Protection

Polizze Cyber: come proteggersi

Il Cyber Risk è un evento sempre più certo e temuto: nessuna azienda può ritenersi immune dal problema

 

Le violazioni cyber sono tra i rischi più diffusi e costosi per le aziende. Eppure solo poche aziende sono in grado di quantificare realmente la propria esposizione al rischio informatico, compromettendo la capacità di proteggersi in modo efficace. Il mercato delle polizze cyber è oggi in rapida evoluzione, ormai in grado di offrire soluzioni personalizzate, premesso un adeguato processo di analisi e valutazione.

Criticità nella valutazione del rischio

Secondo la Geneva Association, organismo internazionale impegnato in importanti questioni strategiche assicurative e relative al Risk Management, i danni causati dagli attacchi cyber si attestano tra 100 e 1.000 mld di $ e incidono sul PIL dei paesi sviluppati fino all’1,6%.

La consapevolezza del rischio, aumentata nettamente negli ultimi anni, scarseggia però ancora tra le piccole e medie imprese, che risultano essere tra le più colpite.

Le molteplici conseguenze di un attacco ai sistemi informatici aziendali possono avere grosse ricadute sui guadagni e vengono raramente considerate nella loro totalità:

  • furto/corruzione di dati sensibili interni e/o di terzi
  • danni patrimoniali derivanti da interruzione dell’attività
  • danni patrimoniali causati da frodi finanziarie
  • danni materiali agli asset aziendali
  • danni materiali ai clienti
  • danni di immagine

Rimane complesso per le aziende valutare la propria capacità di difesa in ambito di sicurezza informatica, a quali attività dare la priorità o se sia opportuno trasferire una parte del rischio al mercato assicurativo.

I parametri da considerare sono spesso di difficile misurazione: quanti dati sensibili vengono trattati, le policy di protezione dei dati, la geolocalizzazione delle sedi, sistemi firewall e antivirus, monitoraggio delle intrusioni, transazioni con carte di credito, gestione della privacy, utilizzo della crittografia, strategie di backup, accesso fisico ai sistemi, accesso da remoto, outsourcing di servizi informatici, esposizione sui social network, strategie di business continuity.

Come scegliere la polizza

La certezza di inviolabilità non esiste e il trasferimento del rischio al mercato assicurativo in questo campo è una necessità.

La stipula di una polizza cyber è più delle altre un processo che parte dall’analisi delle specifiche necessità dell’azienda alla creazione di una cultura aziendale consapevole dei rischi e capace di implementare le misure di sicurezza. La peculiarità del rischio e l’immaturità del settore, ancora sprovvisto di standard assicurativi di riferimento, rendono indispensabile una buona conoscenza del mercato. Interpellare direttamente una compagnia assicurativa potrebbe portare a soluzioni non rispondenti alle esigenze dell’assicurato: molte aziende si rivolgono alla consulenza assicurativa per individuare le strategie da adottare.

Le soluzioni assicurative sono di solito strutturate in macro‐moduli attivabili o meno, generalmente riguardanti:

  • responsabilità Civile verso Terzi, tipicamente per violazione della privacy o utilizzo non autorizzato dell’infrastruttura informatica;
  • costi di reazione indennizzabili a fronte di sinistro;
  • danni indiretti.

Per valutare l’idoneità di una copertura assicurativa occorre individuare i possibili scenari di rischio e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza delle intrusioni subite.

E’ innanzitutto utile analizzare in ottica Cyber le polizze che già coprono asset aziendali e verificare se e in quale misura considerino le problematiche ICT correlate: polizza Incendio, Danni Indiretti o Business Interruption, Elettronica, RC Generale – Responsabilità Civile Generale, RC Professionale – Responsabilità Civile Professionale, RC Prodotti – Responsabilità Civile per prodotto difettoso, D&O – Responsabilità degli Amministratori e dei Dirigenti.

E’ poi da ricordare che la particolarità del rischio cyber lo rende difficile da inserire efficacemente in una copertura assicurativa generale: per questo è consigliabile dotarsi di una polizza specifica.

L’assicurazione deve proteggere non solo i dati immagazzinati all’interno della sede operativa, ma anche quelli presenti all’esterno, per esempio su laptop, cellulari e tablet dei dipendenti di un’azienda: numerosi esperti, infatti, ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nei prossimi anni.

Molte coperture includono i costi di indagine delle autorità di controllo e vigilanza successive al sinistro, le spese legali, la consulenza di esperti di comunicazione di crisi, esperti informatici e periti.

Vengono invece spesso esclusi i costi legati all’impiego di personale dedicato alle attività di ripristino.

Bisogna prestare particolare attenzione nel caso l’acquisizione e raccolta dei dati sensibili sia nelle mani di un terzo, sincerandosi che abbia adottato adeguate misure di cyber security e sia a sua volta munito di adeguata copertura assicurativa.

Anche in ambito cyber ricorre la bipartizione tra polizze loss occurrence e claim’s made. Le prime restringono la copertura a perdite di dati o attacchi che si verificano dal momento iniziale di copertura; tuttavia, le violazioni del sistema possono essere latenti e venire individuate a distanza di tempo dalla loro realizzazione, per cui una copertura che non preveda almeno una limitata retroattività potrebbe in tali casi rivelarsi inadeguata. Per questo motivo è consigliabile una copertura claim’s made, che assicuri anche eventi dannosi occorsi precedentemente alla decorrenza della polizza e denunciati in seguito, purchè l’assicurato non ne fosse già a conoscenza.

Molte polizze escludono la copertura in relazione al pagamento di riscatti chiesti dal particolare tipo di malware, i ransomware, per liberare il sistema: l’assicurabilità su tali operazioni è del resto dubbia in numerose giurisdizioni.

Le misure di Loss Prevention sono cruciali

La corretta adozione delle misure di prevenzione richieste in polizza quale condizione per la sussistenza delle coperture sarà un tema rilevante in futuro.

Spesso le clausole di esclusione considerano la mancata implementazione di adeguate misure di loss prevention e vanno valutate attentamente possibili eccezioni legate a misrepresentation, vale a dire alla presenza di lacune/omissioni negli elementi e dati forniti dall’assicurato per la valutazione del rischio.

La diffusione della cyber insurance è stata finora ostacolata, oltre che da una percezione parziale della diffusione del fenomeno e dell’entità del rischio, dagli alti costi di copertura e dalla difficoltà nell’individuazione della copertura e del wording di polizza adeguato. Il problema è stato amplificato dal fatto che, trattandosi di un mercato ancora in fase di sviluppo, le compagnie non dispongono di dati storici su un arco di tempo sufficientemente esteso da consentire una completa valutazione del rischio.

L’ambito assicurativo legato al cyber risk sembra tuttavia destinato ad uno sviluppo rilevante nel prossimo futuro.

Rischi emergenti

Rischi emergenti: le tecnologie che stanno cambiando il panorama dei rischi

Le scelte per un futuro responsabile

 

Lo sviluppo delle tecnologie digitali sta facendo emergere rischi nuovi, meno prevedibili nelle conseguenze. Il World Economic Forum ha stilato un rapporto con le indicazioni da seguire per garantire la giusta tutela ai singoli, alle imprese e alla società in generale. Tutti gli stakeholder devono essere parte attiva nel necessario processo di rinnovamento della gestione del rischio.

Le vulnerabilità insite nello sviluppo tecnologico

Il rapido aumento della potenza dei computer, la crescente disponibilità di dati, il complicarsi degli algoritmi e la sempre maggiore interconnessione globale stanno guidando una trasformazione radicale, i cui effetti sono già visibili.

Esaminiamo alcuni dei settori dove i cambiamenti sono più marcati.

Droni

Propriamente detti Aeromobili a Pilotaggio Remoto (APR), sono dispositivi di varie dimensioni capaci di volare senza necessità di un pilota a bordo.

Potenzialità

Si presteranno a sempre maggiori usi in futuro. La Goldman Sachs Global Investment Research stima che il mercato potenziale dei droni si attesti attorno ai 20 bilioni di dollari, specialmente nel settore delle costruzioni, ma anche nell’agricoltura e in campo assicurativo.

Si prevede inoltre che le loro batterie continueranno a crescere in densità, permettendo un maggior tempo e una maggior efficienza di volo, contemporaneamente diminuendo nei costi.

Rischi

La sicurezza è uno dei maggiori problemi quando si parla di droni. Non è remoto, infatti, il rischio che un drone si scontri con un aereo, come stava per accadere con un jet carico di passeggeri nel cielo di Londra. Il governo londinese ha commissionato una serie di test per quantificare i danni che potrebbero essere causati da uno scontro e si stanno sviluppando una serie di tecnologie per limitare i rischi. I rischi legati alla privacy sembrano finora limitati, ma potrebbero crescere con la prossima aggiunta di tecnologie di riconoscimento facciale.

Le soluzioni dell’industria assicurativa

I quadri regolativi in materia sono disomogenei e c’è ancora incertezza riguardo all’attribuzione delle responsabilità. Gli Stati Uniti e l’Europa stanno sviluppando regolamenti per gestire i cambiamenti in atto, stimolati dalla forte domanda di droni per attività ricreative e per la fotografia. In Italia, per l’uso anche ricreativo di droni, stipulare una polizza assicurativa è obbligatorio.

Intelligenza artificiale

L’intelligenza artificiale è già onnipresente, dagli assistenti domestici ai software che registrano e predicono le nostre preferenze e i nostri gusti, e continuano ad essere migliorate. Google ha registrato, ad esempio, un aumento di accuratezza della sua tecnologia di riconoscimento visivo del 93,9% nel 2016, dopo un miglioramento dell’89,6% nel 2014.

Potenzialità

Il mercato dell’intelligenza artificiale rivoluzionerà i sistemi produttivi nel prossimo decennio. Secondo Bloomberg, alcune funzionalità di intelligenza artificiale si troveranno presto incorporate in quasi tutti i software: Google Photos e Amazon Alexa sono dei primi esempi.

Rischi

I rischi più discussi legati alle tecnologie di intelligenza artificiale sono di natura socio-economica. C’è timore per il futuro dell’occupazione, per la funzionalità di sistemi di sicurezza sociale e servizi di welfare.

Le aziende che affidano potere decisionale a sistemi automatizzati devono sempre più affrontare anche rischi finanziari e reputazionali, per non dimenticare anche i rischi fisici che possono derivare da difetti nella produzione, utilizzo improprio degli strumenti, carenza di manutenzione o atti dolosi.

Le soluzioni dell’industria assicurativa

Nel caso eventuali danni siano facilmente attribuibili all’errore umano di specifici operatori, i modelli assicurativi esistenti potrebbero ancora essere sufficienti. Tuttavia, con il complicarsi progressivo della tecnologia, l’attribuzione di responsabilità sarà sempre meno facile, specialmente con la diffusione della robotica e dei sistemi automatici. Dovranno presto essere messi a punto programmi assicurativi che includono la protezione da danni fisici e interruzione delle attività operative causati da sistemi anonimi.

Internet of things

Sensori incorporati in ogni tipo di oggetto e connessi in rete o alla rete globale stanno cominciando a invadere la nostra vita quotidiana. L’International Data Corporation, compagnia di analisi di mercato, ha registrato una crescita del mercato legato alle wearable technologies, le tecnologie indossabili, del 3,1% nel terzo quadrimestre del 2016. Il mercato delle smart home ha avuto uno sviluppo più contenuto, contando comunque 16.9 milioni di sistemi intelligenti per la casa nel 2015, solo nel Nord America.

Potenzialità

Molti analisti credono che il mercato dell’internet of thing legato all’industria sconvolgerà in maniera dirompente il mercato ancor più di quello legato al consumo. Sarà infatti sostenuto da asset centrali per la crescita globale: l’energia, la sanità, i trasporti. Il mercato delle soluzioni IIoT (Industrial Internet of Things) in Cina è cresciuto dell’82% tra il 2010 e il 2015, ma lo sviluppo di questo settore è ben visibile ovunque.

Rischi

Tutti i dispositivi connessi possono potenzialmente fungere da punti d’accesso per violazione di dati e attacchi all’intera rete. In questi mesi di preparazione e adattamento al Regolamento Generale sulla Protezione dei Dati (GDPR), è stato sottolineato, almeno a livello europeo, il problema della protezione dei dati e del diritto alla privacy dei cittadini. Lo sviluppo delle tecnologie IoT sta cambiando significativamente il modo in cui i dati personali vengono raccolti, conservati, analizzati e utilizzati.

Le soluzioni dell’industria assicurativa

L’utilizzo di dispositivi connessi in rete potrebbe permettere una maggiore interazione tra assicurato e assicuratore, con un conseguente miglioramento del servizio offerto. Installare sensori di monitoraggio in casa aiuterebbe inoltre l’intervento tempestivo in caso di sinistro, limitandone i danni. Vale lo stesso per le attività produttive, che potrebbero facilmente ottenere soluzioni assicurative personalizzate.

Attacchi informatici

Cyber Risk, violate l’80% delle imprese italiane

La protezione dai rischi informatici rappresenta per le aziende un’attività sempre più strategica per il business: dall’inviolabilità delle reti alla protezione dei dati sensibili e dei clienti, diventa fondamentale conoscere le criticità e tutelarsi anche con polizze cyber risk.

Ad essere temuti, come rileva una recente indagine condotta dai Lloyd’s fra 350 grandi imprese con fatturato oltre i 250 milioni, sono sia i rischi interni, riconducibili a errore umano o rivelazioni non intenzionali (41%) e a furti o perdite di apparecchiature (41%), sia le minacce esterne, come l’attività di hackers a scopo di lucro (51%), per ragioni di carattere politico (46%) o per i concorrenti (41%).

Considerando che il 92% delle imprese ha dichiarato di aver subito una violazione della sicurezza informatica nell’arco degli ultimi 5 anni, in alcuni casi registrando anche la perdita di dati relativi ai clienti,  non stupisce che nel 54% dei casi siano proprio i CEO ad assumersi la responsabilità diretta della sicurezza informatica.

Sorprende però come meno della metà degli intervistati (solo il 42%) ritenga probabile subire ulteriori cyber attack, sottovalutando quindi i pericoli e le conseguenze, in termini di continuità operativa e reputazione, che questi rappresentano.

Pericolo sottovalutato maggiormente in Italia dove, nonostante l’80% delle aziende abbia subito una violazione informatica, solo il 33% teme si possa ripetere.

Tutelarsi è possibile, ma solo il 23% è a conoscenza di soluzioni assicurative contro il cyber risk.

Per offrire alle aziende un servizio di consulenza qualificato, è nata, dalla partnership con My Way S.r.l., Assiteca Sicurezza Informatica.

La società offre servizi nell’ambito della sicurezza logica con attività di Vulnerability Assessment e Penetration Test volte a ricercare le vulnerabilità di un sistema di rete, identificare gli elementi che possono essere oggetto di tentativi di intrusione non autorizzati e mostrare gli effetti dei danni che un attacco reale causerebbe all’azienda.

Ciò che emerge a seguito di queste attività consente di poter programmare e pianificare tutte le azioni necessarie per eliminare le criticità evidenziate e tutelare l’azienda.

Dal punto di vista assicurativo, le polizze Cyber Risk  coprono i danni materiali e immateriali diretti e indiretti (fra i quali le perdite di profitto) e la Responsabilità Civile verso terzi (fornitori e clienti) dei quali l’azienda detiene informazioni sensibili, commerciali o critiche che rientrano nell’ambito della proprietà intellettuale. Da segnalare inoltre la garanzia Crime che protegge da furti di denaro, valori, merci e altri beni avvenuti tramite frodi informatiche e riconducibili sia all’infedeltà dei dipendenti, sia a soggetti esterni rispetto all’azienda.

Gli operatori dei servizi IT possono tutelarsi con Polizze di Responsabilità Civile Professionale, che coprono eventuali richieste di risarcimento a seguito di errori o omissioni, ad esempio nell’ambito dello sviluppo di un software o di un sito informatico.