Le assicurazioni contro gli incidenti informatici stanno diventando costose, sempre più costose. Nel 2021, l’aumento dei premi assicurativi delle cyber assicurazioni ha superato di gran lunga quello di altri settori, 25,5% rispetto al 17,4% della kasko e una media dell’8,3% su tutte le classi di premio (Council of Insurance Agents & Brokers).
La copertura degli incidenti IT è ancora una pratica relativamente giovane, che risale agli anni ’90 e ha iniziato a coprire i crimini informatici solo nei primi anni 2000. Pertanto, la crescita dei premi potrebbe fare parte della normalizzazione del mercato. Questa ipotesi sarebbe valida se il mercato cyber fosse stabile, ma non è così e, se le aziende non riescono a comprendere il perché di questo forte aumento, potrebbero incorrere in costi inutili.
“Ci sono diversi motivi per cui i premi assicurativi cyber stanno aumentando e non mi aspetto che tornino presto a diminuire. Il rischio e l’esposizione stanno aumentando per le compagnie assicurative, le quali scaricano i costi sui clienti, ma non la responsabilità,” evidenzia Paolo Lossa, Country Sales Director di CyberArk Italia sottolinea. “I clienti commettono ancora molti errori che spingono il mercato a proteggersi ulteriormente ma, se le aziende fossero più consapevoli, potrebbero ridurre i propri premi e garantire che l’assicurazione cyber diventi una valida forma di mitigazione del rischio.”
In base all’Allianz Risk Barometer 2022, i rischi informatici sono la maggiore preoccupazione per le aziende a livello globale, con minacce di attacchi ransomware, violazioni di dati o lunghe interruzioni dei sistemi IT che preoccupano ancora di più rispetto a fermi attività (inclusi quella della supply chain), catastrofi naturali o alla stessa pandemia di Covid-19, tutti fattori che hanno pesantemente colpito le organizzazioni nell’ultimo anno.
L’assicurazione è una leva collaudata per la mitigazione dei rischi e bilanciarli con i premi è un’arte aziendale, ma la consolidata pratica assicurativa non copre le esigenze del mercato IT. La situazione è peggiorata e negli ultimi due o tre anni la pressione è aumentata in modo significativo. “In primo luogo, il ransomware è emerso come metodo molto efficace, ma semplice, per attaccare le aziende ed estorcere denaro, spesso con poche possibilità di ripristino. Anche pagando il riscatto per decrittografare i dati, non si ha la garanzia di riottenerli. Inoltre, il lavoro da remoto ha aggiunto un livello significativo di rischio, con i dipendenti che hanno iniziato a operare in libertà al di fuori della relativa sicurezza delle reti aziendali. La conseguenza non è stata solo un aumento degli attacchi ransomware, ma anche l’inasprirsi di problemi esistenti in tema di social engineering, phishing e malware.”
Questi fattori contribuiscono ad aumentare i costi dei premi, ma i profili di rischio più elevati non sono l’unico problema e le spese più significative di un attacco IT non derivano da danni alla reputazione o dalla perdita di beni digitali. Numerosi report, tra cui il Cost of a Data Breach Report 2021 di IBM, rilevano che risolvere i danni di una violazione è di gran lunga la preoccupazione più costosa.
Anche il direttore generale dell’Agenzia cybersicurezza nazionale Roberto Baldoni ha sottolineato l’importanza di questo argomento, confermando l’accordo con Confindustria e Generali per stilare un cyber-index relativo ai rischi visibili, un sistema in grado di misurare i rischi e quindi assorbirli.
“Rimediare a una violazione può comportare costi elevati, e probabilmente sarà necessario coinvolgere nuovi partner e tecnologie, gestire e ricostruire parti dell’infrastruttura informatica, affrontare tempi di inattività e costi a valle, come cause legali e multe previste dalle normative. Se si considera realmente il costo di una violazione, l’assicurazione sembra quasi a buon mercato,” afferma Lossa.
Cyberark spiega come ridurre i costi assicurativi
Quando si utilizza un’assicurazione non esiste un prodotto globale contro le minacce informatiche che copra ogni grado di responsabilità. Al contrario, le compagnie hanno iniziato a fare salti mortali, aspettandosi che le aziende dimostrino sufficiente diligenza e investimenti in protezione. Un assicuratore non coprirà un furto con scasso se la porta è stata lasciata aperta, con le chiavi nella serratura. Allo stesso modo, gli assicuratori informatici desiderano che le aziende facciano del loro meglio per prevenire e mitigare gli attacchi cyber.
“La sicurezza informatica è complicata e richiede molti livelli per coprire una moltitudine di account e risorse digitali. Cercare di proteggere tutto allo stesso livello è come cercare di far bollire l’acqua l’oceano. È inutile e costoso,” sottolinea ancora Lossa.
Tuttavia, se le aziende sono in grado di identificare i diversi livelli di rischio informatico, possono determinare la migliore copertura per i rispettivi asset e una parte sostanziale di questo processo consiste nella verifica e nella gestione degli account utente.
“Secondo il nostro report CyberArk Identity Security Threat Landscape, ogni dipendente di un’azienda è associato a più di 30 applicazioni e account. L’analisi di queste molteplici identità digitali rivelerà molto sulla postura di sicurezza. La compromissione delle credenziali legate a queste identità digitali è un obiettivo primario per un attaccante; quindi, essere al corrente di eventuali problemi – come password riutilizzate o condizioni di accesso che dovrebbero essere revocate quando un dipendente ha lasciato l’azienda – è una componente fondamentale,” evidenzia Paolo Lossa. “Conoscere e gestire gli account permette di colmare le falle di sicurezza più comuni, decidere in modo selettivo cosa debba essere assicurato e valutare il livello di esposizione al rischio. In questo modo, si potrà dimostrare la propria strategia a un assicuratore e negoziare potenzialmente premi migliori”.
