Il rischio Cyber

Cyber Insurance e Cyber Security sono argomenti che sono ancora nuovi per molte persone, ma diventeranno presto indispensabili per tutti.

Nel 2019 il nostro mondo è digitale ed estremamente interconnesso. Inoltre, la crescita esponenziale dell’uso di tecnologie come il Cloud, l’IoT (Internet of Things) e il Big Data aumenta il perimetro delle vulnerabilità e richiede strategie sofisticate dei processi di gestione dei rischi all’interno delle aziende.

Il rischio cyber è passato dall’essere considerato un rischio marginale al diventare una delle maggiori minacce del nostro tempo. Ad esempio, il World Economic Forum nel suo Global Risk Report 2019 posiziona i rischi di “Data Fraud or Theft” e “Cyberattacs” tra le prime posizioni sia a livello di probabilità di accadimento che come potenziale causa di danno catastrofico.

Oggi un attacco informatico porta molteplici conseguenze possibili tra cui: il furto di segreti industriali o di informazioni riservate, l’impedimento della business continuity, danni reputazionali e perdita di business, dulcis in fondo sanzioni amministrative in funzione del GDPR.

La comprensione del rischio

Nonostante il fatto che il rischio di attacchi gravi mostri aumenti sostanziali anche in Italia con una crescita annua del 38%  (fonte Clusit), soltanto una piccola parte delle aziende dispone di una polizza assicurativa specifica (ca. il 15%). Inoltre, secondo un report stilato da Microsoft il 59% delle aziende sta ritardando la digital trasformation per timore delle minacce informatiche. In aggiunta, emerge che molte realtà non sono pienamente consapevoli dei pericoli e sottostimano la propria esposizione.

L’ avvento delle nuove tecnologie come l’Internet of Things (IoT) e l’Industrial Internet of Things (IIoT) aumentano la complessità delle sfide legate a Internet. L’attuale dipendenza da modelli di business abilitati da Internet ha già raggiunto un alto livello, parallelamente non è si evoluta in uguale misura la capacità di introdurre misure di sicurezza cibernetica adeguate a proteggere gli asset strategici. In particolare, lo afferma un recente report di Accenture che indica anche che le aziende dovranno far fronte a 5.200 miliardi di dollari per costi addizionali e mancati ricavi dovuti a cyber attacchi nei prossimi cinque anni.

Inoltre, è da considerare che più un’azienda apparterrà ad un settore evoluto come quello high-tech, più alta sarà la sua esposizione.

In questo scenario è determinante una corretta “educazione sui rischi” delle aziende e della PA da parte dei player più esperti, gli assicuratori e i fornitori di soluzioni di cybersecurity. Un intervento comune tra queste parti coinvolte è l’unica soluzione che potrà garantire un approccio sistematico e creare delle best practice che possano essere implementate da tutti.

Un mercato in crescita

Il mercato della cyber insurance offre un enorme potenziale in chiave business. Nasce dalla necessità delle aziende di trasferire almeno parte del rischio a dei risk carrier professionali, ai quali offre la possibilità di ampliare i propri target. Conseguentemente, il connubio Cyber Insurance & Cyber Security è da considerarsi una nuova frontiera ricca di sfumature che si prefigge anche di aumentare la maturità tecnologica e il livello di consapevolezza del mercato offrendo coperture trasparenti e mirate a chiudere zone d’ombra e a essere accessibili a tutti.

Un confronto internazionale

I mercati assicurativi anglosassoni stanno elaborando già da tempo una moltitudine di prodotti ad hoc per mitigare gli effetti dell’esposizione cyber, il mercato globale dovrebbe toccare i 20 miliardi di dollari di premi assicurativi nel 2025 (fonte Munich Re).

In particolare, in Italia più di 30 compagnie ed i maggiori broker assicurativi si affacciano cautamente sul mercato con delle polizze Cyber. Le coperture riguardano la perdita o divulgazione di dati personali e sensibili, la compromissione dei sistemi informativi e produttivi e la loro interruzione di servizio. Si copre il mancato guadagno, le spese per la gestione della crisi, le spese legali, i danni causati da estorsione ed eventuali danni causati a terzi. L’attuale offerta delle polizze non è omogenea e difficile da confrontare e valutare.

Il tessuto economico italiano si differenzia in modo sostanziale da altri paesi per la massiccia presenza delle PMI rispetto alle grandi aziende e la conseguente minore digitalizzazione.

Sarebbe quindi un azzardo utilizzare soltanto costi medi e frequenze di sinistro internazionali per il calcolo di una polizza italiana. Inoltre la vertiginosa crescita degli attacchi cyber e la continua evoluzione delle minacce rende ogni ipotesi sempre temporanea e soggetta a continuo adeguamento.

I fattori determinanti

Spesso l’azienda ha una propria storia di attacchi e dispone anche di sistemi di sicurezza implementati. In funzione di questi elementi molte assicurazioni si basano sul pregresso (se ben documentato), sulla dimensione e sul fatturato dell’impresa.

Altri due fattori rendono le polizze cyber particolarmente difficili da quotare. Il primo è l’enorme rischio di cumolo dei sinistri dovuto all’esposizione di terzi nella supply chain del cliente. Il secondo riguarda il fatto che molte polizze generiche coprono già parti del rischio cyber in modo silent (implicito, quindi senza che l’assicuratore ne abbia riservato una parte di premio specifica).

I costi del Cybercrime

Secondo Accenture i costi dei crimini cibernetici si suddividono in costi diretti, indiretti e alternativi.

I costi di base per attività interne sono:

• detection (scoperta)
• investigation (analisi)
• containment (contenimento)
• recovery (recupero)

I costi per tipo di danno sono:

• Perdita o furto di informazioni
• Business disruption (interruzione dell’operatività)
• danni alle infrastrutture/tecnologie
• perdita di reddito.

A queste voci si possono aggiungere le perdite reputazionali, danni a persone e sanzioni amministrative in base al GDPR.

Ecco alcuni dati:

• Tempi medi di individuazione del data breach: 146 giorni

• utilizzo di Strategie di Spear Phishing e social Engineering: 91%

• Fattore umano come primo abilitante per la violazione: 90%

• Attacchi altamente targettizzati: 60%

• Danni reputazionali: tra il 60% e l’80% (fonti: Emea e Cefriel)

Potenzialità ed opportunità

L’assicurazione cyber ricopre un’importante ruolo nella soluzione del rischio cyber e può promuovere nuovi standard certificati in materia sicurezza informatica che renderebbero la sottoscrizione del rischio più semplice ed equa permettendo peraltro di poter premiare le aziende “virtuose”.

Conseguentemente, nel prossimo futuro vedremo un’ascesa di minacce legate alle migrazioni cloud, alle tecniche di social engineering, allo smart working e alla convergenza di IT e OT e l’utilizzo di AI. A causa dell’eterogeneità di sistemi e infrastrutture, delle strategie e degli asset digitali utilizzati, dalla mancanza di chiare best pratice e contromisure in ambito di sicurezza cibernetica. E’ difficile confrontare la resilienza di un sistema di sicurezza informatico con quello di altre realtà. Un’ulteriore complicazione è rappresentata dall’esposizione ad cumuli sconosciuti: un solo evento potrebbe innescare un numero enorme di sinistri collegati allo stesso tempo.

Un’offerta olistica adeguata alle esigenze dei clienti

Si rende quindi indispensabile un approccio comune tra gli assicuratori, il legislatore e le aziende verticalizzate in ambito dei servizi di cyber security. In particolare, gli esperti di sicurezza informatica possono affiancare gli assicuratori negli seguenti ambiti:

• fornitura e raffinamento dati
• per basi statistiche e valutazioni attuariali
• info costanti su nuove tipologie di rischio
• assistenza elaborazione questionari ed altri strumenti di valutazione
• formulazione di best practice ICT
• performance di Penetration Test e Vulnerability Assessment
• elaborazione di un Disaster Recovery Plan
• assistenza e controllo in caso di evento attraverso il servizio SOC (Security Operation Center)
• assistenza post evento 
• technical upgrade in base all’esposizione reale del cliente.
• formazione del personale a tutti i livelli.

Plasmare la realtà

L’ iperconnessione di innumervoli dispositivi causerà probabilmente un aumento vertiginoso di attacchi, diretti e indiretti, ogni volta di tipo totalmente nuovo. Contemporaneamente crescerà l’utilizzo dell’automazione con tecniche di machine learning e Big Data Analytics nella sicurezza cibernetica. Non sarà possibile fermare tutti i futuri cyber criminali, al contempo lascerannno sempre più tracce digitali da analizzare e identificare. Inoltre, diventeranno imperativi strumenti di protezione basate su tecniche crittografiche e biometriche e poi quantistiche. In aggunta, il GDPR e la direttiva NIS dovrebbero concorrere a limitare la frequenza e la gravità delle minacce, imponendo importanti obblighi e pesanti sanzioni alle imprese troppo permissive.

Le assicurazioni saranno particolarmente coinvolte nel plasmare il futuro della Cyber Security perché direttamente coinvolte in molti dei settori più critici: ad esempio le auto a giuda autonoma. In merito al loro funzionamento con l’IoT questi veicoli potrebbero facilmente entrare nel mirino di cyber criminali e terroristi intenzionati ad utilizzare le auto come arma mortale.

Le soluzioni integrate

La Cyber Security riguarda le polizze degli assicuratori in moltissimi ambiti, la sola esclusione di corrente elettrica in una vasta zona cittadina esporrebbe le compagnie a una moltitudine di sinistri per danni alle persone (es. ospedali), infrastrutture (es.: incendio fabbriche) e la mancanza di operativitià con conseguente perdita di fatturato, danno reputazionale e ricorso di terzi.

La soluzione dei problemi necessita di una visione olistica: la qualità e quantità delle contromisure tecnologiche, formative e organizzative dovrà essere abbinata a modelli di copertura assicurativa tagliati su misura per il tipo di rischio e sforzi del legislatore, per creare una maturità tecnologica sufficiente nelle aziende e cittadini.

Cyber Insurance e Cyber Security: una collaborazione importante per il nostro futuro.