Cyber insurance per le aziende: le 7 cose da sapere

Cyber insurance per le aziende: le 7 cose da sapere

I cybercrime sono oggi il principale fattore di rischio per le aziende. Nel solo 2016, l’Italia ha subito danni economici derivanti da attacchi informatici per circa 10 miliardi di euro. Non va meglio agli Stati Uniti, dove si stima un costo medio annuale per azienda di 4 milioni di dollari dovuto alla violazione di dati (dati del 2016 BDO Board Survey).

 

In molti stanno già correndo ai ripari stipulando polizze assicurative per la cybersecurity. Negli USA, quasi un’azienda su tre ne possiede una (percentuale triplicata rispetto al 2014). È indietro invece l’Italia, dove solo il 27% delle imprese è in possesso di una polizza assicurativa sui cybercrime.

Ma se da un lato una buona cyber insurance può aiutare i clienti a tornare alla normalità nel più breve tempo possibile in caso di violazione dei dati e danneggiamento dei sistemi informatici, dall’altro essa non può prevenire totalmente un attacco. È necessario quindi un lavoro “a monte” di analisi e gestione dei rischi, basata sulla diffusione di una cultura aziendale in materia di cybersecurity e protezione dei dati, e che coinvolga tanto i fattori umani e organizzativi quanto quelli tecnologici.

Di tutto questo si è parlato il 5 luglio 2018 a Milano nel workshop “Insurance in cyber-security”, organizzato dal progetto europeo Hermeneut del programma Horizon 2020, al quale Deep Blue ha partecipato in qualità di partner di progetto. L’incontro, con oltre 65 partecipanti e accolto positivamente da professionisti e agenti assicurativi, è servito a fare il punto della situazione sul mercato delle cyber insurance e ad esporre la metodologia e i modelli di Hermeneut per la valutazione del rischio e per l’analisi costi-benefici, fattori chiave per lo sviluppo e la crescita del mercato delle assicurazioni in materia di sicurezza informatica. Il workshop ha dedicato particolare attenzione anche agli aspetti legislativi e al General Data Protection Regulation (GDPR), il nuovo regolamento unico europeo in materia di privacy e sicurezza dei dati entrato in vigore il 25 maggio 2018.

Tra i risultati del workshop c’è da sottolineare un punto fondamentale: le polizze assicurative per la cybersecurity sono l’ultimo – ma non meno importante – tassello di un processo che tutte le aziende dovrebbero seguire per proteggersi dagli attacchi informatici. Assicurarsi è importante ma non è sufficiente se prima non vengono rispettati i più elevati standard di sicurezza e di organizzazione interna all’azienda, e tutto l’apparato normativo in materia di protezione dei dati.

Prima di stipulare una assicurazione per la cybersecurity, ci sono 7 importanti cose da sapere.

  1. A chi si rivolgono le cyber insurance?

A tutte le aziende, grandi ma soprattutto medie e piccole, che sono le più vulnerabili ai cyberattack (il 71% delle imprese negli USA è stata almeno una volta vittima di un attacco informatico). L’impatto di un attacco può a volte essere molto grave e riguardare perdite economiche e di fette di mercato, come anche la perdita di clienti, di dati e della propria reputazione. Da questo punto di vista, investire nella cybersecurity in generale (e dunque anche in una cyber insurance) potrebbe rivelarsi un investimento molto importante per un’impresa.

  1. Cosa può fare una cyber insurance per le aziende?

Per capirlo, chiariamo innanzitutto quello che non può fare. Alle assicurazioni non spetta il compito di rivedere i processi aziendali e nemmeno i livelli di sicurezza dei sistemi informatici e tecnologici adottati; naturalmente, però, ne terranno conto in fase di analisi e valutazione del rischio, per definire il contratto. Per questo prima della stipula è necessario un investimento da parte dell’azienda, anche tramite consulenze specializzate (talvolta indicate dalla stessa compagnia assicurativa), in materia di sicurezza, fattori umani, gestione dei processi interni e GDPR.

Detto ciò, un’assicurazione può fare molto altro, come:

  • Quantificare il rischio e l’esposizione a cui è sottoposta ul’azienda, monitorando costantemente la situazione dell’assicurato;
  • Fornire assistenza in caso di attacco informatico, mettendo a disposizione del cliente tutti i mezzi necessari per contrastare e mitigare gli effetti dell’attacco e guidandolo attraverso un percorso di ritorno alla normalità operativa;
  • Guidare il cliente attraverso le operazioni relative agli obblighi normativi imposti dal GDPR, agli aspetti di sicurezza interna e alla difesa della reputazione aziendale;
  • Risarcire economicamente il cliente in caso di attacco informatico e violazione dei dati.

In questo ultimo caso, tuttavia, bisogna fare dei distinguo.

  1. Quali beni possono essere assicurati e risarciti?

Una copertura assicurativa sui cybercrime non può ricoprire eventuali sanzioni comminate all’azienda che non ha adempiuto agli obblighi legislativi, come quelli del GDPR: infatti, il nuovo regolamento europeo è stato adottato proprio per aiutare le aziende a minimizzare i rischi di attacchi informatici. Per questo nel regolamento sono previste sanzioni anche pesanti per chi non rispetta gli obblighi di legge, sanzioni che saranno sempre e comunque a carico del trasgressore, con o senza polizza assicurativa stipulata.

Sono invece previste tutte le altre protezioni e coperture economiche, sia per i beni materiali, sia per quelli immateriali.

  1. Esistono standard definiti per le polizze assicurative nel settore della cybersecurity?

No, ad oggi non esistono standard per le cyberinsurance. Se da un lato questo può costituire un rischio per le aziende, dall’altro è un’opportunità: trattandosi di un settore nuovo, in fase di sperimentazione, le compagnie assicurative offrono varie possibilità e margini di negoziazione ed esiste un’ampia offerta di coperture assicurative, modellabili sugli specifici rischi aziendali. Bisogna dunque prestare attenzione a quello che si assicura e come: per chiarirsi le idee sulle proprie necessità, è utile chiedere una consulenza specializzata.

  1. Quali tipi di polizze assicurative esistono?

Moltissime, e tutte con ampie possibilità di personalizzazione. Alcune polizze garantiscono copertura dei costi di ripristino del sistema, e in generale di tutti i danni materiali. Altre coprono la perdita di dati e i danni reputazionali. Altre ancora arrivano a coprire i mancati introiti derivanti da un attacco che blocca le attività produttive di un’impresa. Infine, alcune risarciscono i furto economici o l’estorsione a seguito di un cyber attacco (i sempre più diffusi ransomware, come Wannacry, che nel 2017 ha colpito centomila sistemi informatici in 105 Paesi), copertura vietata però in alcuni paesi. Tutte queste polizze fanno parte delle cosiddette “First party insurance”.

Esistono poi le “Third party insurance”, coperture assicurative in relazione alle terze parti, ovvero al rischio di contaminazione da parte di altre aziende con cui l’impresa opera a diverso titolo.

  1. Ma un’assicurazione basta per tutelarsi?

No, non basta: la cyberinsurance è solo uno dei tasselli nel quadro delle misure che ogni azienda dovrebbe adottare in materia di cybersecurity. È necessario ricorrere a molteplici misure di intervento, riguardanti i fattori umani e i processi organizzativi dell’azienda, gli standard tecnologici e informatici, gli aspetti legislativi; e solo alla fine si può pensare a stipulare un’assicurazione disegnata su misura per l’azienda.

  1. Come scegliere la giusta polizza assicurativa?

Per scegliere la polizza migliore e più adatta alle specifiche esigenze aziendali, per prima cosa è necessaria un’analisi dei rischi e dell’impatto che questi potrebbero comportare sul proprio business. Nell’analisi andranno considerati tutti i beni dell’azienda, inclusi quelli finanziari, i dati conservati (interni ed esterni), i beni protetti da proprietà intellettuale; per ognuno di essi bisogna individuare le principali vulnerabilità e assegnare un livello di rischio, dato che spesso gli hacker sfruttano le vulnerabilità del sistema per penetrare nelle risorse fisiche di un’azienda. Solo a questo punto, avendo chiare le caratteristiche della propria azienda, ci si può rivolgere all’agenzia assicurativa per trovare la polizza più adatta alle proprie necessità.