ulteriori dettagli per ottenere una valutazione del rischio aziendale veramente accurata. 

Scopri se hai i requisiti minimi di sicurezza informatica 

Chiedi informazioni a scpdigitale@scponline.it

Una polizza assicurativa contro il rischio cyber parte da un’infrastruttura preparata contro il rischio informatico. Prenota il check-up dei tuoi sistemi informativi.

 

Rapporto Clusit 2023: i dati più salienti 

In questo video Laura Funes, Marketing Specialist di Scp, illustra i dati più salienti che emergono dal Rapporto Clusit 2023.

 

Cesare Burei Broker senior di Assicurazioni e Co-Amministratore di Margas

vive e lavora a Padova. Esperto in rischi industriali e tecnologici di imprese italiane e internazionalizzate, affianca le organizzazioni, in stretta collaborazione con partner di Information Security,  nell’assessement  e nel trasferimento assicurativo del rischio cyber e analizza e assicura lo specifico rischio professionale ICT delle aziende di settore. Socio CLUSIT dal 2015, membro del Comitato Scientifico di AIBA, svolge per essa e per il CINEAS una intensa attività di formazione e divulgazione in ambito Cyber Risk. Si contraddistingue nel settore assicurativo per le competenze digitali, la conoscenza comparativa dei prodotti e la capacità di comunicare.

www.margas.it