Le polizze assicurative cyber: un tassello del complesso mosaico di Risk Management
Le polizze assicurative cyber risk, sviluppate per rispondere al crescente rischio di attacchi informatici, stanno guadagnando importanza nel panorama aziendale globale. Con una crescita esponenziale prevista nei prossimi anni, queste assicurazioni mirano a proteggere le aziende dai danni finanziari, reputazionali e sistemici. Tuttavia, la complessità del rischio cyber richiede un approccio olistico che integri la gestione del rischio con la prevenzione e l’assicurazione. La formazione dei dipendenti e la condivisione dei dati sugli attacchi sono fondamentali per ridurre il rischio complessivo.
Attacchi informatici: il mercato delle polizze assicurative cyber risk
Le conseguenze di un attacco informatico spaziano dal furto di segreti industriali e informazioni riservate, ai danni reputazionali e la conseguente perdita di business, fino a deterioramenti finanziari o sanzioni amministrative. In risposta a questi sinistri il mondo assicurativo ha creato dei prodotti ad hoc.
Le polizze assicurative cyber risk sono presenti sul mercato da almeno un decennio ma dalla seconda metà del 2015 hanno avuto una crescita significativa. Si tratta di un prodotto che non ha bisogno di pubblicità, la violazione informatica di grandi società è ciclicamente sulle prime pagine dei giornali.
Nel suo ultimo rapporto di ricerca – A Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity – Allianz Global Corporate & Specialty prevede prevede che i premi delle cyberassicurazioni nei prossimi dieci anni aumenteranno globalmente dagli attuali 2 miliardi di dollari all’anno a più di 20 miliardi, con un tasso di crescita annuale composto superiore il 20%.
Competizione e crescita del mercato delle cyber assicurazioni
Al momento il mercato è conteso da pochi grandi attori quali American International Group, ACE, Chubb Corp, Zurich Insurance e pochi altri. Ma l’aumento costante della consapevolezza del rischio e la spinosa questione della privacy, ambito in cui si attende un prossimo intervento normativo anche in Italia, sosterranno una crescita e ramificazione del comparto.
Le previsioni sono confermate dal fatto che la fetta di mercato è decisamente ampia e a oggi meno del 10% delle imprese ha una copertura assicurativa di questo tipo. Per le restanti 90%, in caso di attacco informatico, gli amministratori sono i primi ad esporsi a una composita catena di responsabilità, e visto il crescente numero di casi i vertici aziendali non possono ignorare la questione.
Come le aziende possono proteggersi con le assicurazioni cyber
Quali procedure devono quindi attivare le aziende per assicurare il loro comparto cyber? In genere le compagnie assicurative richiedono la compilazione di un questionario inerente la valutazione del rischio che permetta di calcolare il premio assicurativo.
Le società devono fornire un attento esame della postura cyber che evidenzi la quantità di dati sensibili, le policy di protezione di questi, la geolocalizzazione delle sedi, i sistemi di firewall e antivirus, il monitoraggio delle intrusioni, le strategie di backup, le esposizioni sui social network e le strategie di business continuity.
Il fatto che i questionari cambino – anche di molto – da compagnia a compagnia, indica la complessità del prodotto e sottolinea la necessità di una normalizzazione legislativa che tenga il passo delle innovazioni tecnologiche.
La sfida dei ransomware e dei costi delle polizze assicurative cyber risk
Un esempio è rappresentato dai ransomware, quei virus informatici che prendono in ostaggio i file attraverso tecniche di crittografia e chiedono un riscatto in denaro: la giurisprudenza italiana non ha ancora prodotto nulla in proposito e in questa eventualità la polizza non garantisce nessuna copertura nel nostro Paese.
Parlando poi di costi la situazione è ancora in via di definizione e in molti casi le compagnie valutano caso per caso e agiscono in maniera contrattuale. Indicativamente, il costo della polizza varia in funzione del fatturato del cliente e del limite di indennizzo scelto.
Soluzioni e polizze assicurative cyber sul mercato italiano
Tra le compagnie più attive sul mercato italiano troviamo Allianz AGCS che con la polizza Cyber Protect copre i danni provocati da un attacco informatico fino a un massimale di 100 milioni di euro. Generali mette sul mercato Connected Family: una polizza domestica, familiare o personale, con uno speciale pacchetto di garanzie legato all’uso di e-commerce, social network e internet in generale.
Un altro prodotto ancora è quello proposto da Axa Mps che inserisce la garanzia cyber risk all’interno del pacchetto Mia protezione modellato a difesa dell’identità digitale. Quest’ultimo prevede anche una attività di flooding che agisce riequilibrando i contenuti dell’utente colpito da danno reputazionale e impedendo alle informazioni negative di comparire nelle prime pagine dei motori di ricerca.
Il rischio cyber per le infrastrutture critiche
Se all’interno del mondo aziendale il rischio residuo di un possibile attacco informatico può essere trasferito – con qualche riserva come vedremo sotto – alle compagnie assicurative, più complessa è la questione che riguarda il rischio sistemico relativo al contagio e al possibile coinvolgimento delle infrastrutture critiche nazionali.
La sempre più diffusa interconnessione al sistema cyber di strutture quali reti idriche ed elettriche aumenta esponenzialmente il pericolo che un attacco informatico localizzato si estenda velocemente con effetti disastrosi per il sistema Paese. Questo è anche il pensiero di Jason Healey della Cyber Statecraft Initiative for the International Affairs all’Atlantic Council che legge il problema della cyber security in termini di sicurezza nazionale.
La fondatezza di questa prospettiva viene confermata da un recente report del Centre of Risk Studies dell’Università di Cambridge secondo cui un attacco parziale alla rete energetica produrrebbe immediatamente, oltre a una situazione caotica nei trasporti e una conseguente riduzione drastica degli introiti commerciali, un aumento della mortalità a seguito della carenza di acqua potabile e della mancata assistenza fornita dalle strutture ospedaliere coinvolte.
I costi del cybercrimine a livello globale
Secondo Allianz Global il costo mondiale del crimine informatico si aggira intorno ai 450 miliardi di dollari l’anno, di cui le 10 principali economie mondiali rappresentano la metà del totale. Numeri drammatici che mostrano un serio rischio per la stabilità del sistema finanziario e geopolitico mondiale. A questo si aggiunge la preoccupazione di alcuni analisti secondo cui le compagnie assicurative sottostimano i massimali dei danni aggregati.
Infine non dobbiamo dimenticare che, a differenza di un’azienda, la sicurezza di uno Stato, che ha nelle infrastrutture critiche un suo punto nevralgico, non può ragionare esclusivamente in termini di danni economici.
In un periodo in cui il concetto stesso di sicurezza nazionale deve fare i conti con il terrorismo, preoccupa sapere che nell’autunno 2015 lo US Office of Personnel Management ha ammesso che gli sono stati sottratti documenti inerenti la sicurezza nazionale tra cui più di 5 milioni di impronte digitali di impiegati federali.
L’importanza di una politica olistica di cybersecurity
Fatti come questo sottolineano l’importanza di una politica olistica di cyber security che non faccia eccessivamente riferimento al sistema assicurativo, per non correre il rischio di essere sì assicurati ma per nulla sicuri. Per evitare questo errore occorre partire dal presupposto che l’assicurazione entra in funzione solamente se le misure preventive hanno fallito.
Le assicurazioni sono da intendersi quindi come un tassello dell’analisi del rischio: un mosaico composto da fattori tecnici, organizzativi e legali, e solamente coniugando i vari aspetti in modo complesso e consapevole è possibile contrastare efficacemente il rischio, informatico e non solo.
Le iniziative del NPPD per migliorare la copertura assicurativa cyber
In tal proposito negli ultimi anni, il National Protection and Programs Directorate (NPPD) ha organizzato delle tavole rotonde invitando analisti assicurativi, brooker, risk manager, esperti informatici, gestori di infrastrutture critiche e scienziati sociali per esaminare lo stato del mercato assicurativo della sicurezza informatica e ragionando su come incentivare una migliore gestione del rischio.
L’intento è di far interagire i protagonisti del settore pubblico e privato con lo scopo di proteggere le reti informatiche, assistendoli collettivamente e individualmente e migliorando così la sicurezza informatica complessiva. Il report del NPPD ha identificato tre aree in cui sarebbe possibile ottenere una più robusta copertura, non solo per i danni economici e immateriali ma anche per quelli tangibili che coinvolgono le infrastrutture critiche.
La prima ha a che fare con la necessità di condividere i dati degli attacchi informatici, una pratica poco diffusa perché mette a repentaglio l’immagine della sicurezza aziendale ma che può, tramite una condivisione anonima, creare un database di vitale importanza.
Quest’ultimo potrebbe poi essere utilizzato dal settore assicurativo per costruire modelli di rischio e simulazioni più attendibili, così da stabilire un premio assicurativo preciso anche per sistemi complessi come le infrastrutture critiche. Infine, lo studio sottolinea la necessità di una diffusione capillare della cultura della gestione del rischio di impresa che limiti i fenomeni di contagio e riduca al minimo minimo il rischio residuo da trasferire sul mercato assicurativo.
L’importanza della formazione dei dipendenti per la cybersicurezza
Uno dei primi fattori di cyber sicurezza su cui occorre lavorare è infatti interno alle aziende e ha a che fare con la formazione dei dipendenti. La maggior parte di questi sa poco di sicurezza informatica ed è probabile che inavvertitamente tenga comportamenti a rischio: un dipendente negligente che sbaglia a prendere le adeguate precauzioni espone costantemente il sistema.
Negli ambienti assicurativi è noto il caso di Aon che durante una visita a un cliente ha scoperto che un quarto degli impiegati usava la password di default, che era appunto “password”, e che quando è stata obbligata a cambiarla con un codice alfanumerico teneva la nuova password su un post-it sotto lo schermo del pc.
Se si trasferisce una parte del rischio a una assicurazione occorre poi conoscere con precisione la reale copertura garantita dalla polizza. Secondo un report di Marsh più della metà dei CEO britannici ritiene che la propria polizza assicurativa copra anche il cyber risk aziendale, ma in realtà solamente il 10% rispetta del tutto questa aspettativa.
Secondo Adam Thomas di Deloitte & Touche LLP, a causa di superficiali calcoli di pricing, e del fatto che per avere modelli di rischio assicurativo attendibile occorrono almeno due decenni, il mercato delle cyber assicurazioni assomiglia a un “wild wild west” dove le aziende corrono il serio rischio di trovarsi con polizze assicurative cyber risk che non forniscono una reale protezione ma addirittura una sensazione di illusoria sicurezza.
La necessità di un piano olistico di gestione del rischio cyber
Occorre quindi un piano olistico di analisi del rischio cyber che lavora su due livelli. Il primo è rappresentato dal cyber risk management e composto da interventi diversificati per la messa in sicurezza, in locale e in mobilità, in relazione a minacce esterne di natura informatica o di altro tipo.
Il secondo livello consiste nel trasferimento dei rischi: visto che questi non sono del tutto eliminabili, i rischi residui vengono trasferiti con contratti ad hoc e finalizzati a far fronte al ripristino, alle perdite economico-finanziarie e alle pretese di terzi. Per stimolare l’integrazione dei due livelli il legislatore può prendere a esempio i Certification Bodies introdotti nel Regno Unito: organismi che garantiscono l’implementazione delle procedure di sicurezza aziendale.
Così come nella responsabilità civile auto una compagnia assicurativa può rivalersi sull’assicurato che non ha sottoposto il veicolo alla periodica revisione, allo stesso modo le società che intendono sottoscrivere una copertura cyber e devono garantire standard di sicurezza interni. Così facendo i meccanismi di rivalsa incentivano le aziende a un comportamento virtuoso creando un mercato assicurativo mirato ma anche limitando la diffusione sistemica del rischio.
A cura di Luisa Franchina, Presidente di AIIC – Alessandro Pastore e Marco Spada
Articolo pubblicato sulla rivista ICT Security – Aprile 2016