Assicurazione contro Hacker – è abbastanza?

Con gli attacchi informatici che aumentano di frequenza e gravità, molte aziende si stanno rivolgendo alle assicurazioni per coprire le loro crescenti perdite, sentendosi sotto assedio.

Gli attacchi informatici stanno diventando veloci e gli strumenti a disposizione degli hacker sembrano diventare sempre più potenti.

Le perdite annuali stimate dalla criminalità informatica ora superano 400 miliardi di dollari, secondo il Centro per gli studi strategici e internazionali e il costo della perdita di produttività dell’attacco WannaCry, il ransomware dello scorso anno, era stimato a 4 miliardi di dollari.

“Sfortunatamente ciò significherà che aziende di ogni dimensione cercheranno il minimo investimento di sicurezza informatica predisposto dagli assicuratori, dal governo e dai regolatori, piuttosto che andare oltre per proteggere i propri dati e quelli dei propri clienti”. – Charl van der Walt – SecureData

Gli attacchi di ransomware, in base ai quali i criminali irrompono nella rete, crittografano tutti i dati, quindi richiedono denaro in cambio della chiave di decrittografia, sono particolarmente potenti.

Le aziende hanno persino accumulato su Bitcoin – il pagamento di criptovaluta degli hacker – per pagare i riscatti.

E non sono solo i costi di riscatto immediati di cui devono preoccuparsi: ci sono i costi per indagare e chiudere la violazione, i costi legali e di pubbliche relazioni, il danno per il prezzo delle azioni in quanto consumatori e clienti perdono la fiducia e la perdita di affari derivante da una reputazione danneggiata.

Ci sono anche delle potenziali multe regolamentari da pagare – in particolare quando il regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) entrerà in vigore a maggio. Secondo le nuove regole, l’impresa potrebbe essere multata fino al 4% del fatturato o 20 milioni di euro, a seconda di quale sia il maggiore, se le autorità di regolamentazione ritengono di non aver protetto adeguatamente i dati personali dei clienti.

Il costo medio di una violazione informatica è stato di 349.000 dollari nel 2017, secondo NetDiligence, i cui dati si basano su reali richieste di assicurazione cibernetica. Per una grande azienda il costo medio era di 5,9 milioni di dollari.

Quindi è forse una piccola sorpresa che l’interesse per l’assicurazione cibernetica sia aumentato di recente.

Il numero di assicuratori che offrono assicurazioni informatiche tramite Lloyd’s di Londra è balzato a più di 70, quasi il doppio rispetto a pochi anni fa. Il gigante delle assicurazioni Allianz prevede che i premi globali per le assicurazioni informatiche cresceranno fino a $ 20 miliardi entro il 2025, rispetto a circa $ 3-4 miliardi ora.

Un assicuratore, Hiscox, afferma di aver goduto di una robusta crescita nel settore delle assicurazioni cibernetiche, in particolare con l’avvicinarsi del GDPR.

“Il cyber non è come un’assicurazione auto o casa in cui i rischi sono noti e i prodotti non sono cambiati così tanto. I tipi di rischio cambiano continuamente e non esiste un modo semplice per quantificare il costo dei dati rubati. Stiamo assistendo a una crescita annuale di circa il 40% nel cyber. In primo luogo, dobbiamo capire quanto seriamente il consiglio prende la sicurezza informatica, stiamo cercando di essere un partner con i nostri clienti, non solo un venditore di assicurazioni, quindi offriamo anche corsi gratuiti sulla sicurezza informatica. Abbiamo la responsabilità di innalzare gli standard e incoraggiare le migliori pratiche”. Gareth Wharton – cyberinsurance expert

L’assicurazione verifica anche ovvie misure di sicurezza, come la presenza di protezione antivirus e firewall, la frequenza degli aggiornamenti software e dei backup di dati e la crittografia dei dati critici.

Sebbene esistano diversi standard ISO [International Organization for Standardization] riconosciuti che coprono vari aspetti della sicurezza delle informazioni, non esiste uno standard comune che le aziende globali possano adottare per aiutare gli assicuratori a valutare il loro rischio cibernetico.

Il governo del Regno Unito insiste sul fatto che qualsiasi compagnia con cui fa affari deve conformarsi agli standard Cyber ​​Essentials stabiliti dal National Cyber ​​Security Center. Questo è almeno un inizio.

“Uno dei maggiori problemi della cyberassicurazione è come valutarlo in modo efficace e coprire i costi indiretti e diretti che un’azienda soffre a seguito di un attacco informatico”  Nik Whitfield – Ceo, Panaseer.

Si prevede la nascita di società che offrano servizi di valutazione del rischio informatico agli assicuratori. Le imprese che cercano un’assicurazione sarebbero felici di essere valutate nella speranza di ottenere premi più bassi.

Ma se le aziende vedono la cyber-insurance come una scusa per lesinare sulle loro difese di sicurezza informatica, potrebbero trovarsi nei guai.