I cyber-attack crescono in modo preoccupante in tutto il mondo. Le vittime ormai non sono più soltanto enti governativi o grandi società, ma anche professionisti ed aziende di ogni dimensione e l’illecito più diffuso non è l’hackeraggio del sito, ma il furto di identità e di dati.
Uno degli errori che si commettono più frequentemente è considerarsi immuni dall’interesse degli “hacker”, visto che i crimini digitali oggi più perpetrati, non provengono da quella schiera di “attivisti di Internet” che almeno apparentemente seguono una certa ideologia di contrasto ad apparati pubblici e grandi marchi, ma sono, invece, opera di specialisti dell’informatica che mirano soprattutto ad acquisire informazioni sensibili dai nostri archivi per farne un illecito uso commerciale a loro volta.
Rivendersi liste di clienti, corredate da tutta una serie di informazioni personali e contabili è un business enorme, per i criminali di questo settore. E tutti coloro che hanno un archivio con tali dati, sono potenzialmente a rischio, se non si dotano di adeguate misure di sicurezza. Ma da un po’ di tempo, oltre alle protezioni preventive (alcune obbligatorie, secondo la normativa sulla Privacy, altre caldamente consigliate dallo stesso Garante), sul mercato assicurativo sono nate polizze mirate contro i cyber attack.
LE ASSICURAZIONI
In un’intervista al Financial Times, Tracie Grella, responsabile del settore cyber polizze di AIG, il maggior gruppo assicurativo indipendente negli Usa, ha dichiarato che negli Stati Uniti, già due anni fa, le vendite di polizze assicurative per proteggere le aziende dal rischio di cyber attacchi informatici erano aumentate di circa un terzo.
Una ricerca di BCG e Morgan Stanley, conferma che le tecnologie emergenti stanno creando perturbazioni sul settore assicurativo, costringendo il settore a sviluppare nuovi modelli di business che spingeranno a maggiori interazioni con i consumatori. Sull’argomento, Maurizio Ghilosso, amministratore delegato di Dual Italia Assicurazioni, ha recentemente rilasciato un’intervista in cui viene interrogato sulle nuove polizze per la tutela contro i danni da cyber-attack, in cui afferma:
“Tutti guardano questo mercato con curiosità, perché presenta grandi potenzialità. Il lancio della nostra polizza (che garantisce in caso di perdita o diffusione non autorizzata di dati elettronici o di informazioni di terzi e copre i costi di investigazione e recupero dei dati, di notifica e pubbliche relazioni e di controllo delle posizioni di credito, ndr) è previsto nei primi giorni del prossimo mese di marzo” … “Il rischio che corrono tutte le organizzazioni è enorme. Il problema è mondiale e quindi riguarda anche l’Italia. Purtroppo la percezione di questo rischio è bassa, ma la problematica non è di poco conto. Pensiamo per esempio alle imprese di piccola dimensione: un danno di questo tipo può compromettere definitivamente la vita dell’azienda”.
Stando al quarto rapporto annuale dell’Allianz Risk Barometer 2015, il cyber risk è tra i cinque rischi più temuti a livello internazionale.
L’indagine è stata condotta tra oltre 500 risk manager e dirigenti sia del gruppo Allianz sia di altre multinazionali in 47 Paesi (inclusa l’Italia). Come accennato all’inizio, sono i tradizionali rischi industriali quelli più temuti dalle imprese: interruzione delle attività e della filiera produttiva (indicato dal 46% degli intervistati), calamità naturali (30%), incendi ed esplosioni (27%), ma i rischi informatici (17%) e quelli geo-politici (11%) registrano i maggiori tassi di crescita.
QUANTO COSTA (davvero) LA BUSINESS INTERRUPTION
L’indagine Allianz mostra che per il terzo anno consecutivo l’interruzione delle attività e della filiera produttiva è considerata il pericolo principale con quasi la metà (46%) degli intervistati che lo valutano come uno dei tre maggiori rischi per le aziende (+3%), le cui cause principali sono individuate in incendi/esplosioni (43%) e catastrofi naturali (41%). L’impatto degli effetti negativi che potenzialmente colpiscono un’azienda, i suoi fornitori e i clienti, spesso supera il danno fisico stesso.
Secondo i calcoli dell’Allianz Risk Barometer, il valore medio di indennizzo per l’interruzione delle attività è pari a 1,36 milioni di dollari, superiore del 32% rispetto al valore di indennizzo medio diretto sui danni alla proprietà (1,03 milioni). “Le aziende – sottolinea Paul Carter, responsabile globale di risk consulting di Agcs – passano molto tempo a valutare il danno diretto e a considerare l’impatto di interruzione delle attività, ma dovrebbe essere fatto un lavoro maggiore per analizzare i rischi associati ai fornitori e ai clienti”.
ANCORA POCA CONSAPEVOLEZZA
Nel nostro Paese, sempre secondo il report di Allianz sopra citato, c’è ancora poca conoscenza del problema e di come vada affrontato. La maggior parte degli italiani intervistati è erroneamente convinta che la sicurezza digitale sia un costo difficilmente affrontabile per professionisti ed imprese di piccola dimensione. Aggiungiamo anche le considerazioni scaturite da un’indagine di Cisco sull’IT security, che mandano un allarme: “Le aziende sono poco consapevoli dei rischi”. Basti dire che nel report viene evidenziato come il 60% delle imprese non applichi le patch di sicurezza e solo il 10% degli utenti di Internet Explorer utilizza l’ultima versione. Il 90% è certo delle funzionalità di sicurezza informatica adottate.
Secondo la Cisco “serve un approccio collettivo all’interno delle organizzazioni, dal top management al dipendente”. Dagli studi condotti, infatti, è emerso che nel 2014 i criminali informatici non si focalizzano più sulla compromissione di server e sistemi operativi ma tentano di sfruttare l’utente mentre utilizza browser e posta elettronica. Gli utenti che scaricano da siti compromessi hanno contribuito ad un aumento del 228% degli attacchi a Silverlight oltre a un aumento del 250% dello spam e degli exploit malvertising.
LA MIGLIORE SOLUZIONE
Queste polizze mirate, sono una novità che evidentemente le assicurazioni hanno saputo sviluppare in risposta ad un aumento del problema della vulnerabilità informatica, percepito o sofferto dagli utenti, ma, da quanto si evince, queste coprono solo in parte i danni di un attacco informatico. Quindi, la migliore protezione è senz’altro quella della prevenzione, attraverso un sistema di valutazione dei rischi ed il conseguente aggiornamento delle procedure aziendali dedicate, di cui parleremo ancora approfonditamente.
———————
Fonti:
Allarme di Cisco: aziende poco consapevoli dei rischi informatici
Ricerca di Allianz sull’ascesa del Cyber-risk
