di Bruno Siciliano
Come le Compagnie di assicurazione possono mitigare le conseguenze di attacchi informatici? La minaccia informatica è in aumento con una superficie di attacco in espansione, attacchi più sofisticati, esfiltrazione dei dati e attacchi ransomware di massa. Se a ciò si aggiunge la proliferazione dello IoT (Internet delle cose) e dell’intelligenza artificiale, i crescenti livelli di regolamentazione, l’aumento dei costi delle violazioni e la crescente responsabilità di terzi, la necessità di investire in capacità di rilevamento e risposta tempestivi si fa sempre più forte.
Le aziende dovrebbero indirizzare la spesa aggiuntiva per la sicurezza informatica verso il rilevamento e la risposta, piuttosto che aggiungere altri livelli alla prevenzione. Ciò non vuol dire consigliare alle aziende di ridurre i budget per la prevenzione, ma di assegnare alla sicurezza informatica un maggiore budget per aumentare la tempestiva rilevazione della minaccia informatica. Dovrebbe trattarsi di un meccanismo automatico end-to-end che inizia con la prevenzione, per poi proseguire con il rilevamento e la risposta tempestiva.
Secondo IBM20, solo un terzo delle aziende scopre una violazione dei dati attraverso i propri team di sicurezza, evidenziando la necessità di migliorare il rilevamento delle minacce. Tuttavia, quando gli aggressori hanno già portato a termine l’attacco informatico e lo notificano all’azienda per chiedere un riscatto, alle aziende costa in media quasi 1 milione di € in più rispetto al rilevamento tempestivo interno.
Molte aziende tendono a essere reattive agli attacchi informatici, piuttosto che proattive. Dovrebbero investire fondi nel rilevamento precoce come politica aziendale di un approccio più proattivo. L’investimento nel rilevamento rispetto alla perdita potenziale è piuttosto ridotto, ma una volta investito nel rilevamento si è meglio preparati a proteggere se stessi e i propri sistemi critici.
La rilevazione e la risposta tempestive contribuiscono anche a scoraggiare futuri attacchi informatici. Un buon rilevamento e una buona risposta frustreranno significativamente gli attori delle minacce e renderanno le aziende un obiettivo meno attraente. Gli sforzi ripetuti per trovare e rilevare l’attore delle minacce e bloccarlo immediatamente fanno sì che l’attore delle minacce abbandoni i tentativi di attaccare l’azienda in questione. Il più delle volte gli attori delle minacce cercano un bersaglio più facile
Con l’aumento dei livelli di regolamentazione della privacy dei dati in tutto il mondo, una buona gestione dei dati è essenziale anche per mitigare l’impatto degli attacchi di esfiltrazione dei dati. Le aziende che gestiscono regolarmente e correttamente i propri dati, assicurandosi che vengano archiviati in modo appropriato e cancellati quando non sono più necessari, ridurranno la quantità di dati a rischio.
Anche i costi dei servizi legali e specialistici di risposta alle violazioni sono in aumento, a causa dell’incremento delle tariffe e della sfida di dover affrontare attacchi sempre più complessi. Ad esempio, nel caso di attacchi di esfiltrazione dei dati, i venditori impiegano più tempo per capire esattamente quali dati sono stati rubati, il che può essere un processo molto costoso. Il costo degli esperti esterni è in aumento, il che rende più oneroso il costo di una richiesta di risarcimento. Inoltre, con l’aumentare della complessità dei sinistri, gli esperti esterni impiegano più tempo per risolvere i problemi, quindi non solo le tariffe risultano essere più alte, ma aumenta anche più persone che lavorano su questi sinistri più complessi per più tempo.
Con la forte richiesta di servizi specializzati nella violazione dei dati e l’aumento degli attacchi di esfiltrazione dei dati, le aziende e le amministrazioni pubbliche devono assicurarsi i servizi dei fornitori in anticipo. La raccomandazione è quella di prepararsi a questi attacchi con piani di crisi, esercitazioni e nominando fornitori specializzati. È molto importante per non trovarsi nella situazione di essere attaccati e di dover trovare fornitori e negoziare con poco preavviso. La progettazione di un piano di crisi predispone alla corretta gestione dell’attacco informatico, utilizzando fornitori esperti i cui costi vengono generalmente e agevolmente coperti da una comune polizza assicurativa con tariffe prestabilite: in questo modo l’azienda riesce a ridurre l’impatto e il costo del sinistro.
I servizi dei fornitori inclusi nella maggior parte delle polizze di assicurazione informatica possono aiutare a gestire gli attacchi di esfiltrazione dei dati e a mitigare l’impatto finanziario e normativo. Ad esempio, i breach coach, molto diffusi in Europa e negli Stati Uniti, possono aiutare a mitigare i costi di una violazione dei dati. Nel caso di un evento ransomware con esfiltrazione di dati, i breach coach possono aiutare con una consulenza legale specializzata che può evitare spese inutili e la non conformità alle leggi sulla privacy. Le aziende che gestiscono regolarmente e correttamente i propri dati, assicurandosi che siano archiviati in modo appropriato e cancellati quando non sono più necessari, ridurranno la quantità di dati a rischio.
Gli assicurati dovrebbero anche approfittare dei workshop sui sinistri per assicurarsi che la loro copertura assicurativa risponda alle necessità. I workshop sugli scenari dei sinistri, in cui il cliente può portare esempi specifici della sua attività, sono strumenti utili impiegati dalle compagnie assicurative per confrontare il caso singolo con la copertura e la formulazione della polizza. Una volta identificati i principali scenari di rischio informatico, l’azienda ne discute con il proprio broker e con l’assicuratore per accertarsi, in linea di principio, che siano coperti o meno e con quali franchigie.
Le aziende devono essere in grado di documentare un incidente informatico nel momento in cui si verifica, registrando costi e perdite: nel momento in cui l’incidente si verifica, l’assicurato dovrà comprovare la richiesta di risarcimento con mezzi idonei e certi. Ad esempio, sarà necessario fornire la prova della perdita e comunicare tempestivamente informazioni dettagliate sull’evento in modo trasparente.
Quando si parla di cyber, molte aziende si concentrano sul riscatto, ma l’interruzione dell’attività è spesso la parte del sinistro più complicata e difficile da gestire. Ci sono situazioni in cui poche ore sono costituiscono dei danni enormi in termini di interruzione dell’attività e possono essere molto difficili da dimostrare. Bisogna essere in grado di raccontare la storia e quantificare il valore del danno”..
L’affidamento all’outsourcing per i servizi, compresi i fornitori di servizi IT e di sicurezza informatica, mette a rischio le piccole e medie imprese, che possono essere più esposte al rischio di attacchi informatici. Mentre le grandi aziende hanno rafforzato la loro sicurezza informatica, i criminali informatici prendono sempre più di mira le aziende più piccole, che spesso dispongono di minori risorse finanziarie da investire nelle capacità di prevenzione e risposta.
Le violazioni di dati nelle piccole imprese a livello globale sono aumentate del 152% nell’ultimo anno, mentre nello stesso periodo le violazioni nelle grandi organizzazioni sono aumentate del 75%. Più della metà (54%) delle PMI europee ha subito una qualche forma di attacco informatico. Prima dell’evento, le aziende dovrebbero familiarizzare con la propria copertura assicurativa contro le minacce informatiche e con i servizi che ne possono derivare.
Le PMI sono particolarmente vulnerabili agli attacchi informatici e subiscono un impatto sproporzionato rispetto alle aziende più grandi, meglio preparate e dotate di risorse. Hanno competenze più limitate in materia di sicurezza informatica e dipendono maggiormente da terzi, compresi i fornitori di servizi cloud. Inoltre, tendono a disporre di un minore sostegno finanziario per assorbire le conseguenze dell’interruzione dell’attività. Se una piccola azienda con controlli insufficienti o processi di gestione del rischio inadeguati subisce un incidente informatico significativo, c’è la possibilità che non riesca a sopravvivere nel lungo periodo. Negli ultimi anni sono stati fatti dei progressi e c’è stata una buona collaborazione tra assicuratori, broker e clienti, ma in definitiva è ancora necessaria una maggiore consapevolezza e una maggiore educazione alla gestione del rischio informatico e il settore assicurativo ha la responsabilità di aiutare le piccole imprese in questo processo.
Articolo di Bruno Siciliano, Cyber Security Consultant.
Il consulente per la sicurezza è colui che valuta software, reti e sistemi informatici, svolgendo il ruolo sia di attaccante che di difensore andando a scoprire le debolezze del sistema e trovando la migliore strategia di gestione e risoluzione ad eventuali minacce.
