La polizza cyber protegge l’azienda, ma serve un approccio integrato alla gestione dei rischi.
Il rischio cyber aumenta e si evolve continuamente, mettendo a rischio dati sensibili e beni immateriali, come i diritti di proprietà intellettuale, il know-how faticosamente acquisito nel tempo e la privacy. Gli investimenti in tecnologie informatiche non bastano per prevenire gli attacchi: gli aspetti umani e organizzativi costituiscono in genere il fattore di maggiore vulnerabilità di un’azienda.
Su questa linea di ricerca si focalizza il progetto Hermeneut (Enterprises intangible Risk Management via Economic models based on simulation of modern cyber attacks), parte del programma di ricerca europeo Horizon 2020. L’obiettivo di questo progetto è creare un modello di valutazione del rischio che tenga conto del funzionamento complessivo di una struttura, senza ridurla a una semplice somma delle sue parti e sviluppare un chiaro modello di analisi economica sui costi-benefici della cyber security.
Risk Management al servizio della sicurezza informatica
Un attacco cyber può recare grossi danni economici colpendo gli asset intangibili di un’organizzazione, come la reputazione, i diritti di proprietà intellettuale, le esperienze e competenze accumulate. Per limitare gli effetti degli attacchi informatici, che trovano terreno fertile anche per l’inadeguatezza delle difese e la mancata adozione di piani di investimento in sicurezza, è quindi fondamentale rafforzare la cultura aziendale del rischio.
Alessandro De Felice, presidente ANRA (Associazione Nazionale Risk Manager e Responsabili Assicurazioni Aziendali), in occasione del primo seminario internazionale del programma Hermeneut su “Insurance in Cyber-security” tenutosi a luglio 2018, ha sottolineato come la cyber security non possa essere considerata come materia a sé stante di competenza unicamente dell’area IT dell’azienda, ma debba essere considerata in un’ottica più ampia di Risk Management.
Per questo è utile investire e sviluppare una cultura del rischio in azienda, che infonda consapevolezza rispetto a tutti i diversi elementi utili per proteggere effettivamente la reputazione, i dati, la proprietà intellettuale e garantire la business continuity.
Tra gli ambiti che più incidono sulla sicurezza informatica di un’organizzazione c’è il fattore umano, ovvero tutti i comportamenti dei dipendenti che possono rendere più o meno vulnerabile un sistema informativo. Occorre domandarsi se sia sufficientemente diffusa la consapevolezza dei rischi, se vengano rispettate le regole di sicurezza e in che modo se ne possa facilitare l’osservazione. Particolare attenzione deve essere inoltre posta alla supply chain, punto di ingresso privilegiato dei cyber criminali e dei virus informatici. E’ fondamentale verificare la sicurezza dei dati e la compliance lungo tutta la catena di produzione dell’azienda e dei fornitori.
Il Regolamento Europeo sulla sicurezza dei dati personali (GDPR) ha inasprito le sanzioni per chi non garantisce la sicurezza informatica e dei dati personali. Il trattamento dei dati è d’altro canto fondamentale per andare incontro a clienti che esigono prestazioni sempre più veloci e a portata di click.
De Felice ha evidenziato come sia importante la conoscenza tecnica dei rischi da parte di intermediari, compagnie e broker assicurativi, che devono integrare tutela assicurativa, mitigazione del rischio, governance e compliance. Un approccio integrato ed efficiente è difficile da trovare sul mercato, con il conseguente proliferare di soluzioni assicurative di data protection che non contemplano un approccio che oltre alla gestione del rischio informatico preveda anche la prevenzione. Per attuare una strategia di protezione veramente efficiente, afferma De Felice, “è necessario integrare le varie skill, ad esempio affiancando specialisti nella sicurezza informatica con business continuity manager”. Una buona polizza cyber può sicuramente indennizzare l’impresa dei danni economici derivanti dalle conseguenze, anche legali, di un sinistro informatico, ma non è efficace se non integrata in un piano che comprenda aspetti procedurali, di assessment, business continuity e disaster recovery.
Urnif: Italia ancora sotto attacco. Aumentano gli investimenti a livello globale
Stando al Rapporto Clusit 2018, l’Italia nel 2016 ha riportato danni da attività di cybercrime per quasi 10 miliardi di euro, cifra che supera dieci volte gli investimenti in sicurezza informatica. In questi mesi, secondo il CERT (Computer Emergency Response Team) della Pubblica Amministrazione, utenti e organizzazioni italiane sono sotto le mire del malware Urnsif, già noto alle autorità, a cui però sono state apportate delle modifiche nelle modalità di download del codice malevolo. L’attacco avviene ancora tramite false comunicazioni commerciali, con allegati di tipo Excel che, una volta aperti, scaricano nel sistema un trojan bancario, capace di rubare dati, intercettare le attività dell’utente e accedere al suo conto corrente.
La consapevolezza sta crescendo, ma non abbastanza. L’Osservatorio Information Security & Privacy 2017 del Politecnico di Milano attesta un esiguo 27% di aziende italiane protetto con una polizza cyber: quasi il 40% non ha intenzione di ricorrere alla tutela assicurativa o non ne conosce la possibilità e il 35% non ha ancora deciso se proteggersi o meno e come farlo. La consapevolezza dei rischi è ancora molto bassa in Italia se confrontata agli Stati Uniti: il Report BDO Global Network 2017 registra una media è di 1,5 ogni dieci imprese che si è tutelata dal rischio cyber, contro una media di una su tre negli USA. Eppure i riflettori sono stati puntati proprio su questi temi per diversi mesi, con il necessario processo di adeguamento al GDPR.
Qualcosa si sta sicuramente muovendo a livello globale. Lo studio State of Cyber-Resilience 2018: Gaining ground on the cyber attacker di Accenture registra un miglioramento nella capacità delle imprese di difendersi dalle minacce informatiche. Nonostante la frequenza crescente degli attacchi ransomware, raddoppiata dallo scorso anno, le aziende risultano prevenire l’87% degli attacchi mirati, rispetto al 70% del 2017. Il 13% degli attacchi riesce ancora a penetrare i sistemi aziendali, per una media di 30 violazioni di sicurezza effettivamente riuscite ogni anno, con danni rilevanti agli asset aziendali. Il mercato della cyber security sta crescendo dai circa 120 miliardi di dollari nel 2017 ai 180 miliardi previsti nel 2021.