phishing & C

Difendersi dal cyber crime col risk management e le assicurazioni: ecco come

Le misure messe in campo dal mondo delle assicurazioni e dalle procedure di risk management per contrastare i fenomeni di cyber crime quali frodi informatiche e ingegneria sociale, sono modelli di analisi e trattamento del rischio. Si punta a prevenzione e protezione dell’obiettivo, ma come extrema ratio si può ricorrere alle polizze

21 Feb 2019
S
Giovanni Soardo

Broker Assicurativo e Risk Manager - Soardo e Associati srl

Tanto maggiore è l’esposizione sul web da parte di una società, quanto maggiore è il rischio che sia vittima del cyber crime. Il mondo assicurativo e del risk management, per far fronte a questa problematica, ha predisposto modelli di Analisi e Trattamento del rischio (Risk Assessment e Treatment) che prevedono misure di mitigazione dello stesso e, come ultimo baluardo, contratti assicurativi atti al trasferimento delle incombenze rimanenti agli Assicuratori.

Il contesto e i rischi

Il mondo dei social network ha mutato radicalmente e in maniera silente, le modalità di rilevazione delle informazioni personali degli individui. Avendo oggi a disposizione più reti sociali, eventualmente da incrociare tra loro, ha trovato soddisfazione il desiderio istintivo di voler carpire qualche informazione in più circa una persona conosciuta dal vivo o anche solo vista di sfuggita, soprattutto tra le nuove generazioni. Gli stessi social hanno recepito questa esigenza, introducendo ad esempio la funzione di geolocalizzazione che individua geograficamente l’utente e, incrociando il dato con gli altri presenti sui propri server (come orientamento sessuale e politico, interessi), rileva se nello stesso istante ci sono nei paraggi utenti affini e li propone come potenziali amici. Il tutto ai fini di una costante spinta all’implementazione delle connessioni tra utenti ed a una conseguente crescita della piattaforma. Una pratica che vorrebbe favorire le relazioni, ma che ha purtroppo un lato oscuro.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Le pagine social sono state studiate per mostrare quante più informazioni possibili, al fine di rendere maggiormente accattivanti agli occhi dei visitatori i profili degli stessi, favorendo così lo scambio di interazioni e connessioni. Sulla tipologia di contenuti che si condividono: quanto più sono a carattere personale tanto maggiore sarà il successo in termini di like e condivisioni. Ergo si viene naturalmente coinvolti in un circolo virtuoso (o vizioso) che ci spinge a condividere con i nostri collegamenti contenuti sempre più personali. Una pratica apparentemente innocua, spesso finalizzata a esaltare il nostro ego virtuale, che però mette a repentaglio la sicurezza non solo del singolo, ma anche di tutti quelli che gli stanno intorno, famiglia e ambiente lavorativo compresi, che vengono coinvolti loro malgrado in ciò che viene condiviso.

L’ingegneria sociale

I malviventi denominati ingegneri sociali mettono in pratica azioni volte a carpire informazioni su persone o aziende con ogni possibile mezzo (spesso senza violare la legge in un primo momento), con lo scopo di trarne un vantaggio economico, mettendo in atto pratiche di hackeraggio come il phishing.

La tecnica più nota, nell’ambiente business, è forse la cosiddetta CEO Fraud, in cui il criminale si sostituisce al CEO chiedendo al malcapitato dipendente di trasferire urgentemente una somma di denaro (spesso relativamente modesta per non destare troppi sospetti) su un conto bancario diverso dal solito. Pratiche che funzionano: come riporta il Rapporto Clusit 2018, gli attacchi di Phishing/Social Engineering sono in forte crescita, tanto che hanno sottratto punti percentuali sul totale ad altre tecniche criminose.

Strategie per difendersi

Occorre tenere sempre a mente che la polizza assicurativa è uno strumento che si colloca al fondo del processo di Risk Management. Infatti è fondamentale affrontare prima tutti i passaggi necessari per eliminare e/o calmierare il rischio in questione, specie se è emergente, per cui il Mercato potrebbe non essere ancora pronto ad offrire coperture pienamente adeguate. Adattando lo schema all’ambito in oggetto, i passaggi fondamentali del Cyber Risk Management contemplano attività di prevenzione e di protezione.

L’attività di prevenzione mira a ridurre la probabilità di accadimento degli eventi e si concentra su quelle che sono le attività di Security Assessment, che in ambito IT comprendono l’Information Gathering, Network Mapping, Vulnerability Assessment, Vulnerability Exploitation, Ethical Hacking, Web Penetration Test, Wifi Security Assessment, Analisi di Mobile Applications, Analisi ambiente Mainframe e, nel nostro specifico caso, campagne di Social Engineering.

Queste ultime rappresentano uno step fondamentale per testare la sicurezza delle informazioni e consistono nella conduzione di attività di phishing (simulate) verso gli utenti. Vengono svolte dai security engineer in ambiente protetto e consistono nel lanciare un attacco spear phishing, realizzato appositamente, in grado di bypassare i filtri di posta elettronica. Il processo prevede lo studio, la realizzazione e l’invio di email simulanti attacchi informatici realizzati ad hoc per gli utenti scelti, con la finalità di verificarne i comportamenti di risposta e le reazioni.

A valle dell’analisi viene erogata una formazione ad hoc che ha per oggetto le tecniche di attacco e le procedure di difesa delle postazioni e dei sistemi informatici presenti all’interno dell’ambiente di lavoro. Vengono presi in esame accorgimenti semplici, come la corretta gestione delle password e dei profili social personali di dipendenti e manager, che però sono sufficienti a identificare e neutralizzare la gran parte degli attacchi di ingegneria sociale. Alla fine del percorso i partecipanti sapranno identificare e mettere in atto strategie di difesa utili ad aumentare la sicurezza all’interno della realtà lavorativa.

Altra pratica utile riguarda la modifica dei processi interni aziendali; ad esempio subordinare le richieste di variazione delle condizioni di pagamento ad autorizzazione da parte del management o del CEO via telefono, telematica o scritta; oppure imporre l’obbligo di contattare direttamente il terzo che ha richiesto la variazione per appurarne la veridicità. Le attività amministrative inerenti in particolare le riconciliazioni bancarie e l’accesso ai conti correnti societari andrebbero gestite da più risorse in modo da rendere imprescindibile un controllo interno. Tutto ciò che consiste nell’ampliare la possibilità di eseguire dei controlli incrociati, riduce drasticamente il numero di sinistri di questa tipologia.

L’attività di protezione mira a ridurre la magnitudo degli eventi sinistrosi una volta che si sono già verificati. In caso di Social Engineering, il presidio che maggiormente riduce l’impatto può riguardare la limitazione dell’autonomia degli incaricati amministrativi nell’esecuzione di trasferimenti di somme di denaro oltre una certa soglia prestabilita; in caso di frode le perdite si ridurrebbero ad importi risibili, che probabilmente non verrebbero comunque risarcite dal contratto assicurativo per via di eventuali franchigie.

Prevenzione e protezione sono attività che si dimostrano essere tanto più efficaci quanto più il rischio in oggetto è emergente, perché più un rischio è nuovo meno è probabile che ci sia tra le aziende una diffusa cultura e consapevolezza, e quindi i margini di intervento e miglioramento sono più ampi. Le piccole imprese, rispetto alle grandi, sono in una posizione di leggero vantaggio: essendo meno strutturate ed avendo un numero inferiore di transazioni e fornitori, oltre che un rapporto più diretto con gli stessi, spesso rilevano più facilmente la frode in quanto risalta subito un’operazione inusuale e anomala rispetto alla consueta prassi. È anche per questo che il trasferimento del rischio dall’azienda alla Compagnia di Assicurazione tramite un contratto (polizza) è la scelta meno frequente, preferita solo alla ritenzione ponderata del rischio.

I confini di una polizza assicurativa cyber

Posizionare il risarcimento di un danno derivante da frode informatica è materia complicata e spesso oggetto di confusione. In Italia, specie nell’ultimo decennio, sono stati adattati testi contrattuali inglesi (dal Mercato dei Lloyd’s) e soprattutto americani per far fronte al rischio Cyber. Le polizze in questione si stanno diffondendo a più livelli tra le maglie del tessuto imprenditoriale italiano e sono generalmente strutturate in due macrosezioni: una di Responsabilità Civile e l’altra per i Danni Propri (Property). La prima tutela dalle richieste di risarcimento che vengono avanzate per eventuali violazioni di dati personali di terzi (fondamentale dopo l’entrata in vigore del GDPR), per violazioni della sicurezza della rete aziendale e per danni d’immagine (diffamazione, oltraggio, plagio…). La seconda invece riguarda il risarcimento dei danni che subisce direttamente l’assicurato, come la business interruption, la perdita di dati e la cyber estorsione (es. ransomware). Entrambe le sezioni poi sono supportate da alcune garanzie complementari come il risarcimento delle spese legali, di consulenza informatica e di Incident Response.

Stiamo quindi parlando di un contratto incentrato sulla violazione del sistema informatico dell’assicurato, che diventa quindi presupposto necessario per far scattare il risarcimento da parte dell’Assicuratore. Il problema è che quando si è soggetti ad una frode di Ingegneria Sociale non vi è alcuna penetrazione da parte del malvivente nella struttura IT della vittima, in quanto le informazioni vengono raccolte con le modalità di Social Engineering spiegate pocanzi. Una caratteristica che rende inapplicabile tale contratto assicurativo.

La polizza crime

Sono questi dunque i casi in cui serve riferirsi ad un altro tipo di contrattualistica assicurativa, di ambito Crime. Le ultime revisioni di questo genere di polizze sono state incentrate proprio sul comprendere tale casistica, facendola rientrare nella fattispecie “Atti dolosi o fraudolenti commessi da dipendenti o terzi col fine di ottenere un ingiusto vantaggio economico, arrecando danno all’assicurato”. L’Assicuratore in secondo luogo, assistendo ad una sempre maggiore diffusione di questi eventi e volendo agire in ottica di tutela dai sinistri di frequenza dovuti a negligenza o imperizia da parte dell’azienda, ha imposto delle condicio sine qua non, come le doppie verifiche da parte dell’amministrazione verso fornitori, richiedendo inoltre che lo stesso recapito di contatto utilizzato sia presente in file, rubrica telefonica aziendale o su portali web di pubblico dominio.

Tale ulteriore clausola ha un chiaro collegamento con l’art. 1189 C.C. Pagamento al creditore apparente, dove viene imposto al debitore, per essere ritenuto libero dall’obbligazione, di dimostrare la propria buona fede nell’eseguire il pagamento, accertandosi della corretta identità del creditore mediante la sussistenza di “circostanze univoche”. Lo stesso articolo prosegue riportando che “Chi ha ricevuto il pagamento è tenuto alla restituzione verso il vero creditore secondo le regole stabilite per la ripetizione dell’indebito”. La maggiore criticità delle frodi informatiche riguarda proprio l’identificazione dei malviventi al fine di poter recuperare le somme di denaro dirottate, per dare compimento a ciò che viene imposto, ma in questo caso il Codice difficilmente può venire in aiuto.

Qualora poi l’assicurato sia una PMI che non abbia una particolare predisposizione al rischio in oggetto oppure non ritenga vantaggioso dedicare alla copertura dello stesso una polizza ad hoc, potrebbe estendere (se già presente in portafoglio) la sua polizza di Responsabilità Civile degli Amministratori (D&O) includendo il rischio di frode. Alcuni Assicuratori avveduti ed innovativi hanno infatti collocato questa specifica garanzia accostandola alla ormai fondamentale copertura RC dedicata alla tutela di Amministratori, Manager e Società.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr