Cyber Insurance: cosa sono e perché sono strategiche
Una ricerca del Ponemon Institute del 2014 ha evidenziato come in quell’anno il valore del data breach in Europa sia stato complessivamente stimabile a circa 5 milioni di dollari. La costanza con cui quotidianamente le aziende vengono fatte oggetto di attacchi informatici mirati da parte degli hacker al fine di attingere informazioni dai loro sistemi è ormai notizia di comune diffusione, ed incontra una sempre maggior presa di coscienza da parte degli operatori direttamente interessati.
D’altronde le parole pronunciate durante il World Economic Forum da John Chambers, CEO di Cisco (ovvero una delle più grandi multinazionali di telecomunicazione esistenti), non hanno lasciato molto spazio all’immaginazione: “Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che ancora non sanno di esserlo state”. In altre parole, un quadro della situazione decisamente di forte impatto per il patrimonio di ogni impresa.
Nel caso di una PMI, non bisogna peraltro cadere nell’errore di considerarsi fuori dai giochi: sembra infatti che, stando al Report annuale della Symantec (colosso della cybersecurity a livello mondiale), proprio le piccole medie imprese siano il bersaglio prediletto degli attacchi informatici, ed addirittura 3 attacchi su 5 siano ai loro danni.
In tale scenario sono emerse, con il progredire del tempo, una serie di esigenze inerenti la tutela sia del soggetto attaccato che dei terzi eventualmente lesi nei loro interessi dagli attacchi informatici, ed una progressiva nascita di pacchetti assicurativi dedicati a proteggere situazioni come quelle descritte. Il più valido degli strumenti per far fronte alle minacce sempre più frequenti in rete ed internamente, sembra essere diventata l’implementazione di una strategia assicurativa focalizzata sul cyber risk, resa adeguata attraverso l’introduzione di best practices quali la creazione, a livello aziendale, di Cyber Risk Committee, e di un piano finanziario aggiornato secondo un calcolo dei rischi preciso e congruo. Tali dinamiche si incontrano nella creazione di prodotti detti di “Cyber Insurance”.
Ma in cosa consiste essenzialmente una polizza di Cyber Insurance?
Possiamo definirla come l’insieme dei moduli di copertura assicurativa predisposti, singolarmente o in combinazione tra loro, per mezzo di un’unica policy specifica che abbini i rischi tecnologici e le omissioni umane esistenti anche solo a livello potenziale, ad un valore di polizza congruo. Elementi che incidono al riguardo sono i fattori di responsabilità derivanti dai mancati adempimenti in materia di privacy, i costi di gestione degli incidenti di data breach, l’interruzione della rete di network aziendale, l’estorsione conseguente il blocco di software (si pensi all’ormai dilagante piaga del Cryptolocker, utilizzata in tempi estremamente recenti anche in Italia), i costi di data recovery e di riattivazione attraverso analisi e ripristino dei dati danneggiati da attacchi e ad ultimo la responsabilità o il danno derivante dall’attacco su contenuti multimediali.
Nonostante il ripetersi di attacchi a livello costante, i profili di vulnerabilità non sembrano essere ancora del tutto chiari alle imprese. In un clima di generale inconsapevolezza, secondo cui la sicurezza informatica è ancora vista come un technical issue piuttosto che un business issue, emerge la scarsa conoscenza di quelli che sono i rischi reali derivanti da attacchi di denial service, una scarsa capacità di effettuare l’analisi corretta dei danni subiti, oltre che una generale non attuazione delle strategie di gestione del rischio informatico.
In questa fase storica della normativa in materia di protezione dei dati personali, la quale versa in una situazione di forte cambiamento, riaffermare il ruolo centrale della sicurezza per il contrasto dei crimini informatici è di essenziale importanza. A maggior ragione, ed anche ai fini dell’ottenimento di una maggiore deterrenza, occorre sfruttare la potenzialità offerta dalle strutture che propongono sistemi di cyber insurance per il business dei clienti, poiché viene a configurarsi un investimento concreto e di entità rilevante per coloro i quali decidano di agire a tutela del patrimonio personale di informazioni.
A chi sono rivolte le Cyber Insurances?
I settori più colpiti sono senza dubbio quelli della telecomunicazione e dei provider di servizi finanziari su larga scala. Seguono poi le imprese che esercitano attività di retail e quelle di servizi, manifattura e logistica. Non è rilevante, dal punto di vista di chi effettua l’attacco, quale sia l’informazione prelevata dal sistema poiché, come ormai è noto a chi predispone prodotti commerciali collegati ai settori sopra menzionati, ogni dato di per sé costituisce, se collocato sul giusto mercato e nel giusto contesto di aggregazione, una potenziale ricchezza per chi lo sa sfruttare e rielaborare a proprio vantaggio.
Dotarsi di una polizza adatta, pur non risolvendo alla radice il problema, si colloca come mezzo di primaria importanza, indispensabile nella formazione di una risk strategy pienamente comprensiva di ogni elemento del business. Inoltre aiuta l’imprenditore, e l’intero sistema d’impresa, a concepire in modo maggiormente chiaro quale sia il reale valore delle informazioni trattate e sviluppate, ricavandone anche nuovi fattori di innovazione per il core business stesso.