Ascolta l’articolo
Se i frequenti attacchi informatici penetrano con continuità i sistemi operativi, così anche i neologismi tecnologici penetrano il nostro vocabolario. Tra questi, si parla, a volte fuori fuoco, di cyber assicurazione (o cyber insurance o assicurazione cyber risk), visto l’ormai crescente complessità degli attacchi informatici e del loro impatto sul business di grandi, piccole e medie imprese.
C’è da fare subito un distinguo.
Il 6 febbraio si diffonde la notizia di un’offensiva hacker in tutto il mondo tramite ransomware. Ma secondo quanto trapelato da Palazzo Chigi e dall’Agenzia Nazionale per la Cybersecurity, in Italia non sono stati compromessi settori strategici. Sia ben chiaro, nessuno vuole minimizzare, ma secondo queste notizie il sistema ha sostanzialmente retto.
Per le piccole e medie imprese invece sembra essere tutto più complesso, anzi – lo è – per un semplice motivo: dispongono di risorse, competenze e difese limitate contro i rischi cibernetici.
Partiamo da qui: se diamo per scontato che ormai nessuno è esente dai pericoli dei cyber pirati, che crescono in dimensioni, frequenza e sofisticazione, e altrettanto vero che le piccole, le medie e le micro imprese sono più vulnerabili agli attacchi informatici. Anche perché gli stessi criminali informatici sono ormai disponibili in tutte le forme e dimensioni e sono in grado di sferrare anche attacchi tailor made.
Le scarse risorse non sono l’unico limite delle PMI. La loro fragilità cresce con la crescita del lavoro a distanza e l’utilizzo di reti private meno sicure. E d’altra parte, i pericoli di hacking aumentano man mano che pezzi di vita quotidiana passano al “regno digitale”: Internet banking, mobile banking, pagamenti online.
In questo quadro, le cyber assicurazioni svolgono un ruolo cruciale anche per le PMI. E anche in una realtà che ricorda, in certi aspetti, la non-realtà di Matrix, il loro compito resta quello di proteggere e minimizzare i rischi, di accrescere il monitoraggio e rendere più efficaci le reazioni alle aggressioni tecnologiche.
Una delle domande a cui abbiamo cercato di rispondere è se oggi esiste una correlazione tra le dimensioni più ridotte delle aziende piccole e medie e l’entità della perdita correlata ai cyber attacchi. Perché se è vero che aumentano gli attacchi informatici; nel caso delle cyber assicurazioni, aumentano anche i massimali delle assicurazioni. Scopriremo che per le PMI non sono tutte rose e polizze.
Chi sono quelli più a rischio cyber
Fa effetto un dato, quello dell’Information Risk Insights Study (IRIS) 2022, del Cyentia Institute, per cui l’impatto relativo degli incidenti sulle imprese più piccole è significativamente più consistente.
Immaginate un centro estetico al quale improvvisamente spariscono gli appuntamenti. Oppure una piccola impresa manifatturiera, paralizzata da un virus. O il negozio online, alla quale vengono cancellati ordini non ancora consegnati. O ancora l’agenzia di viaggi, che non può consegnare per tempo i biglietti ai clienti. Oppure cercate di immaginare una qualsiasi di queste aziende, attaccata da un virus che cripta dati di un computer e li cede solo in cambio di un riscatto (ransom).
Che le PMI siano un bersaglio allettante, lo conferma IBM. Nel suo annuale Cost of a Data Breach Report evidenzia che il 43% di tutti gli attacchi informatici è rivolto alle piccole imprese.
C’è un ampio ventaglio di minacce per i piccoli team di sicurezza delle PMI: dalle classiche violazioni della privacy dei dati, all’interruzione delle operazioni o, peggio, alle richieste estorsive. Il report di NetDiligence® Cyber Claims 2022, considera il ransomware la loro prima causa di perdita, seguito da compromissione della posta elettronica aziendale, da errori del personale e da phishing.
I “non assicurabili”
“Gli attacchi informatici saranno presto non assicurabili”, dice il CEO di Zurich Mario Greco, al Financial Times. Ed è una frase che arriva inattesa quanto provocatoria. Ma ha anche la forza di saper descrivere il sentiment delle compagnie assicurative e insieme l’ansia dei piccoli imprenditori. Perché gli attacchi informatici sono diventati così gravi che stanno mettendo a dura prova la capacità di poter fornire coperture adeguate.
L’aumento vertiginoso dei sinistri informatici ha infatti indotto le compagnie di assicurazione a prendere delle contromisure per limitare la loro esposizione. Alcune compagnie hanno già iniziato a modificare le polizze attraverso esenzioni e clausole ad hoc. Non solo, per alcuni tipi di attacchi, hanno risposto diventando più severi nell’esaminare i sinistri informatici, nel tentativo di ridurre le perdite.
Mentre le PMI si stanno chiedendo se l’assicurazione contro gli attacchi informatici sia davvero efficace, se sia realizzabile, cosa copra e cosa permetta di fare, i requisiti per richiedere una cyber polizza sono diventati più complessi e costosi per una piccola azienda.
- Un responsabile della sicurezza dei dati.
- Sistema di raccolta e analisi di log e segnalazioni.
- Team dedicati a rilevare e contenere le minacce.
- Software efficaci che tutelino gli endpoint.
- Un processo di vulnerability management.
- Personale formato sulla cyber security.
- Uno schema di continuità operativa e disaster recovery.
E poi, l’utilizzo di norme di igiene informatica, l’autenticazione a più fattori, requisiti di password più rigorosi, una migliore supervisione dei fornitori, una strategia di risposta agli incidenti, formazione sul phishing, test di penetrazione, backup regolari del sistema e rilevamento degli endpoint per ottenere un preventivo.
E non è finita.
Per le PMI aumentano premi e problemi
Altro aspetto: il numero crescente di attacchi informatici e l’ammontare dei danni che ne derivano hanno determinato un aumento della domanda di cyber assicurazioni e gli assicuratori hanno cominciato a chiedere premi più elevati.
Anche la società Swiss Re Insurance prevede che i premi totali pagati dalle aziende passeranno da 10 miliardi di dollari nel 2020 a 23 miliardi di dollari entro il 2025. Più che raddoppiati.
È vero, la sicurezza che offre una copertura assicurativa permette di lavorare con più tranquillità, specie per le aziende con piccoli team di sicurezza informatica alle prese con rischi legati all’uso dei device mobili, dei social media, del cloud, dello smart working. Ma a che costo, e, soprattutto, che tipo di protezione offre?
Cosa copre una cyber assicurazione
Tutela per danni causati a terzi in caso di violazione della privacy. Spese legali o di ripristino dati. Una rapida ripresa dell’attività: sono tante le esigenze delle piccole e medie aziende colpite da attacchi e costrette a coprire le spese associate a essi.
Come per qualsiasi polizza assicurativa, esistono anche diverse forme di assicurazione informatica. Il mercato varia notevolmente per cercare di dare risposte adeguate. Quando si verifica una violazione dei dati, un’infezione da malware o un incidente ransomware. Quello che includono si può condensare in questo breve elenco.
Sistemi di sicurezza della rete. Coprono costi legali, servizi forensi IT, ripristino dati, notifiche e comunicazioni di violazione.
Violazione della privacy. Coprono i costi delle violazioni dei dati che riguardano informazioni di identificazione personale (azioni legali, violazioni della conformità, gestione del rischio reputazionale).
Interruzione dell’attività di rete. Consentono di coprire costi relativi alla perdita di dati o eventuali perdite finanziarie sostenute da un’interruzione dei servizi.
Errori e omissioni. Coprono gli attacchi che mettono a repentaglio la capacità di un’azienda di fornire servizi o rispettare gli obblighi contrattuali.
Polizze di responsabilità dei media. Coprono perdite derivanti da accuse di calunnia, diffamazione, denigrazione o violazioni.
Sapere dove spendere budget limitati per la sicurezza informatica diventa quindi fondamentale.
La risorsa più importante per le PMI?
È la conoscenza.
Secondo l’ultimo rapporto Confindustria/Unicredit, in Italia ci sono 160mila PMI, in cui lavorano tra i 10 e i 249 persone, con un fatturato pari a 204 miliardi di euro l’anno. A queste si sommano 90mila micro imprese. E sono realtà sprovviste per la quasi totalità di team e di competenze interne preposte alla cyber sicurezza.
Essere dotati di un responsabile o un piccolo team dedicato che raccolga e studi i dati per prepararsi a un attacco ridurrebbe in modo significativo i rischi e i relativi costi di interruzione dell’attività. Certo, munirsi di un responsabile della sicurezza per una PMI costa, ma è un costo che si ammortizza. Perché quando un ransomware rapisce un server, il costo per riscattarlo rischia di andare molto oltre l’investimento in prevenzione.
L’innovazione richiede consapevolezza e preparazione. Comprendere la propria esposizione ai rischi informatici. Studiare la probabilità del loro accadimento e dell’impatto che avrebbe sull’azienda. E adottare misure di sicurezza che appaiano idonee a ridurre la probabilità dell’impatto, sostenendo i relativi investimenti, anche secondo un processo di crescita a step.
È l’unico percorso da seguire per un futuro prevedibile e adattabile. Una sorta di teoria darwiniana dell’adattamento, per capire le proprie reali necessità.
E poi, analizzare il mercato assicurativo, per trovare la polizza che maggiormente si allinea alle proprie esigenze, privilegiando soluzioni che consentono di coprire gli eventi di rischio a maggior impatto. Solo con questa consapevolezza, le coperture assicurative possono diventare uno strumento strategico per le PMI, come un paracadute che si gonfia all’istante, per proteggersi dai cyber attacchi.
Un processo che deve allargarsi e coinvolgere tutti. Imprese, istituzioni e compagnie assicurative. Le compagnie assicurative devono fare la loro parte. Devono supportare le imprese più fragili con servizi di gestione del rischio su misura e incoraggiare buone pratiche di gestione del rischio.
Il rischio informatico non può essere prevenuto al 100%. Trasferire parte di questo rischio può essere fatto con una cyber assicurazione, a patto che se ne abbia una profonda consapevolezza. Questo tipo di gestione del rischio può diventare un’opzione praticabile e una scelta intelligente.
È un processo graduale di adattamento e, appunto, di evoluzione.