di Evelin Gottardi
Il 2020 sarà un anno ricordato senza dubbio per la Pandemia causata dal COVID 19 che ha tragicamente sconvolto le nostre abitudini di vita, ci ha costretti a forzati lockdown e ci ha imposto stili di vita e abitudini lavorative a cui non eravamo abituati.
La Pandemia ha portato con sé una serie di conseguenze non solo per quanto riguarda l’emergenza sanitaria e la crisi economica derivante dall’impatto che il Covid ha avuto su particolari settori – pensiamo al settore turistico in primis ai settori del commercio e della ristorazione – ma anche per l’incredibile incremento del Cybercrime che si è registrato nell’ultimo anno, e anche in questo caso sono i numeri a darci l’evidenza della dimensione del problema.
Il Rapporto Clusit 2021 in un confronto tra gli attacchi cyber di grave entità registrati nel 2020 a livello globale rispetto ai 4 anni precedenti la Pandemia, rileva un aumento pari al 66%; nel solo anno 2020 si sono verificati infatti attacchi gravi di dominio pubblico pari a 1.871, il 12% in più rispetto al 2019.
Diversi sono i fattori che oggi espongono Istituzioni ed Aziende a questi rischi in modo maggiore rispetto al passato. Il processo di digitalizzazione che ha investito tutti i settori con importanti investimenti da parte delle Aziende del settore sia Pubblico sia Privato, ha avuto una straordinaria accelerazione a causa della Pandemia che ha costretto tutti a ricorrere al supporto dei sistemi informatici per consentire il perseguimento delle normali attività. Il ricorso allo Smart working, che per una parte delle imprese era già una pratica in uso, è stato esteso alla quasi totalità delle Imprese di tutti i settori salvo poche esclusioni e questo ha determinato un ampliamento dei parametri di difesa delle aziende ed ha evidenziato nuovi punti di vulnerabilità.
Il Clusit stima che entro il 2024 il costo del crimine informatico potrebbe essere nell’ordine di 20-25 miliardi di euro l’anno mentre gli investimenti in sicurezza nel 2020 ammontavano a soli 1,5 miliardi di euro, segnale di arretratezza rispetto agli altri Paesi dell’UE e che pongono il nostro paese agli ultimi posti per la scarsa digitalizzazione e competenze digitali.
Tutto ciò riveste un importante significato nella lettura dei dati se consideriamo che l’85% delle violazioni è determinato da errore umano.
L’impatto economico della pandemia ha costretto le imprese italiane a fronteggiare le aumentate sfide di sicurezza con budget ridotti: il 19% ha diminuito gli investimenti in cybersecurity (contro il 2% del 2019) e solo il 40% li ha aumentati (era il 51% l’anno precedente). Ma per oltre un’impresa su due (54%) l’emergenza è stata un’occasione positiva per investire in tecnologie e aumentare la sensibilità dei dipendenti riguardo alla sicurezza e alla protezione dei dati.
Durante la pandemia, gli attacchi di phishing sono aumentati del 6.000%, è quanto emerge dal Rapporto di Minsait (società del gruppo Indra) sulla Digital Maturity in ambito Cybersecurity.
Tuttavia, sempre secondo lo stesso rapporto, il 68% non ha ancora la figura di un CISO (Chief Information Security Officer), come manager responsabile della sicurezza delle informazioni e del suo allineamento con gli obiettivi aziendali. Inoltre, l’82% delle aziende non ha registri aggiornati degli asset digitali da proteggere e il 90% non utilizza le tecniche di Cybersecurity più avanzate, aspetti essenziali per avere una protezione completa.
Come affrontare il rischio Cyber?
Un approccio corretto per la valutazione del rischio deve tener conto di un attento ed approfondito lavoro di Risk Assessment che non deve riguardare solamente la rete dell’organizzazione ma deve tenere in considerazione tutti gli attori coinvolti nel processo di procurement e nella supply chain per verificare se vi siano i requisiti di sicurezza in grado di garantire in maniera efficiente contro possibili minacce che possano colpire direttamente la rete dell’organizzazione o penetrare a causa della vulnerabilità dei sistemi di protezione dei soggetti connessi che intervengono nella catena produttiva e/o distributiva di beni e servizi.
L’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) ha rilevato che nel 2021 ci saranno quattro volte più attacchi alla catena di approvvigionamento del software rispetto al 2020 – i cosiddetti supply chain attack.
Non è più sufficiente quindi difendere solo la superficie di attacco della propria organizzazione, ma è indispensabile proteggersi dalle compromissioni della rete all’interno dei partner commerciali che sono coinvolti nella catena di approvvigionamento.
In questa fase sarà necessario inoltre identificare in maniera chiara i rischi potenziali conseguenti ad un possibile cyber attack:
- Business Interruption
- Danno reputazionale e di immagine
- Diffusione di informazioni sensibili
- Violazione di informazioni finanziarie
- Violazione di proprietà intellettuali
- Perdite di quote di mercato
- Appropriazione di identità
- Azioni legali da parte di terzi
Nella fase successiva di Risk treatment le organizzazioni dovranno identificare ed adottare tutte le misure necessarie in termini di strumenti di protezione e controllo al fine di prevenire i possibili tentativi di intrusione:
- formare il personale e sensibilizzare dipendenti ed utenti per diffondere una cultura capillare della sicurezza informatica, così che il personale sia preparato ad affrontare i rischi informatici a tutti i livelli;
- dotarsi di connessioni sicure, autenticazione multi fattore per aggiungere un ulteriore livello di protezione e protezione perimetrale per assicurare che i firewall siano opportunamente configurati per individuare tentativi di connessioni non autorizzate;
- dotarsi di strumenti di analisi e verifica predittiva che grazie all’intelligenza artificiale e le machine learning siano in grado di identificare in tempi rapidi le possibili minacce riducendo il time-to-discovery.
Inoltre, per evitare possibili intrusioni determinate dalle “debolezze” dei soggetti che intervengono nella supply chain, si riportano qui di seguito:
Le raccomandazioni per i clienti
- identificare e documentare i fornitori e i prestatori di servizi;
- la definizione di criteri di rischio per diversi tipi di fornitori e servizi, come le dipendenze tra fornitore e cliente, le dipendenze critiche del software, i single point of failure;
- monitoraggio dei rischi e delle minacce della catena di fornitura;
- gestione dei fornitori durante l’intero ciclo di vita di un prodotto o servizio, comprese le procedure per gestire prodotti o componenti a fine vita;
- la classificazione delle risorse e delle informazioni condivise con i fornitori o accessibili a questi ultimi, e la definizione di procedure pertinenti per accedervi e gestirle;
- il rapporto suggerisce anche possibili azioni per garantire che lo sviluppo di prodotti e servizi sia conforme alle pratiche di sicurezza. Si consiglia ai fornitori di implementare buone pratiche per la gestione delle vulnerabilità e delle patch, per esempio.
Le raccomandazioni per i fornitori
- garantire che l’infrastruttura utilizzata per progettare, sviluppare, produrre e fornire prodotti, componenti e servizi segua pratiche di sicurezza informatica;
- implementare un processo di sviluppo, manutenzione e supporto del prodotto che sia coerente con i processi di sviluppo del prodotto comunemente accettati;
- monitoraggio delle vulnerabilità di sicurezza segnalate da fonti interne ed esterne che includono componenti di terze parti utilizzate;
- mantenere un inventario delle risorse che includa le informazioni rilevanti per le patch.
Pur adottando tutte le misure di prevenzione ed investendo nell’implementazione dei sistemi di controllo e monitoraggio, le organizzazioni non possono dirsi certe al 100% di aver gestito il rischio di un possibile cyber crime.
L’importanza dell’AUTODIAGNOSI
È importante nel processo di analisi e valutazione dei rischi riuscire ad identificare quelli che possono essere gestiti e quelli che per gravità è opportuno trasferire.
Il trasferimento del rischio consente alle organizzazioni di limitare la propria esposizione e gli effetti negativi che un determinato evento potrebbe comportare mettendo in discussione la continuità del business.
L’esempio più classico e conosciuto è quello di trasferire ad una Compagnia di assicurazione, attraverso specifici contratti, fette di rischio che potrebbero, in caso di evento dannoso, mettere in crisi l’organizzazione.
Quando si parla di cyber risk il trasferimento del rischio è molto più complesso e non può prescindere da un’analisi accurata e preventiva che tenga conto di tutti i fattori fin qui elencati, inclusa la necessità che l’organizzazione metta in atto tutte le misure di prevenzione possibili per evitare e/o mitigare il danno.
Da un’indagine condotta nel corso del 2020 da alcuni dei principali operatori del settore assicurativo specializzati nelle coperture Cyber – Blueunderwriting con AXA XL e AIG – è emerso come le coperture Cyber fatichino a penetrare il mercato italiano nonostante la Pandemia abbia comunque dato un’accelerata netta alla consapevolezza che si tratta di coperture assicurative fondamentali per la tutela dell’Azienda.
Nel 2019 un terzo del campione circa ha dichiarato di aver attivato coperture assicurative di trasferimento del rischio cyber (in linea col 2018), suddivise fra imprese che hanno scelto polizze completamente dedicate al cyber risk (19%) e altre che hanno preferito assicurazioni generaliste che coprono in parte questo rischio (11%). Il 37% sta valutando (+12% sul 2018), il 23% non è al momento interessato, il 10% non le conosce.
Solo metà del campione gestisce il rischio cyber con un processo di Risk Management che coinvolge l’intera azienda, il 40% affida questa attività alla funzione IT o a un’altra singola divisione, mentre nel 10% dei casi il cyber risk non viene nemmeno monitorato costantemente.
Il sondaggio effettuato sullo stesso campione dal Politecnico di Milano per il 2020 rileva che è quasi raddoppiata la domanda a causa dell’incremento dei fermi aziendali informatici.
Come orientarsi tra le varie proposte dell’insurance?
Il panorama assicurativo è sempre molto ampio e complesso quando si tratta di dover valutare le singole proposte che le Compagnie propongono.
Sicuramente in tema di Cyber Security la storicità a disposizione degli Assicuratori in merito alla frequenza ed all’entità dei danni è molto limitata trattandosi di una tipologia di rischio molto recente.
Se l’analisi viene condotta a livello Internazionale vi sono sicuramente dei dati maggiori sui quali anche gli assicuratori nazionali hanno lavorato per determinare l’evoluzione di questo rischio e quindi elaborare delle proposte. Se vediamo l’aumento dei costi delle coperture solo nell’ultimo anno capiamo che le stime fatte in precedenza forse non erano in linea con l’effettiva evoluzione del problema.
Oggi le migliori coperture assicurative offerte dagli Assicuratori per garantire una copertura efficiente in caso di attacco, devono prevedere una soluzione integrata con i responsabili della Sicurezza Informatica dell’organizzazione.
La copertura deve inoltre considerare tutti gli impatti dannosi sull’azienda in termini di danno sia diretto sia indiretto oltre alle responsabilità nei confronti di terzi nel caso di furto/smarrimento/sottrazione dei dati per i quali vi è un obbligo di tutela protezione e conservazione come previsto dal GDPR.
Focalizzando l’attenzione sul rischio ransomware, correlato nella maggior parte dei casi ad una richiesta di riscatto, a titolo esemplificativo vediamo che per quanto accaduto in Italia il riscatto richiesto si aggira in media dai 10.000 ai 100.000 dollari, indicativo di un impatto economico non devastante se non fosse per le conseguenze che può avere.
Lo strumento assicurativo non deve quindi prevedere solamente la copertura per questa tipologia di rischio, ma deve fornire garanzie e avere dei massimali in grado di supportare efficacemente l’azienda nel momento in cui dovesse accadere l’evento “catastrofico”.
Bisogna considerare infatti i costi per l’indagine, la bonifica, il ripristino dei sistemi, l’eventuale notifica al Garante Privacy e, non ultimo, all’indennizzo in caso di interruzione dell’attività che comporti un fermo dell’attività aziendale superiore alle 24/48 ore.
Un insieme di danni e costi, il cui ammontare può raggiungere diverse centinaia di migliaia di euro, addirittura di milioni in caso di fermo di attività prolungato; ogni violazione di dati sulle organizzazioni, costa in media all’azienda impattata 3,86 milioni di dollari a livello globale secondo quanto riportato nel report di Ibm Cost of a Data Breach 2020.
Gli aspetti fondamentali da tenere in considerazione riguardano quindi da un lato le garanzie e i massimali, e dall’altro la possibilità di un intervento diretto degli assicuratori per garantire il ripristino dei sistemi entro le 48/72 ore dal momento che il costo del sinistro è direttamente proporzionale alla durata dell’attacco.
Le migliori proposte assicurative del mercato prevedono oggi la copertura per:
| I crediti di terzi derivanti da una perdita finanziaria o da una perdita sicurezza della rete dell’assicurato o la mancata protezione delle informazioni riservate |
| Indagine e difesa delle azioni normative derivanti da un fallimento sicurezza della rete o la mancata protezione delle informazioni riservate, compresa la copertura per tali multe e sanzioni se consentite dalla legge |
| Valutazioni PCI-DSS (Payment Card Industry Data Security Standard) per la mancata protezione dei dati delle carte di pagamento |
| Costi delle notifiche, delle pubbliche relazioni e di altri servizi per assistere nella gestione e mitigazione di un incidente informatico; sono inclusi i costi di consulenza legale e monitoraggio dell’identità per le vittime di una violazione |
| Costi di indagine forense a causa di un evento informatico coperto |
| Costi per il ripristino dei dati elettronici da duplicati o, se non possibile, costi per la ricerca, la raccolta e l’assemblaggio di dati elettronici a causa di un evento informatico coperto |
| Risponde a un’interruzione materiale delle operazioni aziendali di un assicurato che prevede l’interruzione dell’attività e alcune spese dovute a un evento informatico coperto |
| Rimborso dei pagamenti di riscatto sostenuti per porre fine a un evento informatico coperto |
| Perdita di reddito aziendale derivante da danni fisici alla proprietà a causa di un evento informatico coperto |
| Perdita associata a danni materiali di prima parte a causa di un evento informatico coperto |
| Reclami di terze parti relativi a lesioni fisiche o danni materiali di terze parti causati da un errore di sicurezza o da un evento sulla privacy |
| Reclami di terze parti relativi a lesioni fisiche e danni materiali di terze parti causati da una violazione di un sistema informatico che fa parte del prodotto di un assicurato |
Sono in ogni caso richiesti degli standard minimi di sicurezza informatica per garantire l’operatività della copertura o addirittura la possibilità che questa venga concessa dall’Assicuratore. Qui di seguito un esempio non esaustivo dei requisiti minimi richiesti:
- backup dei Dati con una frequenza almeno settimanale ed assicurare che tali backup siano archiviati in ambienti separati dalla Rete;
- presenza, costantemente attivo ed aggiornato, di un software anti-malware a protezione del proprio Sistema Informatico;
- presenza di password d’accesso (minimo 8 caratteri inclusi caratteri alfanumerici con aggiornato almeno trimestrale delle stesse) al proprio Sistema Informatico ed alla Rete ed al FIREWALL;
- presenza di password d’accesso alla rete WIFI (tecnologia WPA2);
- utilizzo di un Sistema Operativo oggetto di periodico aggiornamento da parte della software-house licenziante, al momento della stipula de contratto.
Nel caso di utilizzo di apparecchiature elettroniche mobili:
- blocco automatico con password (dopo massimo 15 minuti) dell’apparecchiatura elettronica mobile;
- i dati contenuti nei supporti di memorizzazione dell’apparecchiatura (ad esclusione della RAM) inerenti all’attività siano protetti con sistemi di criptazione;
- connessione BLUETOOTH non visibile e configurata per la connessione solo con apparecchiature esplicitamente autorizzate.
L’elemento fondamentale rimane quindi quello legato alla prevenzione del rischio non solo per ridurre la possibilità che un attacco cyber provochi dei danni all’organizzazione ma per far si che in caso di sinistro la copertura assicurativa si riveli efficiente ed efficace e possa garantire all’Azienda la piena tutela.
