La pandemia da Covid-19 ha alimentato fortemente i sinistri cyber che sono aumentati sia in termini di numero sia in termini di gravità. L’improvviso passaggio al tele-lavoro su scala mondiale ha reso molte aziende più vulnerabili dal punto di vista informatico e più esposte al cyber risk ed è stato probabilmente uno dei motivi principali che ha portato all’accrescimento dei sinistri post Covid-19.
Indice degli argomenti
Cresce il cyber risk: i numeri del fenomeno
Lo avevano già predetto a ottobre 2020 gli esperti nella gestione ed analisi del rischio legato al mondo cyber: di un campione di 1.000 intervistati, provenienti da 56 paesi in tutto il mondo, l’86% riteneva che la frequenza degli attacchi cyber sarebbe aumentata a seguito della Covid-19, per il 54% sarebbe stata invece la severità degli attacchi a crescere.
Il sondaggio è stato condotto nell’ambito del report “Cyber Risk Outlook 2020” stilato da Willis Re, divisione di Willis Towers Watson, società leader mondiale di consulenza, brokeraggio e soluzioni riassicurative. La causa dei sinistri, secondo il sondaggio, è da ripartire quasi uniformemente tra violazione dei dati, attacchi ransomware e interruzione delle attività.
Inoltre, è aumentata dopo la pandemia l’aspettativa che possa verificarsi un evento cyber di portata catastrofica, che possa generare richieste di risarcimenti pari o superiori ai 10 miliardi di dollari. Prima della Covid-19, infatti, solo il 13% degli intervistati lo riteneva possibile nell’arco di cinque anni. A ottobre 2020 già un terzo degli intervistati ha ritenuto possibile il verificarsi di un evento di tale portata entro i prossimi cinque anni.
Un ordine di grandezza sul fenomeno dei sinistri informatici è fornito dal Report del 2020 di analisi di sinistri assicurativi cyber di Willis Towers Watson. I sinistri denunciati dai clienti provenienti da quasi 50 paesi dal 2013 a dicembre 2019 hanno ammontato a un totale di quasi 1.200. La media del valore dei sinistri informatici liquidati (in cui è stato sostenuto qualsiasi tipo di costo, escluse le perdite di valore zero) è di 4,88 milioni di dollari.
Ma è il 2020 che ha segnato l’anno della svolta, con una crescita dei sinistri fortemente accelerata dalla pandemia. I criminali hanno anche modificato tipologie e formati d’attacco oltre che il loro raggio d’azione. Il report 2021 X-Force Threat Intelligence Index pubblicato recentemente da IBM Security ci dà un’informazione di grande interesse sulla territorialità degli attacchi: l’Europa è passata al primo posto essendo stata l’area geografica maggiormente presa di mira nel 2020 (31% degli attacchi) mentre l’America del Nord è passata al secondo posto con il 27% degli attacchi e l’Asia si è posizionata al terzo posto con il 25%.
Come ha reagito il mercato assicurativo
Per cercare di ritrovare l’equilibrio, a partire dall’inizio del 2021, il mercato assicurativo cyber ha introdotto profondi cambiamenti a livello globale. Dopo anni caratterizzati da una politica commerciale aggressiva in cui gli assicuratori si facevano concorrenza l’un l’altro per crearsi un portafoglio di contratti e, soprattutto in Italia, offrivano coperture a condizioni estremamente vantaggiose per gli acquirenti – il mercato ha bruscamente invertito la tendenza entrando in una fase di forte “hardening”.
L’esponenziale aumento della frequenza e della dimensione dei sinistri del 2020, infatti, ha determinato la necessità di una profonda revisione delle politiche assuntive sia per i rischi di nuova assunzione che per i rischi già assunti, anche se indenni da sinistri.
Oggi siamo di fronte a incrementi dei tassi, diminuzione di capacità, introduzione di sottolimiti e scoperti su specifiche garanzie oltre che ad una attività di analisi del rischio molto più approfondita e ad una politica assuntiva più severa. Gli assicuratori sono disponibili a fornire copertura assicurativa solo alle organizzazioni che si sono impegnate per creare e mantenere un livello di cyber security adeguato. Queste linee guida sono condivise in tutto il mondo.
L’assicurazione tende a riprendere il suo ruolo di supporto alle organizzazioni “virtuose” che, pur investendo in sicurezza, subiscono un incidente o attacco imprevisto. Non sono invece più assicurabili quelle organizzazioni che non prendono sul serio la sicurezza informatica.
Cyber risk: errore umano e ransomware le principali cause
Ma quali sono le fonti di rischio principali per le aziende? L’errore umano è stata la principale causa alla radice di incidenti e sinistri informatici a livello globale. Il ransomware, e la conseguente interruzione dell’attività, è invece il rischio più significativo quando si considerano le perdite della parte interessata, o in altre parole, i costi finanziari diretti per le imprese.
Il succitato report di IBM indica che all’origine dell’evento dannoso, nel 23% dei casi, c’ è stato un attacco ransomware. Gli attacchi ransomware sono in costante crescita e il motivo è presto detto: questa tipologia di crimine informatico richiede bassi investimenti, comporta bassi rischi per i criminali e permette di ottenere alti profitti, consentendo anche a chi lo compie di poter mantenere l’anonimato grazie ai pagamenti del riscatto sotto forma di criptovaluta.
Un recente sviluppo in quest’ambito è poi il “ransomware-as-a-service”, in cui chi gestisce l’operazione riesce a collaborare con altri criminali che distribuiscono il malware in cambio di una percentuale sui riscatti ottenuti.
Gli impatti sull’azienda degli incidenti relativi alla sicurezza per errore umano e per attacchi di ransomware sono ben documentati ed entrambi hanno il potenziale di essere catastrofici da diversi punti di vista, compresi quelli operativi, finanziari e di reputazione.
Anche se le due cose sono intrinsecamente legate in quanto il successo di un attacco ransomware dipende spesso dall’errore di un dipendente, i due eventi richiedono approcci leggermente diversi per l’identificazione, la valutazione e la gestione del rischio.
Prendere di mira gli esseri umani è più rapido, più facile e ha tassi di successo molto più elevati – i cybercriminali hanno bisogno di avere fortuna solo una volta.
Perdite significative anche per il social engineering
Anche le perdite conseguenti al social engineering (l’ingegneria sociale) sono significative. Si tratta di una serie di tecniche che si basano sullo studio dei comportamenti della vittima potenziale e consente di indurre una persona a compiere atti che non avrebbe volontariamente eseguito se non fosse stata tratta in inganno dagli hacker.
Tra questi, esempi tipici sono la deviazione di pagamenti, la rivelazione di informazioni confidenziali o delle proprie credenziali, la concessione di autorizzazioni che permettono ai criminali di accedere o utilizzare sistemi o applicazioni aziendali, il download di malware o virus e così via.
I criminali traggono in inganno le vittime impersonando figure degne di fiducia. I casi più frequenti sono quelli in cui la falsa identità assunta è quella di un fornitore, mentre quelli più dannosi, a livello di perdite, sono quelli in cui il criminale finge di essere un amministratore delegato o un senior manager, cosiddetti “fake president”.
Gli importi richiesti dai criminali, in alcuni casi, possono arrivare a superare le decine di milioni ma di contro, il danno economico derivante all’azienda dalla pubblicazione delle informazioni sottratte illegalmente potrebbe essere molto più ingente.
Cyber risk: nuovi servizi di controllo e mitigazione
In risposta ai rischi predetti, le aziende sono chiamate ad attivare nuovi servizi di controllo e mitigazione del rischio informatico che, partendo anche dall’analisi approfondita degli attacchi permettano di arrivare a controllare più efficacemente ed efficientemente i rischi, scegliendo dove meglio investire, in modo mirato, per gestire debolezze previamente identificate e rispondere immediatamente in caso di attacco.
Dapprima una valutazione e una quantificazione del rischio informatico, attraverso un’analisi preventiva dei rischi potenziali per un’azienda tramite un processo di “risk assessment”, poi la risposta agli incidenti e la pianificazione della continuità operativa, la governance e lo sviluppo delle politiche da mettere in atto.
La creazione di una cultura aziendale di sicurezza informatica resta tuttavia indispensabile nella lotta al crimine cyber.
Proprio in quest’ottica Willis Towers Watson ha creato un servizio di assessment della cultura cyber della popolazione aziendale ad hoc, il Workforce Cyber Culture Assessment, spingendo oltre l’ambiente tecnologico le attività di valutazione del rischio.
Tale servizio è volto a supportare le organizzazioni ad avere una visione realmente olistica e completa dei propri rischi cyber e fornisce consapevolezza sulle aree di esposizione derivanti dal fattore umano.
Permette così all’azienda di identificare e misurare eventuali criticità in cluster specifici di dipendenti. Si sviluppano quindi campagne di formazione ed addestramento mirate alla soluzione delle necessità identificate nei cluster che hanno evidenziato le carenze, rendendo tali azioni più efficaci e meno onerose rispetto ai cosiddetti piani di “formazione a pioggia”.
Rispetto invece all’incremento della frequenza di eventi ransomware registrato nel 2020, Willis Towers Watson ha creato un servizio ad hoc denominato Ransomware Risk Assessment, che permette di identificare e mitigare il rischio associato ad un attacco ransomware.
Conclusioni
La cyber security e la protezione dei dati dovrebbero basarsi su una molteplicità di altri fattori quali: la scelta dei partner e del data center, la tecnologia utilizzata, i piani in materia di business continuity e la cyber insurance, anello finale della strategia di gestione del rischio, che permette di trasferire l’impatto economico dei rischi residui e di garantirsi il supporto di esperti e di un crisis management, per contenere gli impatti negativi anche sulla reputazione.
Da ultimo segnaliamo il digital cost management che può essere il punto di partenza dell’azienda per reperire il capitale necessario al miglioramento della cyber security complessiva tramite strategie di efficientamento economico.
La gestione del cyber risk è particolarmente complessa: richiede partecipazione da parte di tutte le funzioni all’interno delle organizzazioni per creare un livello di maturità, cultura e preparazione adeguati e per avere strumenti e piani di risposta sempre aggiornati.