Cosa può fare un’assicurazione contro la perdita di dati per il GDPR e per la cyber security? Una buona cyber assicurazione sul rischio informatico può fare molto. Ecco perché se ne parla tanto in questi giorni, in cui il GDPR muove i primi passi attivi (dopo l’entrata in vigore il 26 maggio). Può fare molto, la cyber insurance, ma non tutto: per esempio non può coprire le sanzioni. E’ importante chiarire bene quindi vantaggi e limiti di questa possibilità.
Teniamo conto che l’assicurazione nel mondo informatico e anche in ambito industriale, medico, ambientale così come nelle telecomunicazioni, nel settore aeronautico e nella logistica l’analisi del rischio e dei processi, insieme ad un adeguato monitoraggio con interventi in emergenza, è prassi consolidata da molti anni.
L’approccio di tale copertura assicurativa è complementare all’assistenza di consulenti GDPR o degli esperti di cyber security. Assessment, remediation, monitor, protection sembrano vocaboli astrusi ma, in realtà, rappresentano un piano strutturato di valutazione e protezione finalizzata alla sicurezza, nello specifico, di ogni azienda.
Il GDPR trasferisce questo processo ai dati di tutte le aziende. GDPR, cyber security e polizza cyber risk declinano in modo diverso l’approccio, gli interventi, la profondità di analisi ma condividono il processo: osserva, analizza, migliora, controlla, proteggi.
Indice degli argomenti
Perché è importante proteggere i dati
Per sottolineare che non è più possibile, in questa era digitale, trattare i dati con leggerezza, si è agito su tre fronti.
- Il primo, che il legislatore europeo ha lanciato, è stato quello di sottolineare la gravità nel non adempiere al regolamento. La misura è rappresentata dalla sanzione che oscilla tra 10.000.000/20.000.000 di euro oppure dal 2% al 4% del fatturato mondiale. Il tutto a discrezione del legislatore che può infliggere, per le conseguenze penali, fino a 5 anni di carcere senza poter quindi più contare sulla “condizionale”. Ne converrete che il messaggio della gravità è arrivato, forte e chiaro!
- Il secondo punto riguarda il tempo di osservazione concesso per valutare se vi sia stato un danno effettivo. Il legislatore si rende conto che viviamo in un mondo complesso, globale, che i dati sono ampiamente distribuiti ed il confine tra trasferimento, ripartizione o sottrazione è labile, pertanto ha concesso un maggior tempo (72 ore) per analizzare effettivamente se vi sia stata una diffusione involontaria, illegittima e fraudolenta dei dati: il precedente limite era fissato in 48 ore.
- Il terzo, e non meno importante elemento, che è strettamente legato al secondo, tiene in considerazione la fruibilità del dato sottratto e diffuso: quel dato è leggibile? Rileva informazioni personali e private? È aggregato in modo che possa causare danni diretti o indiretti al soggetto? Fisici, morali, reputazionali? Può causare un danno monetario? Una discriminazione? Ma più banalmente, il dato è sufficientemente criptato o sufficientemente anonimo?
Solo se questa ultima condizione non è correttamente rispettata allora siamo di fronte ad un data breach, ma abbiamo 72 ore per notificare alle autorità ed ai soggetti interessati il problema e quindi mettere anche in atto misure di mitigazione così che, pur in presenza di un breach, con gli accorgimenti adottati vi sia un danno quanto più possibile contenuto.
Le conseguenze di un data breach
Ci sono già dei segnali di possibili data breach (furto e diffusione dei dati) ed in effetti sono partite le prime multe: la multa è solo la dimostrazione finale che non si è preso sul serio o non si è capito il GDPR. Il fine del nuovo Regolamento europeo sulla protezione dei dati in sé non è punitivo, è invece dissuasivo: rispetto alle precedenti normative sulla privacy, sebbene vi sia stata una revisione delle figure responsabili della stessa tanto da creare una figura specifica con piena autorità, le vere novità vanno ricercate altrove.
Una particolarità risiede infatti nell’analisi del rischio e la valutazione dell’impatto che un cattivo trattamento del dato può causare (DPIA): il legislatore chiede alle aziende di rivedere quali dati vengono raccolti, come vengono trattati e cosa questi dati significano per le aziende in termini di valore; la seconda caratteristica è rappresentata dalle conseguenze derivanti dalla manipolazione e diffusione dei dati: novità che ben differenziano gli attuali regolamenti dalla vecchia legge 196/2003.
Un GDPR ben implementato non dovrebbe portare mai ad un data breach ma, qualora ciò avvenisse, un’analisi del rischio ben fatta ed un “response plan” ben disegnato non porterà alla sanzione o quantomeno limiterà il danno. Probabilmente il legislatore sarà benevolo se, fermo restando che in 72 ore si sia data esecuzione alla notifica, sia possibile dimostrare che è stato fatto tutto il possibile prima, durante e dopo. Aver prontamente mobilitato esperti e risorse per analizzare l’accaduto e rinforzare gli anelli deboli della catena è un salvacondotto: così che l’evento difficilmente possa ripresentarsi. Il legislatore non impedisce alle aziende, in seguito alla notifica e risoluzione dell’incidente, di fare campagne informative per dimostrare che hanno imparato la lezione e che i dati dei clienti sono nuovamente al sicuro. È questa l’essenza e lo spirito della legge: proteggere i dati e fare il possibile per tenere informati i soggetti interessati qualora qualcosa andasse storto.
Che fa la cyber insurance e a che serve davvero
Tenuto conto di questo contesto, delle norme e dei rischi, va detto che non sta all’assicurazione rivedere i processi aziendali (tocca al GDPR) e nemmeno gli standard di sicurezza adottati (è materia di sicurezza dei sistemi informativi delle aziende).
- Bensì osservare e quantificare il rischio residuo è il ruolo preliminare di una assicurazione cyber risk. Certamente bisogna procedere a revisione annuale del rischio o a richiesta dell’assicurato ogni volta che vi siano cambiamenti significativi che lo richiedano.
- E cos’altro fa una buona assicurazione? Monitora e assiste: in caso di sospetto data breach, per esempio, è compito dell’assicurato informare tempestivamente la compagnia che così guiderà il cliente nel processo di contenimento del danno e ove necessario alla notifica alle autorità, ai mezzi di comunicazione, ai soggetti interessati mettendo a disposizione risorse ed esperti per gestire al meglio l’evento (alcune polizze forniscono dispositivi automatici che aiutano in questo processo di monitoraggio).
- Una buona polizza inoltre aiuta a gestire bene una crisi accompagnando l’azienda attraverso tutte le fasi dell’evento che, se male coordinato, può comportare conseguenze molto gravi sia per la società sia per i titolari del trattamento dati: sanzioni, interruzione di esercizio, fermo attività ed anche perdite di immagine.
- Una buona cyber insurance aiuta i clienti a minimizzare l’esposizione al rischio e a recuperare nel più breve tempo possibile il ritorno alla normale operatività, ma non può mai coprire eventuali sanzioni che dovessero essere comminate al danneggiante.
Oggi pertanto, diventa importante intendere la polizza come strumento di protezione a tutto tondo, non semplicemente come protezione economica e liquidazione di un sinistro ma di supporto ed assistenza più vicina al cliente, in un ambito che è ai più poco conosciuto.
Con l’avvento del GDPR ci sono ulteriori elementi di criticità: abbiamo visto che intercettare un attacco e/o un data breach diventano elementi importanti in una logica di tempi di reazione e risposta adeguata, elementi direi essenziali ed imprescindibili pertanto, e soprattutto ma non solo per le PMI, è necessario incorporare ed affiancare alla mera protezione assicurativa ed economica a servizi e soluzioni tecnologiche per intercettare questi attacchi e reagire per tempo alla messa in sicurezza ed alla difesa dei dati.
Potremmo dunque dire che, sebbene non si sia ancora diffusa una cultura di polizza cyber, anche grazie al GDPR, stiamo già entrando nell’era delle polizze cyber 2.0 in particolar modo per il mondo delle PMI, il tessuto più ricco e dinamico della nostra realtà economico industriale, ma anche quella meno preparata e più vulnerabile agli attacchi cyber.
In questo senso, la copertura cyber va intesa come tool complementare e sinergico all’infrastruttura di sicurezza informatica presente nelle aziende, agendo quindi nella prevenzione e protezione andando a minimizzare rischi e conseguenze di un attacco cyber ma non sostitutivo di una implementazione carente ai fini di conformità GDPR.
Cosa cercare in un’assicurazione cyber e cosa no (copertura sanzioni)
Il servizio da ricercare in una cyber insurance è la possibilità di minimizzare l’esposizione al rischio, monitorando il flusso dei dati e andando ad intercettare comportamenti sospetti, informando per tempo chi si occupa della protezione dei dati per evitare escalation e corruzioni che porterebbero a conclamati data breach e sanzioni, fermo restando le protezioni classiche economiche, per fare ripartire il business.
In ambito GDPR o cyber security, ma in generale in ambito industriale, l’assicuratore informa, assiste e aiuta il cliente ad affrontare situazioni rischiose e ad uscirne al meglio ed il più velocemente possibile.
L’approccio del legislatore è diverso: è dissuasivo, mentre la garanzia assicurativa si affianca al cliente per tutelarlo, ma non può andare in contrasto con lo spirito della legge e neppure può considerarsi sostitutiva degli adempimenti di legge. Saremmo infatti contro la legge e contro la deontologia professionale: una condizione perseguibile per legge.
Possiamo dunque dire che, a corredo delle precedenti coperture, che rimangono importanti ed attive, la nuova generazione di polizze cyber che operano in ambito “GDPR aware” non può mai coprire eventuali sanzioni che dovessero essere comminate al trasgressore: non si deve infatti arrivare alle multe e il ruolo della cyber insurance è quello di supportare il cliente nella prevenzione proattiva per evitare che si verifichi un data breach o ciò che ne consegue, e se ciò dovesse malauguratamente accadere, fare in modo che la risposta sia rapida, puntuale, efficace affiancandosi realmente al danneggiato.
