di Bruno Siciliano
Le Compagnie Assicurative come possono mitigare le conseguenze di attacchi informatici?
Le minacce informatiche sono in aumento esponenziale, con una superficie di attacco in espansione caratterizzata da aggressioni più sofisticate, con esfiltrazione di dati ed attacchi ransomware di massa. Se a ciò si aggiunge la proliferazione dei dispositivi IoT (Internet delle cose) e dell’Intelligenza Artificiale, e se si considerano i crescenti livelli di regolamentazione con obblighi normativi, l’aumento dei costi conseguenti alle violazioni e la crescente responsabilità di terzi, la necessità di investire in capacità di rilevamento e di risposta tempestivi si fa sempre più forte.
Le aziende dovrebbero indirizzare la spesa per la sicurezza informatica verso il rilevamento e la risposta, piuttosto che aggiungere ulteriori livelli alla prevenzione. Ciò non vuol dire consigliare alle aziende di ridurre i budget per la prevenzione, ma di assegnare alla sicurezza informatica un maggiore budget per aumentare la tempestiva rilevazione della minaccia informatica. Dovrebbe trattarsi di un meccanismo automatico end-to-end che inizia con la prevenzione, per poi proseguire con il rilevamento e la risposta tempestiva.
Solo un terzo delle aziende scopre la violazione dei database aziendali attraverso i propri team di sicurezza, evidenziando la necessità di migliorare l’osservazione e lo studio delle minacce informatiche. Se gli aggressori riescono a portare a termine indisturbati l’attacco informatico e lo notificano poi all’azienda inconsapevole per chiederne il riscatto, il costo per il danno subito cresce in maniera esponenziale: si stima che il costo aziendale di un data breach aumenti nella misura della proporzione di 1 a 100 rispetto a se lo stesso danno fosse stato riconosciuto immediatamente.
Se dunque, a titolo di esempio, un ipotetico furto dati rilevato internamente in modo tempestivo sarebbe costato all’azienda “solo” 10.000 €, le conseguenze di una violazione dati riconosciuta tardivamente può costare all’azienda una cifra superiore a 1.000.000 € tra sanzioni, perdita della reputazione, eventuali cause legali, misure per contenere i danni subiti o per recuperare i clienti persi. Il Regolamento Generale sulla Protezione dei Dati Personali, Regolamento UE 679/2016, prevede sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o fino al 2% del fatturato totale annuo mondiale nel caso di imprese. D’altro canto, una violazione dei sistemi informatici può comportare la perdita di fiducia da parte dei fornitori e dei clienti, i quali potrebbero rivolgersi ad un’azienda concorrente la cui reputazione è rimasta inalterata.
Molte aziende tendono a essere reattive agli attacchi informatici, piuttosto che proattive. Dovrebbero investire maggiori fondi nel rilevamento precoce delle minacce e questa dovrebbe essere la politica aziendale privilegiata: quella di un approccio più proattivo. Preferire di investire risorse finanziarie nel rilevamento piuttosto che nella reazione alla perdita potenziale è un approccio che è ancora piuttosto ridotto: un buon security manager e/o il management aziendale deputato alla sicurezza informatica dovrebbe capire che, una volta investito nel rilevamento precoce delle minacce informatiche, si è meglio preparati a proteggere se stessi e i propri sistemi critici.
Rilevamento e risposta tempestive contribuiscono anche a scoraggiare futuri attacchi informatici: le risposte tempestive ed immediate scoraggiano significativamente gli attori delle minacce e renderanno le aziende un obiettivo meno attraente. Gli sforzi ripetuti per trovare e rilevare l’attore delle minacce e bloccarlo immediatamente fanno sì che il malintenzionato abbandoni i tentativi di attaccare l’azienda in questione. Il più delle volte gli attori delle minacce cercano un bersaglio più facile
Con l’aumento dei livelli di regolamentazione della privacy dei dati in tutto il mondo, una buona gestione è essenziale anche per mitigare l’impatto degli attacchi di esfiltrazione dati. Le aziende che gestiscono regolarmente e correttamente i propri dati, assicurandosi che vengano archiviati in modo appropriato e cancellati quando non sono più necessari, ridurranno la quantità di dati a rischio.
Anche i costi dei servizi legali e specialistici di risposta alle violazioni sono in aumento, a causa dell’incremento delle tariffe e della sfida di dover affrontare attacchi sempre più complessi. Ad esempio, nel caso di attacchi di esfiltrazione dati, i venditori impiegano più tempo per capire esattamente quali dati sono stati rubati, e questo procedimento può essere molto costoso.
Il costo per i servizi di esperti esterni è in aumento, il che rende più oneroso il costo per una richiesta di risarcimento. Inoltre, con l’aumentare della complessità dei sinistri, gli esperti esterni impiegano più tempo per risolvere i problemi, quindi non solo le tariffe risultano essere più alte, ma aumenta anche il numero dei professionisti che devono lavorare su questi sinistri che diventano via via più complessi nel tempo.
Con la forte richiesta di servizi specializzati nella violazione dei dati e l’aumento degli attacchi di esfiltrazione dei dati, le aziende e le amministrazioni pubbliche devono assicurarsi i servizi dei fornitori in anticipo. La raccomandazione è quella di prepararsi a questi attacchi con piani di crisi, con esercitazioni mirate e nominando fornitori professionisti specializzati. È molto importante per non trovarsi nella situazione di essere attaccati e di dover trovare trovare poi a posteriori dei professionisti e a dover negoziare con poco preavviso il costo della loro prestazione professionale. La progettazione di un piano di crisi predispone alla corretta gestione dell’attacco informatico, utilizzando professionisti esperti i cui costi vengono generalmente e agevolmente coperti da una comune polizza assicurativa con tariffe prestabilite: in questo modo l’azienda riesce a ridurre l’impatto e il costo del sinistro.
I servizi dei professionisti sono inclusi nella maggior parte delle polizze di assicurazione e possono aiutare a gestire gli attacchi di esfiltrazione dei dati e a mitigare l’impatto finanziario. Ad esempio, i breach coach, molto diffusi in Europa e negli Stati Uniti, possono aiutare a mitigare i costi di una violazione dei dati. Nel caso di un evento ransomware con esfiltrazione di dati, i breach coach possono aiutare con una consulenza legale specializzata che può evitare spese inutili e individuare in modo corretto la non conformità alle leggi sulla privacy. Le aziende che gestiscono regolarmente e correttamente i propri dati, assicurandosi che siano archiviati in modo appropriato e cancellati quando non sono più necessari, ridurranno la quantità di dati a rischio.
Le aziende che stipulano delle polizze assicurative per tutelarsi dai data breach dovrebbero anche approfittare dei workshop sui sinistri organizzati dalle Compagnie Assicurative per assicurarsi che la loro copertura assicurativa risponda alle effettive necessità. I workshop sugli scenari dei sinistri, in cui il cliente può portare esempi specifici della propria attività, sono strumenti utili impiegati dalle Compagnie Assicurative per confrontare il caso singolo con la copertura e la formulazione della polizza. Una volta identificati i principali scenari di rischio informatico, l’azienda ne discute con il proprio broker e con l’assicuratore per accertarsi, in linea di principio, che siano coperti o meno e con quali franchigie.
Le aziende devono essere in grado di documentare un incidente informatico nel momento in cui si verifica, registrando costi e perdite: nel momento in cui l’incidente si verifica, l’assicurato dovrà comprovare la richiesta di risarcimento con mezzi idonei e certi. Ad esempio, sarà necessario fornire la prova della perdita e comunicare tempestivamente informazioni dettagliate sull’evento in modo trasparente.
Quando si parla di cyber security, molte aziende si concentrano sul riscatto, ma l’interruzione dell’attività è spesso la parte del sinistro più complicata e difficile da gestire. Ci sono situazioni in cui poche ore di inattività provocano dei danni enormi in termini di interruzione dell’attività e possono essere molto difficili da dimostrare. Per questo motivo bisogna essere in grado di raccontare e di documentare l’evoluzione dell’evento e di quantificare correttamente il valore del danno.
L’affidamento all’outsourcing dei servizi, compresi i fornitori di servizi IT e di sicurezza informatica, mette a rischio le piccole e medie imprese, che possono essere più esposte al rischio di attacchi informatici. Mentre le grandi aziende hanno rafforzato la loro sicurezza informatica, i criminali informatici prendono sempre più di mira le aziende più piccole, che spesso dispongono di minori risorse finanziarie da investire nelle capacità di prevenzione e risposta.
Le violazioni di dati nelle piccole imprese a livello globale sono aumentate del 152% nell’ultimo anno, mentre nello stesso periodo le violazioni nelle grandi organizzazioni sono aumentate del 75%. Più della metà (54%) delle PMI europee ha subito una qualche forma di attacco informatico. Prima dell’evento dannoso, le aziende dovrebbero familiarizzare con la propria copertura assicurativa contro le minacce informatiche e con i servizi che ne possono derivare.
Le PMI sono particolarmente vulnerabili agli attacchi informatici e subiscono un impatto sproporzionato rispetto alle aziende più grandi, meglio preparate e maggiormente dotate di risorse organizzative, professionali e finanziarie. Le PMI hanno competenze più limitate in materia di sicurezza informatica e dipendono maggiormente da terzi, compresi i fornitori di servizi cloud. Inoltre, tendono a disporre di un minore sostegno finanziario per assorbire le conseguenze dell’interruzione dell’attività. Se una piccola azienda con controlli insufficienti o processi di gestione del rischio inadeguati subisce un incidente informatico significativo, c’è la possibilità che non riesca a sopravvivere nel lungo periodo. Negli ultimi anni sono stati fatti dei progressi e c’è stata una buona collaborazione tra assicuratori, broker e clienti, ma in definitiva è ancora necessaria una maggiore consapevolezza e una maggiore educazione alla gestione del rischio informatico e il settore assicurativo ha la responsabilità di aiutare le piccole imprese in questo processo.
Articolo di Bruno Siciliano, Cyber Security Consultant, Consulente per la Sicurezza.
Il consulente per la sicurezza è colui che valuta software, reti e sistemi informatici, svolgendo il ruolo sia di attaccante che di difensore andando a scoprire le debolezze del sistema e trovando la migliore strategia di gestione e risoluzione ad eventuali minacce.
