29 Ago Assicurarsi contro il rischio Cyber – cosa significa e come si fa

Cosa vuol dire “rischio Cyber”?

Con il termine inglese “Cyber Risk” (in italiano Rischio Cyber) si indicano tutti i rischi connessi al trattamento delle informazioni tramite strumenti digitali quali, ad esempio, violazione dei dati, malfunzionamenti, cancellazione o violazione.

In particolare il rischio cyber è aumentato nel corso degli anni soprattutto per i sempre più frequenti attacchi informatici (Cyber Attack) perpetrati da hacker tramite virus, ransomware, APT ecc. come abbiamo indicato in questo articolo.

Le aziende si muovono purtroppo più lentamente dei criminali per attivare la protezione, e quasi sempre solamente DOPO aver avuto danni da parte di un attacco.

Le normative d’altronde, pur essendo state recentemente aggiornate (GDPR, NIS, ecc) sono in ritardo di anni nell’obbligare l’adempimento a criteri minimi e cercano di recuperare il gap aumentando le sanzioni (e quindi il timore di incorrervi) ed i controlli, ma senza effettivamente “creare” strumenti idonei alla protezione, ma solo un’impalcatura di normative che poi sta ai privati riempire con le corrette prassi. (si legga l’articolo sull’intervento dell’avvocato Giusella Finocchiaro sul “cantiere GDPR”).

Ovviamente in uno scenario di questo tipo si delineano rischi prevedibili e risolvibili, mentre una parte di rischio resta scoperta e quindi diventa potenzialmente un impegno da assumere da parte del management, in termini di rischio economico, operativo (fermo aziendale) e penale/sanzionatorio.

Come risolvere il rischio residuo?

Come in ogni trattato di economia tendenzialmente il rischio residuo deve essere ridotto ai minimi termini, ma successivamente se non può essere eliminato si pensa ad ASSICURARLO.

Nascono così le polizze assicurative sul rischio cyber, perché ovviamente dove vi è un mercato emergente si scopre un business per proporre la soluzione, e da qualche anno, prima con i broker che riassicurano tramite suddivisione del rischio, ora anche con compagnie di primaria presenza, sono nate polizze assicurative che permettono alle aziende di definire dei risarcimenti in caso di danno derivante da attacchi informatici.

Riportiamo qui un collegamento al fascicolo informativo ANIA per la definizione del rischio in termine assicurativo.

Molto interessante la parte relativa alla consapevolezza del comparto assicurativo che, per essere “assicurata” un’aziende deve prima compiere dei passi di ADEGUAMENTO.

Quindi non è sufficiente stipulare una polizza, ma si deve PRIMA mettere in pratica un corretto comportamento, quello che deve ridurre il rischio, e successivamente si potrà richiedere di assicurare il danno residuo.

Per fare questo occorre tenere presenti gli indici di affidabilità che vengono assegnati dalle compagnie nell’audit preliminare, che vengono stilati compilando un questionario sullo stato di “compliance” normativa e tecnica, e la successiva esecuzione di un vulnerability test per definire quanto è il rischio a cui è esposta l’azienda. In tal modo l’assicurazione potrà compilare l’offerta e includere (o escludere) specifiche garanzie, che concorrono ovviamente a costituire il premio.

Quali sono i passi da compiere?

Innanzitutto rivolgersi ad un broker o una compagnia di assicurazioni con conoscenza delle soluzioni assicurative Cyber e competenze tecniche ICT.

Verificare le altre polizze assicurative in corso, anche non in ottica rischio Cyber, quali All Risks/Incendio (con o senza Fermo d’attività), Responsabilità Civile Generale, D&O (Responsabilità degli Amministratori e Dirigenti) ed integrarla ad una richiesta specifica di assicurazione Cyber.

Ovviamente se non ci si è dotati prima di una fotografia dello stato di sicurezza digitale dell’azienda, sarà necessario farlo, quantomeno per “passare” l’esame della Compagnia assicurativa (ad esempio Generali stila un report specifico dopo aver fatto compilare un questionario e simulato un attacco informatico al perimetro digitale dell’azienda).

Questo Vulnerability Assessment evidenzia le vulnerabilità esterne e fornisce indicazione delle criticità (e di conseguenza del danno economico) di un eventuale attacco.

I documenti e le pratiche da adottare sono quelle normalmente richieste dagli adeguamenti di legge, in particolare il GDPR, ma anche da certificazioni quali la ISO 27001/2013, ovvero “misure adeguate” di protezione, dove ADEGUATE indica quanto siamo pronti a sostenere l’attacco.

Tra questi documenti e controlli ci saranno il documento privacy, il Registro dei Trattamenti, un audit del Sistema Informativo (Inventory), una compliance in termini di aggiornamento di licenze e personale (formazione), l’adozione di policy specifiche per la sicurezza, nonché un’analisi di bilancio per ricavare parametri utili a definire i massimali, limiti e franchigie in relazione alla Business Interruption.