6 minute read
POLIZZA CYBER: LE PRINCIPALI GARANZIE
Michele Lavaggi è Cyber Leader di AIG, compagnia assicuratrice internazionale che ha nel suo portafoglio anche coperture cyber. Ci spiega quali sono le caratteristiche di queste polizze, che sempre di più, oltre all’indennizzo, prevedono servizi per valutare le vulnerabilità, fornire formazione al personale e far fronte all’attacco una volta che questo si concretizza
La polizza cyber è l’ultimo anello di un percorso virtuoso in cui le aziende devono analizzare i rischi, le esposizioni, verificare i loro sistemi, classificare gli asset e le risorse messe a disposizione per proteggersi. Messe in atto tutte le misure di mitigazione possibili, sappiamo comunque che un rischio zero non esiste mai. Il rischio residuo, quindi, può essere condiviso con compagnie di assicurazione che mettono a disposizione soluzioni di vario tipo. Noi definiamo olistiche quelle che abbiamo predisposto. In altre parole, per noi, la copertura assicurativa non deve essere vista come uno strumento per ottenere un indennizzo, ma come una partnership tra l’azienda e la compagnia assicuratrice. FORMAZIONE DEL PERSONALE Partendo da questo presupposto, pertanto, mettiamo a disposizione dei nostri clienti servizi per prevenire i danni, e quindi anche competenze di terze parti, di nostri partner tecnologici, per verificare eventuali vulnerabilità. Tra i servizi che abbiamo previsto figurano, per esempio, anche piattaforme di e-learning, pensate cioè per la formazione del personale, che è un aspetto fondamentale. Avere dipendenti che aprono allegati o cliccano link contenuti in email non sicure, aprendo quindi la porta a un attacco informatico, fa infatti venir meno qualsiasi misura di sicurezza predisposta in precedenza. Il fattore umano è sempre fondamentale nella cybersecurity e l’anello debole spesso si dimostra proprio l’uomo. Ecco perché la formazione è così importante. Strumenti di questo genere sono gratuiti, forniti attraverso un partner tecnologico che mette a disposizione una piattaforma in 11 lingue. Abbiamo una visione globale e sappiamo che i nostri clienti possono avere filiali in altri paesi del mondo che vanno tutte formate e addestrate nello stesso modo.
VALUTAZIONE DELLE VULNERABILITÀ Altre soluzioni che mettiamo a disposizione sono quelle di VA, cioè di “vulnerability assessment” su perimetri definiti dal cliente. Anche questi sono servizi gratuiti. Pensiamo in questo caso ad aziende che forniscono servizi online ai clienti (come per esempio l’assistenza o la manutenzione predittiva per chi produce macchinari o strumentazioni per la produzione, ndr). Per organizzazioni di questo tipo è importante poter fare una verifica più, in modo da sentirsi tutelate e avere la certezza che i servizi forniti non siano vulnerabili. Questi assessment sono pensati per tutelare i clienti anche dal rischio di pagare penali o costi per un servizio inefficiente. Ecco allora che si configura un rapporto di collaborazione winwin, perché queste soluzioni tecniche di contorno alla polizza non sono fini a se stesse ma consentono di mitigare eventuali danni.
UNA HOTLINE IN CASO DI ATTACCO L’esperienza comunque ci insegna che, nonostante l’attenzione e le soluzioni tecnologiche, gli attaccanti sono bravi e spesso riescono a sfruttare vulnerabilità non note (come le 0-day) e a generare danni. In questa evenienza un prodotto assicurativo può fornire anzitutto un servizio di pronto intervento. AIG, per esempio, mette a disposizione una hotline attiva 24 ore su 24 tutto l’anno, attraverso la quale il cliente entra in contatto diretto con l’assicurazio-
ne e nel giro di un’ora può parlare con specialisti IT, di importanti partner tecnologici che, unitamente a consulenti legali, indicano in che modo comportarsi, sia a livello tecnologico sia in caso di sottrazione di dati. In questi casi, anche la comunicazione può essere importante, e per questo è disponibile anche una consulenza per questo aspetto, allo scopo di fornire le informazioni corrette e nel modo giusto, evidenziando per esempio le attività di contrasto all’attacco.
GRATUITE PER 48-72 ORE Queste consulenze vengono attivate per le 48-72 ore successive all’attacco e sono totalmente gratuite per il cliente. Nella misura in cui l’evento provochi danni che richiedono un impegno ulteriore, l’attività può essere proseguita insieme con il cliente, con costi in questo caso al netto della franchigia della polizza. Tra gli aspetti presi in considerazione non figura soltanto il ripristino del sistema ma anche la verifica dell’integrità dei dati e la bonifica per eliminare i malware eventualmente introdotti. Nel caso in cui i dati siano stati salvati in backup solo parzialmente, può essere anche necessario ricostruirli a mano, con tempi decisamente lunghi. E se dati sono stati sottratti potrebbe essere necessaria anche un’attività di notifica.
COPERTURA DELLA RESPONSABILITÀ CIVILE Per quanto riguarda la polizza cyber di AIG sono due sostanzialmente gli aspetti da evidenziare. Contempla innanzi tutto una copertura della responsabilità civile, che probabilmente per le aziende della gomma ha un’incidenza inferiore rispetto all’interruzione del business, ma che comunque riveste una sua importanza. In questo caso viene predisposta una tutela rispetto alle possibili richieste di risarcimento da parte di terzi, sia per la sottrazione di dati sensibili ma anche per quelli confidenziali, per esempio relativi a una partnership con un’altra azienda per lo sviluppo di un progetto condiviso.
COPERTURA DELLA PERDITA DI PROFITTO Più rilevante ancora, per un’azienda manifatturiera, può essere l’indisponibilità della rete, intesa proprio come infrastruttura tecnologica, che può anche non essere totale, ma configurarsi in un rallentamento, che può portare a una perdita in termini di produttività, e quindi, di profitto. Se quindi viene appurata l’esistenza di un attacco che ha causato problemi alla struttura informatica dell’azienda, i tempi per recuperare la piena operatività possono essere relativamente lunghi e tradursi in un danno, in termini di perdita di profitto, che può entrare a far parte della copertura assicurativa. Questo tipo di copertura opera sia nell’ipotesi di servizi “on premises”, quindi basati su server nella sede dell’azienda, sia nel caso in cui il servizio software sia fornito da terzi (per esempio attraverso il cloud). Se un’azienda si appoggia a una web farm per alcuni servizi informatici e questa viene attaccata, le sue infrastrutture, nella misura in cui sono essenziali per l’attività dell’azienda assicurata, possono essere anch’esse coperte dalla polizza, nel senso che la perdita di profitto conseguente a un loro malfunzionamento viene riconosciuta e coperta al contraente della polizza.
L’IMPORTANZA DI ESSERE CONSAPEVOLI In definitiva, le aziende per poter trasferire il rischio cyber devono essere consapevoli, condurre un’analisi del rischio facendosi aiutare anche da esperti del settore. Per valutare un rischio l’assicurazione ha bisogno di informazioni tecniche e organizzative e quindi effettua un vero e proprio assessment del cliente, a cui viene chiesto come è organizzato rispetto al problema, a partire dalla visione che na ha il suo management. Questo viene fatto attraverso questionari, la cui compilazione può essere anche impegnativa, ma che si rendono necessari, perché l’assicurazione deve sapere nel dettaglio con chi sta lavorando. Del resto, ogni settimana in Italia vengono segnalati due o tre sinistri a settimana, e questo impone di tenere per quanto possibile sotto controllo tutta la situazione dei clienti. AIG ha anche sviluppato un sistema di assessment che può diventare dinamico. I clienti dotati di determinate tecnologie, che accettano di condividere in modo anonimizzato alcune tipologie di log, possono beneficiare di questo controllo dinamico, che tiene conto per esempio di implementazioni tecnologiche e miglioramenti e condurre quindi a ritocchi del premio annuale. u
