Cyber: come proteggersi dagli attacchi (e dalle richieste di risarcimento)

Nell’ultimo anno abbiamo assistito a un aumento esponenziale dei sinistri cyber, causato principalmente dal remote working adottato dalla stragrande maggioranza delle aziende per fronteggiare l’emergenza sanitaria Covid-19. Come diretta conseguenza di tutto ciò, il mercato assicurativo cyber ha subito un fortissimo irrigidimento: non solo negli ultimi 12 mesi sono aumentati i premi e le franchigie minime sostenibili dal mercato, ma si è assistito anche a una riduzione di capacità in termini di massimale dispiegabile sul singolo cliente.

La principale tipologia di sinistri registrati durante l’ultimo anno è sicuramente quella degli attacchi ransomware: si tratta di un tipo di malware che limita l'accesso del dispositivo infettato richiedendo poi un riscatto da pagare per rimuovere la limitazione – di cui vengono registrate declinazioni sempre più sofisticate. Il ransomware è, per definizione, il rischio cyber del 2020-2021 e in oltre il 70% degli attacchi registrati nel quarto trimestre 2020 ha visto come minaccia principale la cosiddetta esfiltrazione di dati. Eventi di questa natura sono nella grande maggioranza dei casi conseguenza di un errore o di una omissione da parte dei dipendenti a seguito di phishing: motivo per il quale le aziende, in un’ottica di prevenzione, devono provvedere alla formazione di tutti i dipendenti con cadenza almeno annuale. Allo stesso tempo, proprio per la forte diffusione di questo crimine, molte compagnie assicurative hanno iniziato a richiedere la compilazione aggiuntiva di un questionario ad hoc per capire il grado di vulnerabilità del cliente a tali rischi di attacco.

Risulta evidente, dunque, come la prevenzione sia un aspetto chiave considerato che, in tutti i settori, chi mette in atto le minacce identifica i propri obiettivi laddove le barriere all’ingresso sono più basse, aumentando così la necessità da parte delle aziende o degli enti di concentrarsi su una gestione completa del rischio informatico.

In questo senso possiamo quindi indicare dieci consigli utili da seguire per limitare il rischio cyber connesso al remote working:

  1. garantire l'accesso remoto alla rete aziendale attraverso una rete sicura (per esempio VPN)
  2. ove possibile, prevedere l’autenticazione «multifactor» (MFA)
  3. utilizzare i servizi da remoto solo tramite protocolli sicuri (per esempio HTTPS)
  4. porre maggior attenzione ai controlli sui dispositivi collegati in remoto (antivirus, gestione delle patch etc.)
  5. garantire la possibilità di bloccare da remoto i dispositivi
  6. implementare la protezione crittografica
  7. effettuare un backup regolare delle informazioni
  8. informare / formare i dipendenti in merito alla possibilità di phishing e di ricevere e-mail malevole
  9. stabilire protocolli specifici affinché gli utenti possano segnalare istantaneamente il verificarsi di qualsiasi situazione anomala o sospetta
  10. evitare o limitare il più possibile la connessione attraverso reti pubbliche e/o non protette.

Tuttavia, la prevenzione “tecnica” non è sufficiente. Per proteggersi in modo efficace da un attacco cyber risulta infatti necessario disporre di una polizza assicurativa che garantisca un perimetro di indennizzo adeguato nel caso di un attacco, capace di agire su due fronti.

Il primo è quello della copertura dei danni propri, articolato a sua volta in diverse tipologie di garanzia:

  • interruzione di attività, con la copertura della perdita di profitto lordo e dell’aumento del costo del lavoro sostenuti dall’assicurato a seguito di un evento cyber;
  • costi e spese, con la copertura di tutti gli oneri sostenuti dall’assicurato e derivanti da una violazione della sicurezza del sistema informatico;
  • protezione dei dati personali, con la copertura di tutti i costi e le spese conseguenti a qualsiasi obbligo legale o normativo derivante da una violazione della confidenzialità di dati personali;
  • costi di difesa risultanti da un’indagine, con la copertura degli oneri sostenuti dall’assicurato come risultato di una indagine da parte di una autorità di regolamentazione a seguito di un evento cyber.

Il secondo fronte è quello della responsabilità civile, relativo cioè ai danni eventualmente richiesti da terzi a seguito di un attacco. In questo caso ci sono due elementi chiave:

  • violazione della sicurezza e della confidenzialità di dati personali, con la copertura di tutti i costi di difesa e i danni derivanti da una qualsiasi richiesta di risarcimento avanzata da un terzo e rivolta contro l’assicurato a seguito di una violazione della sicurezza o della confidenzialità di dati personali;
  • responsabilità derivante dai media, con la copertura di tutti i costi di difesa e i danni derivanti da una qualsiasi richiesta di risarcimento avanzata da un terzo e rivolta contro l’assicurato per sua responsabilità civile multimediale.

Servizi che Marsh offre insieme all’interno di una cornice di assistenza più ampia a disposizione del cliente, che non viene mai lasciato solo sia durante che dopo l’attacco cyber grazie all’integrazione con le procedure aziendali, a una gestione tempestiva dell’evento avverso e un call center dedicato attivo sette giorni su sette e 24 ore al giorno (servizio offerto in collaborazione con la compagnia assicurativa).

Autore

Image placeholder

Niccolò Magnani

Cyber Team Leader, Financial & Professional Risks (FINPRO)

  • Italy