Una frequente quesito che mi viene posto quando si leggono i dati relativi ai rischi ai rischi informatici è se possiamo fermare l’innovazione. La mia risposta è assolutamente no, ma dobbiamo proteggerci e le protezioni non sono solo tecniche.
Un po’ di dati sulla portata del cyber risk
48,8 milioni di attacchi informatici si sono verificati nel 2014 causando danni per $ 445 miliardi. Società della portata di Target sono state vittima del furto di 70 milioni di dati che ha comportato costi per la società pari a $ 248 milioni, mentre il furto di 145 milioni di dati di utenti eBay ha portato ad una riduzione nei loro obiettivi di vendite annuali di $ 200 milioni.
Sulla base di una ricerca svolta dall’organizzazione per la sicurezza dei dati, il Ponemon Institute, il costo medio di un accesso abusivo a dati, un c.d. data breach, è di $ 3,8 milioni, mentre il valore globale dei premi assicurativi per le polizze cyber risk è pari solo a $ 2 miliardi con il 90% delle polizze concentrate negli Stati Uniti. Tuttavia sulla base di stime i premi aumenteranno a $ 20 miliardi nei prossimi 10 anni tenendo conto che il costo annuale dei crimini informatici per le 4 principali economie mondiali è di $ 200 miliardi.
La crescita di questi costi sarà dovuta anche a fenomeni quali l’Internet of Things che porterà alla creazione di oltre 50 miliardi di dispositivi connessi e quindi possibili vittime di attacchi. Ma anche le possibili sanzioni e gli obblighi regolatori aumenteranno con il nuovo regolamento privacy europeo che è in fase di approvazione e prevederà sanzioni pari al 2% del fatturato globale del soggetto che commette la violazione.
Dove nasce il cyber risk?
Gli attacchi informatici possono originare da qualunque componente del business di una società. Informazioni riservate conservate in banche dati in cloud, collegamenti tra le varie componenti della supply chain o con i propri fornitori di sistemi di pagamento e i dati e le informazioni finanziarie dei propri clienti conservate presso banche possono rappresentare la fonte di un attacco informatico.
Non sono solo gli hacker la causa dei cyber attacchi. Spesso gli attacchi informatici sono la conseguenza di malfunzionamenti del sistema informatico della società o semplicemente della disattenzione di un dipendente che dimentica il proprio PC con informazioni riservate.
Quali danni può causare un attacco informatico?
Le categorie di danni che possono derivare da un attacco informatico sono molto varie e vanno, tra gli altri, dal furto di proprietà intellettuale, quale un segreto industriale, e informazioni riservate, ai costi regolatori di notifica alle diverse autorità e alle vittime, ai danni reputazionali e derivanti dalla perdita di business, ai danni finanziari derivanti dal trasferimento di fondi eseguito dagli hacker, alle sanzioni amministrative comminate dalle autorità competenti.
La soluzione è la polizza assicurativa cyber risk?
Questo rischio non viene assicurato tramite polizze cyber risk che forniscono unicamente un risarcimento del danno subito. Un attacco informatico richiede un intervento immediato nelle 48 ore successive al suo verificarsi in modo da limitare la portata dei potenziali danni. Ne consegue che le polizze cyber risk si caratterizzano per la fornitura di servizi di “hot line” che consentono la finitura di servizi immediati di assistenza legale e forensic.
In particolare, l’assistenza legale è necessaria
- per stabilire il privilegio legale sulle informazioni scambiate al fine di evitare che le email scambiate ad esempio tra i tecnici possano essere utilizzate contro la società in un possibile contenzioso,
- per identificare i rilevanti obblighi normativi quali ad esempio gli obblighi di notifica alle competenti autorità e agli individui e le eventuali violazioni che in alcuni casi possono avere anche rilevanza penale,
- per collaborare con le autorità competenti anche nell’acquisizione delle prove e
- per definire la sussistenza di una copertura assicurativa il che può essere una questione alquanto delicata nel caso in cui la società fosse stata a conoscenza di debolezze dei propri sistemi informatici poi sfruttate da parte degli hacker.
La tua polizza potrebbe non proteggerti dal cyber risk
In un report pubblicato da Marsh viene indicato che il 52% dei CEO ritiene che la propria polizza assicurativa copra anche il cyber risk, ma effettivamente solo il 10% delle polizze oggetto della ricerca fornivano questa copertura. Tale circostanza può essere anche fonte di responsabilità per gli amministratori di una società in caso di attacco informatico. Vista la portata del cyber risk secondo le cifre sopra menzionate, si tratta di un fenomeno che ogni società non può ignorare e non è da escludere che in futuro la polizza cyber risk diventerà addirittura obbligatoria per ogni tipologia di società.
L'articolo L’assicurazione cyber risk diventerà obbligatoria? è stato pubblicato originariamente su Tech Economy - The Business Value of Technology.