Negli ultimi mesi il tema delle assicurazioni informatiche ha dominato l’agenda della sicurezza informatica. Le imprese sono saggiamente alla ricerca di garanzie a fronte di attacchi informatici quasi inevitabili. Un recente rapporto ha rivelato che l’85% delle organizzazioni è stato attaccato con successo da ransomware nel 2022, rispetto al 76% dell’anno precedente. Allo stesso tempo, il settore assicurativo sta ancora cercando di adattarsi a una minaccia che non comprende appieno.
A livello globale, i prezzi delle assicurazioni cyber sono aumentati del 28% nel quarto trimestre del 2022, dopo un aumento del 53% nel trimestre precedente. Oltre all’incremento dei premi, gli operatori stanno diventando più esigenti su chi assicurare o meno, aumentando gli standard minimi di protezione che le organizzazioni devono superare per essere assicurate. Allo stesso modo, sta cambiando la posizione sui tipi di incidenti coperti: un importante mercato assicurativo londinese ha recentemente annunciato che non assicurerà più le interruzioni causate da guerre informatiche sostenute da uno Stato.
Se tutto questo sembra un po’ selvaggio, forse c’è da aspettarselo. Si tratta di un settore giovane e volatile e gli incidenti informatici presentano una complessità unica che gli assicuratori e le organizzazioni stanno ancora affrontando. Tuttavia, le aziende devono tenerlo a mente quando cercano questo tipo di protezione. Presentare una richiesta di risarcimento può essere complesso e, come si suol dire, gli assicuratori hanno il compito di non pagare. La presentazione di una richiesta di risarcimento può richiedere molto tempo e molte prove, il che aumenta il dispendio di risorse in seguito a un evento informatico.
Dave Russell, vice president of Enterprise Strategy di Veeam
Lo scenario migliore
Anche in caso di successo del pagamento, le organizzazioni devono capire che non si tratta di una panacea per un problema come il ransomware. Sebbene si possa dire lo stesso di qualsiasi tipo di assicurazione, il denaro può coprire le perdite, ma non risolve l’impatto più ampio dell’incidente. In un attacco informatico, le conseguenze sono più uniche e più sfumate. Si è comunque verificato un grave incidente di sicurezza e, sebbene un cuscinetto finanziario sia certamente d’aiuto, non è in grado di spegnere gli incendi da solo.
Nel periodo immediatamente successivo a un incidente come quello del ransomware, la sfida del recupero deve essere risolta, spesso in concomitanza con le potenziali indagini penali e le richieste di risarcimento assicurativo. Per le aziende, il recupero dei dati, delle applicazioni e della disponibilità dei sistemi è fondamentale: ogni secondo può costare migliaia di dollari. La sfida aggiuntiva è che i sistemi non possono essere ripristinati nel luogo in cui erano ospitati prima (dove si è verificato l’attacco), perché non solo è una scena del crimine in un’indagine, ma non si può garantire che l’ambiente sia sicuro e non compromesso. Ad esempio, se il vostro ufficio bruciasse durante la notte, non potreste costruirne uno nuovo nello stesso posto. Dovreste invece trovare un ambiente di lavoro alternativo per i vostri dipendenti fino a quando il vostro ufficio non sarà sicuro.
Oltre a questo, ci sono diversi potenziali “postumi” dell’incidente. La qualità dei dati è una delle maggiori preoccupazioni, quindi è fondamentale verificare i set di dati e controllare se sono stati danneggiati. Se il ripristino avviene utilizzando versioni precedenti di dati e sistemi, assicuratevi che vengano aggiornate prima possibile. In sostanza, è necessario verificare che tutto sia ancora intatto e che si integri e funzioni ancora insieme. Allo stesso tempo, è difficile sapere se questi incidenti sono finiti, poiché il rischio di reinfezione da parte del malware rimasto sul sistema o la minaccia di una doppia o tripla estorsione sono elevati.
Naturalmente, tutto ciò presuppone che l’azienda si sia ripresa senza pagare le richieste di ransomware. Se un’organizzazione soddisfa la richiesta degli estorsori (forse pensando che l’assicurazione coprirà i costi), rimangono tutta una serie di problemi. Il più significativo è la possibilità che i dati non possano essere recuperati nonostante il pagamento del riscatto, ma anche nel caso in cui il recupero abbia “successo”, utilizzando le chiavi di decrittazione fornite, il processo può essere incredibilmente lento. Un altro rischio per le aziende che soddisfano le richieste di ransomware è quello di ripetere gli attacchi: le bande spesso contrassegnano quelli che pagano, in modo che loro o altri gruppi possano tornare in seguito per un altro assaggio.
Cosa possono fare le aziende?
Questo non significa che non valga la pena di stipulare un’assicurazione, ma solo che deve far parte di una più ampia strategia di resilienza digitale. Un buon modello di protezione dei dati prevede solidi processi di sicurezza, backup e ripristino, non solo per ridurre la probabilità di un attacco, ma soprattutto per preparare l’azienda a rispondere e recuperare in caso di disastro. Per quanto riguarda la sicurezza, iniziate a testare e a patchare regolarmente i sistemi per individuare ed eliminare le vulnerabilità. Assicuratevi di formare il personale dell’azienda sull’igiene digitale e sull’accesso remoto sicuro. In definitiva, questo vi aiuterà a diventare più assicurabili e potrebbe persino portare a una riduzione dei premi. La successiva cosa che le imprese devono fare è proteggere i propri dati e garantire la disponibilità dell’It in caso di incidente informatico.
Le aziende devono identificare i dati e i sistemi di cui non possono fare a meno e assicurarsi che vengano copiati e archiviati in modo sicuro in caso di attacco ransomware. A volte le organizzazioni danno per scontato di essere in grado di farlo, sia internamente che tramite il proprio cloud provider (è un mito comune), ma molto spesso non è così. In un sondaggio condotto su migliaia di responsabili It aziendali, è emerso che il 79% ha un “divario di realtà” tra i dati e i sistemi che le unità aziendali si aspettano siano protetti e la realtà. È inoltre importante che i dati siano archiviati in copie off-site, off-line e immutabili.
Infine, le aziende devono disporre di processi di protezione della disponibilità e di disaster recovery per evitare e ridurre il più possibile i tempi di inattività. Lo stesso sondaggio ha rivelato che il divario di realtà per quanto riguarda la disponibilità è ancora maggiore, con quattro aziende su cinque che non sono sicure che i loro sistemi It siano sufficientemente resilienti da garantire la continuità aziendale. Anche in presenza di un backup, i team It devono avere un ambiente pianificato e pronto a ripristinare i sistemi (anche se solo temporaneamente) e le organizzazioni che progettano la propria infrastruttura It tenendo conto del ripristino saranno in grado di riprendersi molto più facilmente.
Il settore della cyber-assicurazione continuerà a cambiare e ad adattarsi all’aumentare del panorama delle minacce. Ma questo è naturale quando ciò che il settore assicura è così nebuloso e in continua mutazione. Sebbene l’assicurazione possa aiutare le organizzazioni a rimettersi in piedi in caso di disastro, è solo una parte del puzzle. Poiché le soglie di assicurabilità continuano ad aumentare, le aziende non dovrebbero limitarsi a soddisfare lo standard minimo richiesto, ma puntare a superarlo completamente con un approccio più olistico alla protezione dei dati.