Polizza cyber e garanzia ransomware: serve una mitigazione consapevole e attiva del rischio - Cyber Security 360

CYBER INSURANCE

Polizza cyber e garanzia ransomware: serve una mitigazione consapevole e attiva del rischio

L’incremento vertiginoso di attacchi ransomware contro le nostre imprese mette in fibrillazione il mondo delle assicurazioni: AXA limita la garanzia anti-ransomware in Francia e il dibattito sulle polizze cyber s’infittisce. La risposta è nella moral suasion e nella mitigazione consapevole e attiva del rischio

24 Mag 2021
Cesare Burei

Broker e consulente assicurativo

Nel mondo della cyber insurance (e non solo) la notizia recente è che AXA ha dichiarato di voler cancellare dal testo della cosiddetta “polizza cyber”, per il solo mercato francese, la garanzia che rifonde all’assicurato il costo del riscatto pagato a seguito di attacco ransomware.

Viene specificato che questo non varrà per i contratti in corso e non toccherà il rimborso dei costi legati alla risposta all’attacco derivato dal cryptolocker.

AXA non rimborserà più le persone in Francia che pagano dopo essere ricattati da criminali informatici con ransomware. La compagnia ha detto […] che smetterà di sottoscrivere polizze cyber che coprono i clienti per i pagamenti di estorsioni a seguito di attacchi ransomware. […] AXA ha detto di aver preso la decisione in risposta alle preoccupazioni espresse dai funzionari francesi della giustizia e della sicurezza informatica durante una tavola rotonda del Senato a Parigi il mese scorso sull’epidemia globale di ransomware, che vede la Francia come secondo paese più colpito al mondo dopo gli Stati Uniti. […] Solo l’anno scorso, secondo la società di cyber sicurezza francese Emsisoft, le perdite complessive della Francia ammontavano a più di 4,5 miliardi di euro di danni da ransomware a imprese, ospedali, scuole e amministrazioni locali”.

Ironia della sorte, o forse per ritorsione, pochi giorni dopo, AXA Assistance Division Asia viene colpita da un attacco ransomware che blocca i loro sistemi IT in Thailandia, Malaysia, Hong Kong e Filippine.

È legittimo chiedersi se la divisione asiatica pagherà il riscatto, ma soprattutto se la decisione verrà replicata da AXA anche in Italia e se altre compagnie la seguiranno.

Vedremo cosa offre oggi il mercato delle primarie compagnie di assicurazione riguardo al riscatto da ransomware, ma prima è utile fare un veloce punto sullo stato della cyber security e della diffusione delle polizze cyber in Italia.

Cyber risk, un rischio in crescita

In questo contesto, Margas, broker assicurativo da anni specializzato nei rischi cyber, e Blue Underwriting, agenzia di sottoscrizione operante in Italia con AXA XL, divisione rischi speciali di AXA dedicata alle medie e grandi aziende ed AIG, concordano sul fatto che “il trend mondiale dell’offerta assicurativa tende oggi ad assicurare aziende virtuose, che pianificano e mettono in atto piani permanenti di Cyber Risk Management e investono, trasferendo alle Assicurazioni il rischio residuo e non previsto. In questo modo il fronte assicurazioni si conferma leva per la gestione della sicurezza digitale solo se il cliente è guidato nelle scelte da un consulente assicurativo con le adatte competenze. Bisogna prenderne atto”.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

Per il 40% delle grandi imprese il 2020 è stato un anno di emergenza anche sul fronte della cyber security, dato l’aumento vertiginoso degli attacchi informatici rispetto all’anno precedente.

La diffusione improvvisa e capillare del remote working e del lavoro agile, l’uso di dispositivi personali e reti domestiche e il boom delle piattaforme di collaborazione hanno infatti aumentato le opzioni di attacco a disposizione degli attaccanti.

L’impatto economico della pandemia ha costretto le imprese italiane a fronteggiare le aumentate sfide di sicurezza con budget ridotti: il 19% ha diminuito gli investimenti in cybersecurity (contro il 2% del 2019) e solo il 40% li ha aumentati (era il 51% l’anno precedente). Ma per oltre un’impresa su due (54%) l’emergenza è stata un’occasione positiva per investire in tecnologie e aumentare la sensibilità dei dipendenti riguardo alla sicurezza e alla protezione dei dati.

Cyber insurance ancora a bassa penetrazione

Il mercato della cyber insurance in Italia nel 2019 è ancora in fase di sviluppo ma crescono le aziende che stanno valutando polizze assicurative.

Circa un terzo del campione ha attivato coperture assicurative di trasferimento del rischio cyber (in linea col 2018), suddivise fra imprese che hanno scelto polizze completamente dedicate al cyber risk (19%) e altre che hanno preferito assicurazioni generaliste che coprono in parte questo rischio (11%). Il 37% sta valutando (+12% sul 2018), il 23% non è al momento interessato, il 10% non le conosce.

Solo metà del campione gestisce il rischio cyber con un processo di Risk Management che coinvolge l’intera azienda, il 40% affida questa attività alla funzione IT o a un’altra singola divisione, mentre nel 10% dei casi il cyber risk non viene nemmeno monitorato costantemente.

Ci possiamo attendere che analoga survey condotta sullo stesso campione dal Politecnico di Milano per il 2020 possa vedere quasi raddoppiata la domanda a causa dell’incremento dei fermi aziendali informatici.

Il peso della garanzia ransomware nelle polizze del mercato italiano

Le polizze cyber in Italia non hanno ancora una diffusione tale da essere significativa. Tuttavia la presenza della cosiddetta “garanzia ransomware” è stato un driver che ha fatto presa sulla clientela interessata ed è proposta solo da alcune delle compagnie assicurative che operano nel ramo.

Se si guarda alla frequenza di accadimento, però, il rischio di un attacco ransomware e la conseguente richiesta di riscatto, potrebbero definitivamente essere declassati nella tipologia dei rischi “non assicurabili”, proprio perché segnale indiretto dell’impreparazione e scarsa consapevolezza delle aziende su come un evento del genere vada prevenuto o gestito.

Cosa assicura la “garanzia ransomware”

Prese in esame le polizze di una decina delle maggiori compagnie operanti in Italia e in questo specifico ramo, tutte prevedono di coprire le spese e i costi derivati da Ransomware per:

  • stabilire e documentare la causa;
  • contenere il danno;
  • decontaminare il sistema informatico dell’Assicurato dal malware che ha determinato il danno;
  • ripristinare e configurare i dati;
  • ripristinare e configurare il sistema informatico;
  • gestire l’emergenza tramite i servizi di pronto intervento informatico, forniti da terzi;

e tutte richiedono di denunciare la richiesta di riscatto e cooperare con le forze dell’ordine. Le compagnie italiane escludono esplicitamente il pagamento del riscatto o non contemplano la garanzia. È il caso dei prodotti AXA per commercianti e artigiani o per le PMI, mentre è prevista – ancora – nella soluzione di AXA XL.

Ransomware: riscatto si, riscatto no

Alla luce di quanto analizzato finora e sulla base della lunga esperienza assicurativa unita a una adeguata comprensione del mondo ICT, è possibile suggerire alcune riflessioni sul caso AXA e sul tema ransomware.

Intanto, a causa della scarsa diffusione delle polizze cyber, è proprio dal mondo della cyber security che provengono la maggior parte dei dati relativi alla frequenza, al successo o al costo degli attacchi ransomware.

In Italia, delle 200 aziende che hanno risposto ad una ricerca svolta da Sophos, il 31% ha subito un attacco ransomware. Di queste, solo il 14% ha pagato un riscatto (ma non tutte hanno recuperato i dati), mentre ben il 51% è riuscita a recuperare quanto compromesso grazie a procedure di disaster recovery.

Dato molto significativo: più della metà (58%) ritiene di non avere all’interno dell’azienda le risorse e le competenze adeguate a fronteggiare attacchi ransomware di una certa complessità e che via via si sono fatti sempre più aggressivi.

Polizza cyber e garanzia ransomware: il panorama italiano

Nel panorama italiano il riscatto pagato va in media dai 10.000 ai 100.000 dollari, indicativo di un impatto economico non devastante se non fosse per le conseguenze che può avere.

Bastano anche solo questi dati per capire che lo strumento assicurativo non deve essere solo “la polizza che paga il ransomware”, ma deve contenere garanzie e massimali in grado di supportare efficacemente l’azienda nel momento in cui dovesse accadere l’evento catastrofico.

Penso ai costi per indagine, bonifica, ripristino dei sistemi, eventuale notifica al Garante Privacy e, non ultimo, all’indennizzo in caso di interruzione dell’attività che comporti un fermo dell’attività aziendale superiore alle 24/48 ore.

Un insieme di danni e costi, il cui ammontare può raggiungere diverse centinaia di migliaia di euro, se non milioni in caso di fermo di attività prolungato.

Ecco che, in linea di principio, la posizione di AXA France ci trova d’accordo. Il “riscatto”, nella maggioranza dei casi, rappresenta solo una minima parte del danno complessivo oltre a non essersi rivelato risolutivo in molti casi a me noti.

A suffragio di questa visione possiamo chiamare Blue Underwriting, un’agenzia di sottoscrizione di rischi assicurativi operativa in Italia e incaricata da Compagnie internazionali di stampo anglosassone, come AIG ed AXA XL, dell’assunzione di rischi in assicurazione e/o riassicurazione. Si occupano prevalentemente della responsabilità di amministratori e dirigenti (D&O), della responsabilità professionale nel settore informatico (RC Professionale) e di rischi cyber; tutti temi caldi nel mondo phygital della stretta correlazione tra digitale ed analogico che contraddistingue le aziende utenti digitali e anche i loro fornitori di servizi ICT.

Ecco come commenta la situazione Camilla Bassi, l’AD e fondatrice dell’agenzia di sottoscrizione Blue Underwriting che opera in Italia: “La copertura assicurativa è solo una parte del risk management che deve realizzare ogni impresa che abbia a cuore il proprio futuro. Questo vale per i cyber risk, come per le polizze più tradizionali. Il punto chiave – in relazione ai rischi cyber – è metabolizzare come l’autodiagnosi, la prevenzione e la copertura siano passaggi improcrastinabili. Siamo di fronte al più inevitabile e devastante dei rischi e troppe persone, troppi imprenditori, troppi CDA continuano a rinviare il momento in cui prendere in carico, concretamente, il proprio posizionamento nel web, in cui capire se sia necessario agire sulla forma e dinamica della propria infrastruttura tecnologica”.

Conclusioni

Staremo a vedere che strade prenderanno le Assicurazioni, sull’esempio di AXA e anche sotto le pressioni dei governi impegnati nella lotta ai cyber criminali.

Per quanto ci concerne, meglio mitigare il rischio e assicurarsi, dunque, senza contare sulla garanzia ransomware e rifiutarsi di pagare il riscatto per contribuire a dissuadere gli attaccanti da queste pratiche.

Il fermo d’attività e le spese di reazione e ripristino sono sufficientemente gravi da giustificare una polizza. Anche se si è bravi o proprio perché si è bravi. Sempre più spesso, infatti, incrociamo realtà con un livello di gestione del rischio basso che conduce al rifiuto da parte della compagnia ad assumere il rischio oppure a richieste di premi esorbitanti.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5