Crime as a service, ransomware, hacktivism e attacchi ai fornitori, principali trend dei rischi informatici

Crime as a service (criminali che offrono i loro servizi a qualsiasi persona/entità disposta a pagarli), ransomware (sequestro di dati), hacktivism (proteste portate avanti da dilettanti o hacker per scopi politici) e attacchi ai fornitori sono le principali tendenze dei rischi informatici rilevate dall'assicuratore AIG, come ha spiegato il suo Product Leader Cyber, Crime and Crisis Solution, Carlos Rodríguez, durante la sua presentazione su "Il grande rischio del XXI secolo. Rischi informatici e responsabilità civile" in occasione del 21° Congresso sulla responsabilità civile e l'assicurazione organizzato dall'INESE.

Carlos Rodríguez ha descritto la situazione attuale dei rischi informatici, ha riferito sui settori più minacciati, ha affrontato le nuove normative, ha spiegato come i rischi possono essere trasferiti attraverso una polizza assicurativa e ha offerto i dati dei rapporti sugli incidenti effettuati dalla sua società, nonché esempi specifici di sinistri e il loro costo, oltre a condividere le principali tendenze in termini di tipologie di attacchi.

Ha iniziato il suo intervento avvertendo che i rischi informatici non sono coperti dalle tradizionali polizze CR e che tutte le aziende, grandi e piccole, sono esposte ad essi, anche le ultime "possono addirittura vedere minacciata la loro continuità". Anche se ha messo in cima alla lista delle minacce, nell'ordine, le comunicazioni, le società di consulenza tecnologica, i rivenditori, le telecomunicazioni, i servizi, i trasporti e la distribuzione, la sanità, le istituzioni finanziarie, gli alberghi e il tempo libero e le aziende con esposizione agli Stati Uniti.

L'esperto di AIG ha sottolineato che la loro assicurazione è compatibile e altrettanto o più importante delle polizze tradizionali. Una dichiarazione che ha illustrato con un'inquietante mappa degli attacchi informatici in tempo reale della compagnia Norse e con un grafico delle maggiori violazioni della sicurezza avvenute nel mondo e in Spagna. Nel caso in cui questi esempi non rendessero troppo chiara la portata delle minacce informatiche, ha riferito che l'Incibe (Instituto Nacional de Ciberseguridad) stima che quest'anno gestirà più di 100.000 attacchi informatici.

estar Ha inoltre fatto riferimento all'"ambiente supercomplesso" che circonda i rischi informatici, in cui si assiste a una continua evoluzione degli attacchi, "che obbliga il CISO delle aziende a essere costantemente vigile", il che richiede misure di protezione specifiche per le infrastrutture critiche, ad esempio, e per adattarsi ai cambiamenti normativi come quelli del Regolamento generale sulla protezione dei dati, tra gli altri.

Per quanto riguarda i rischi che destano maggiore preoccupazione tra i dirigenti aziendali, ha fatto riferimento ai sondaggi condotti dalla sua società che mostrano come le violazioni dei dati siano di gran lunga il rischio principale (52%), seguite da crash di rete o di sistema (31%) e dalla cyber-estorsione (12%).

I rapporti di AIG mostrano che nel 2018 ci sono stati il 40% di sinistri in più nell'area EMEA rispetto al 2017, "anche a causa della maggiore base di clienti", con quelli segnalati a giugno 2019 che hanno già eguagliato quelli dell'intero 2018. La compromissione delle e-mail aziendali (nota anche come "truffa del CEO") ha conquistato il podio con il 23%, seguita dal ransomware "sempre più sofisticato" con il 18% e, a pari merito al terzo posto con il 14%, dalle violazioni della sicurezza causate da hacker e da quelle dovute alla negligenza dei dipendenti. In termini di settori più colpiti, i servizi professionali guidano la classifica con il 22%, seguiti dai servizi finanziari (15%), dai servizi alle imprese (12%) e dal retail (9%).

Ognuno degli incidenti che compaiono in questi elenchi, ha spiegato Carlos Rodríguez, provoca crisi in diversi dipartimenti aziendali, "a partire dai sistemi, ma anche con l'area legale e finanziaria e, naturalmente, generando una perdita di reputazione, le cui conseguenze sono in linea con la gravità dell'attacco". Questo, ha spiegato, comporta alcuni costi immediati (informatica forense, legale, pubbliche relazioni, notifica), alcuni costi a medio termine (indagini, responsabilità verso terzi) e alcuni costi a lungo termine (perdita di fiducia dei clienti, danni alla reputazione, perdita di mercato).

La soluzione migliore per trasferire questi rischi è, nelle parole di Rodriguez, una polizza assicurativa che includa tre pilastri: "prevenzione, risposta agile e adeguata copertura assicurativa". Questi tre aspetti sono coperti dal prodotto CyberEdge di AIG. Questa polizza offre strumenti di prevenzione che forniscono alle aziende conoscenze, formazione e soluzioni per anticipare gli eventi. Inoltre, in caso di incidente, garantisce una risposta 24 ore su 24, sette giorni su sette per tutto l'anno, servizi legali e forensi, costi di notifica, nonché costi di difesa e danni. In termini di copertura, sono inclusi i danni propri, le estorsioni informatiche, la perdita di ricavi e le spese operative, i costi diretti di risposta a un attacco e le responsabilità derivanti dal Regolamento generale sulla protezione dei dati, tra gli altri. Inoltre, esistono diverse coperture opzionali, tra cui i programmi multinazionali, che consentono ad AIG di sottoscrivere polizze in qualsiasi Paese.

Il relatore ha concluso la sua presentazione con esempi di risposte della sua azienda a diversi tipi di attacchi, come quello di un dipendente che ha rubato i dati personali di milioni di clienti, un altro di un ransomware che ha criptato il server di posta elettronica, la rete e i dischi, e un terzo di un'intrusione in una catena alberghiera. In ognuno di questi casi, ha descritto l'attacco, la risposta e il danno economico per l'azienda attaccata.