Assicurazioni cyber: sono davvero utili per le aziende?

In questo momento la sicurezza informatica è una priorità per molte aziende. Anche se alcuni tipi specifici di attacchi sono in diminuzione, per le società che subiscono violazioni dei dati l’impatto sul business può essere disastroso.

Un caso recente è quello di Norsk Hydro, produttore norvegese di alluminio. Il mese scorso ha subito un attacco ransomware che ha portato offline 22.000 computer in 170 siti dell’azienda sparsi in tutto il mondo. La società ha deciso di non trattare con gli hacker e non cedere alle loro richieste di riscatto, ma per riportare le operazioni online Norsk Hydro ha speso, finora, più di 50 milioni di euro.

Poiché i dati sono sempre più parte integrante dei modelli di business della società, e aumentano le sanzioni per la loro mancata protezione, le ricadute di una grave violazione dei dati possono mettere a rischio la sopravvivenza di un’azienda.

Sfortunatamente, le tradizionali misure di sicurezza informatica non sempre sono efficaci contro attacchi sempre più sofisticati e mirati. Se a ciò aggiungiamo la proliferazione di attacchi di stati nazione, potremmo essere portati a credere che una violazione dei dati sia semplicemente qualcosa di inevitabile, come le tasse.

Qual è la soluzione? Se la vostra azienda è stata derubata delle sue risorse fisiche, probabilmente avete una polizza assicurativa in atto per coprire il danno. E’ possibile fare lo stesso se si verifica una violazione dei dati? Una “assicurazione cyber” può davvero mitigare il danno di un attacco su vasta scala, come quello subito da Norsk Hydro?

Una “assicurazione cyber” rende l’azienda più sicura?

L’assicurazione contro i cyber attacchi non è un concetto nuovo. Apparve per la prima volta sulla scena della sicurezza negli anni ’90 e da allora la sua popolarità ha continuato a crescere.

Un recente report di Telstra Security ha affermato che il 36% delle aziende dispone attualmente di una polizza assicurativa sulla sicurezza informatica, ma c’è ancora una serie di domande e ambiguità su quali protezioni vengono offerte alle aziende se dovessero subire un attacco informatico.

All’inizio di quest’anno, Zurich American Insurance Company si è rifiutata di pagare una indennità al distributore statunitense Mondelez per la perdita di 1.700 server e 24.000 PC nell’attacco ransomware NotPetya subito nel 2017.

Sebbene il contratto di assicurazione affermasse che la società era coperta “per perdita fisica o danni a dati elettronici, programmi o software, incluse perdite o danni causati dall’introduzione dannosa di un codice macchina o una istruzione“, Zurich si è rifiutata di pagare, affermando che il cyber attacco era un “atto di guerra”. Mondelez ha intentato una causa da 100 milioni di dollari contro Zurich.

Un altro caso è la violazione dei dati subita da Equifax, che ha colpito oltre 147 milioni di persone ed è costata alla società 439 milioni di dollari. L’azienda statunitense è stata parzialmente coperta dalla sua compagnia di assicurazioni, che le ha rimborsato circa 125 milioni di dollari.

“Recentemente c’è stato un boom di prodotti che garantiscono assicurazione contro gli attacchi informatici”, ha commentato Michael Mittel, presidente e direttore generale di RapidFire Tools, società specializzata in sicurezza informatica. “Tuttavia c’è molta confusione sul mercato, perché i termini dei contratti non sono chiari e l’azienda che acquista una polizza non ha visibilità sulle circostanze in cui riceverà un rimborso in caso di attacco”.

Per esempio, un’azienda colpita da un attacco informatico si aspetta realisticamente di ricevere un rimborso assicurativo per mancati guadagni? Probabilmente no. E di coprire i costi di sostituzione dell’hardware crittografato che non può più essere utilizzato? Probabilmente sì. E le compagnie di assicurazione che si rifiutano di pagare perché un attacco è un “atto di guerra” devono provare legalmente la sua origine? Il caso giudiziario contro Zurich Insurance darà una risposta a questa domanda.

Esistono modi migliori per gestire i rischi?

Nei giorni successivi all’attacco ransomware, vari portavoce di Norsk Hydro hanno dichiarato pubblicamente che la società disponeva di una robusta “cyber polizza” assicurativa.

Tuttavia, il direttore finanziario Eivind Kallevik ha dichiarato che la polizza “ha un massimale“, il cui ammontare non è stato specificato, ed è ancora lontano dal garantire che Norsk Hydro sarà in grado di recuperare il costo dell’attacco.

Calcolare il rischio per le aziende in tutti i settori verticali non è un’impresa facile. Pochissime aziende sono disposte a dichiarare pubblicamente di essere state vittime di una violazione dei dati e le compagnie assicurative che cercano di entrare nel mercato delle assicurazioni cyber non hanno sufficienti informazioni per definire chiaramente le condizioni contrattuali.

Inoltre, l’acquisto di polizze assicurative di solito rientra nelle competenze del CFO, il che significa che i responsabili della sicurezza aziendale potrebbero non essere coinvolti nella definizione dei contratti. Di conseguenza, le polizze raramente offrono alle aziende il livello di copertura di cui hanno bisogno, lasciando ulteriori lacune nelle strategie di sicurezza.

“Nella stipula di una assicurazione le aziende ruotano ancora attorno alle cinque classi tradizionali: monetarie, fisiche, relazionali, organizzative e umane. Nelle categorie da proteggere non inseriscono i dati”, ha dichiarato George Marcotte, managing director di Accenture Digital. “Solo le aziende di nuova generazione vedono i dati come sesta classe di attività e prendono provvedimenti per assicurarli. I dati sono sempre più critici per il successo aziendale, e non prendere tutte le misure per proteggerli è come dimenticare di assicurare i gioielli della corona”.

Un dato positivo che emerge dalla recente adozione di assicurazioni cyber è l’obbligo, per le aziende, di intraprendere una valutazione del rischio di sicurezza prima di stipulare una polizza. Sebbene tali test siano ancora molto eterogenei, una parte terza valuta la strategia di sicurezza aziendale e verifica che vengano eseguite le cose di base, come l’applicazione di patch o la crittografia. Ciò aiuta le aziende a ridurre i rischi a lungo termine.

Mentre le assicurazioni cyber stanno guadagnando un posto nel panorama della sicurezza informatica, è chiaro che c’è ancora molto lavoro da fare, sia da parte delle compagnie assicurative che delle aziende, affinché le assicurazioni contro la violazione dati siano veramente adatte allo scopo.