Buongiorno e benvenuti al terzo capitolo del nostro blog dedicato al mondo della sicurezza informatica. Oggi parleremo di un argomento che sta guadagnando sempre più interesse tra le piccole e medie imprese, ovvero la polizza assicurativa contro i rischi informatici. Ne parleremo con un ospite esperto in materia, Cesare Burei, Broker assicurativo e co-amministratore di Margas. Buongiorno Cesare, grazie per la disponibilità e per il contributo che oggi darai al nostro blog, entriamo subito nel vivo dell'argomento. Perché è importante aprire una polizza specifica contro il rischio cyber? Non esistono già delle polizze che coprono tutti i rischi di impresa? Buongiorno Laura e grazie. È vero, ci sono le polizze che si chiamano "All Risks", cioè "tutti i rischi". Dobbiamo aver ben presente, però, che sono polizze tra virgolette tradizionali, che considerano sempre nei tutti i rischi, i rischi di danneggiamenti a cose materiali. Quindi mi pagano l'incendio mi pagano il danno da fumo, il danno da acqua, ma non certamente un danno semplicemente patrimoniale come può essere l'indisponibilità di un database dovuto a un attacco oppure un incidente informatico. E normalmente negli ultimi contratti il rischio Cyber è esplicitamente escluso dalle polizze tradizionali proprio per differenziare a livello assicurativo i prodotti. L'assicurazione copre i danni subiti da un attacco informatico? Se sì, in quale misura? L'assicurazione Cyber copre una parte dei danni da attacco informatico. Partiamo subito dalla parte che non viene mai risarcita: il valore del dato. Il valore del dato non è valorizzato, il dato non è valorizzato. E quanto vale la perdita? Non lo so nemmeno io che sono proprietario, a meno che non abbia fatto complesse operazioni di valutazione pre sinistro, ma è una cosa più unica che rara. Mi paga i danni, i costi emergenti, cioè i costi che io vado a sostenere per recuperare quei dati e continuare ad operare. Questo sì, questo sì. Mi fornisce le persone, mi fornisce servizi, la re-imputazione manuale, i costi proprio delle persone che io posso prendere, o degli specialisti che mi aiutano a raccogliere le prove, piuttosto che a pulire, sanificare i sistemi. Mi copre anche gli eventuali costi di notifica conseguenti a Data Breach, ovvero io so che se ho una divulgazione di dati personali devo informare tutti gli utenti allora i costi di notifica, un call center piuttosto che la spedizione materiale delle lettere a casa, vengono coperti dal dall'assicurazione. Come l'eventuale richiesta di risarcimento danni del terzo danneggiato da Data Breach, specifico molto bene. Un'altra sezione non secondaria è la perdita di reddito dell'azienda. Se io sono fermo non fatturo e tecnicamente si chiama danni da interruzione di esercizio. Ecco, il fermo del sistema informatico mi può portare a un fermo d'esercizio. La perdita di reddito, attenzione non di fatturato, viene coperta dalla polizza Cyber. Per stipulare una polizza assicurativa contro il rischio Cyber, la PMI deve adottare delle misure minime? Direi proprio di sì. Siamo nel 2023 e le misure minime che alcune aziende applicano da vent'anni, ma moltissime aziende tuttora non applicano, sono abbastanza semplici. La regola di avere dei backup, dei backup effettuati secondo la norma, la best practice cosiddetta internazionale del 3-2-1, tre copie su due supporti diversi o due modalità diverse, che può anche essere in cloud, di cui una completamente offline. Perché questo? Perché senza i backup non saremo in grado di riprendere la nostra attività e vi assicuro, nelle aziende uno degli aspetti più trascurati, non solo farli ma anche verificare che funzionino perché dopo il sinistro vedere che dei backup sono fermi a due anni prima tanto vale. L'altra misura minima che è stata introdotta post pandemia è che le connessioni da remoto, sia di lavoratori in smart working, che di fornitori che dovessero collegarsi alla mia rete aziendale, devono essere protette da VPN e da Multi-Factor Authentication. Questa è diventata una condizione imprescindibile. Perché si è scoperto durante la pandemia che solo gli username e password sono molto facili da violare. Queste, direi. La terza regola è tutta la mia struttura almeno a livello di PC deve essere protetta dal cosiddetto EDR, il famoso antivirus è la misura assolutamente minima non le soluzioni gratuite ma quelle a pagamento, meglio se c'è un XDR che prende dentro anche i server e gli apparati di rete. Comunque dobbiamo essere strutturati, se non siamo strutturati, l'assicuratore in maniera onesta ci deve dire no, non sei assicurabile. Devi fare questo prima di fare la polizza. Qual è il ruolo dell'analisi delle vulnerabilità dell'infrastruttura IT nel momento in cui si sottoscrive una polizza assicurativa di questo tipo? Allora il cosiddetto VA - Vulnerability Assessment - serve per fare una fotografia iniziale del mio rischio Cyber. Da fuori, da dentro, ci sono diverse modalità che prende dentro anche la parte produttiva, ma mi serve per sapere in maniera agnostica come sono messo. A livello assicurativo si fa la stima preventiva ai fini assicurativi, cioè la stima dei valori che esistono all'interno di un'azienda, quindi fabbricati, macchinari, non le merci ma va beh, si fa un inventario delle merci. La stessa cosa bisogna fare per gli asset digitali, cioè cos'ho in casa, cos'ho in corpo, come vengo visto da fuori, ho delle macchine obsolete di cui non sono a conoscenza o sono a conoscenza, perché quelle per esempio fanno parte diesclusioni specifiche presenti nel contratto cyber. Ovvero se l'attacco viene da una macchina obsoleta in end of life, o fine supporto, la polizza non è ingaggiata e quindi io per quelle per esempio devo applicare delle misure di protezione ulteriori. Mi serve come primo brogliaccio di lavoro per raccogliere informazioni, per rispondere in maniera coerente al questionario, risposte al questionario che vanno dati in maniera condivisa su un tavolo tra IT manager, oppure azienda MSP che segue l'azienda, e la parte gestionale finanziaria dell'azienda e così insieme si raccolgono le informazioni corrette, giuste. Magari se ne aggiungono per avere poi una quotazione veramente adeguata al rischio dell'azienda. Bene, grazie Cesare per la tua disponibilità. Per me è stato un piacere intervistarti. Spero di replicare in futuro, magari con altri argomenti, visto che è un tema proprio molto interessante e alla prossima puntata. Alla prossima. Grazie. Grazie.