Dave Russell, Vice President of Enterprise Strategy, e Rick Vanover, Senior Director Product Strategy, Veeam spiegano perché la cyber insurance può far parte di un piano generale, ma non è saggio affidarsi esclusivamente ad essa.
La frequenza e la gravità degli attacchi informatici sono aumentate drasticamente negli ultimi anni, rendendo le aziende e i privati vulnerabili a perdite finanziarie e danni alla reputazione. Il continuo progresso della tecnologia e la minaccia sempre più incombente di attacchi informatici hanno portato a una crescente necessità di assicurazione per la cyber insurance.
La cyber insurance è stata creata alla fine degli anni ’90, quando le organizzazioni hanno iniziato a trasferire le loro attività online. Mentre molti dirigenti aziendali cercavano di comprendere le complessità del mondo digitale, sono nate le polizze assicurative per mitigare i rischi associati a Internet e proteggere le aziende dall’accesso non autorizzato ai sistemi e ai dati di un’organizzazione.
Le prime forme di assicurazione contro le minacce informatiche consistevano in polizze spesso di ampia portata e non specificamente adattate alle esigenze di un’organizzazione. Tuttavia, con l’aumento del numero di attacchi informatici, è aumentata anche la natura della cyber insurance. Oggi i dirigenti d’azienda possono optare per polizze assicurative altamente specializzate che coprono un’ampia gamma di rischi, tra cui ransomware, violazioni di dati e interruzione dell’attività.
Nella regione Asia-Pacifico, si prevede che l’adozione della cyber insurance crescerà con un CAGR del 35,5% nel periodo previsto dal 2019 al 2025. L’intelligenza artificiale, la robotica, la realtà virtuale e l’Internet of things hanno fatto proliferare i progressi tecnologici, ma questo ha portato a nuovi parametri di minaccia. Si prevede che la cyber insurance entrerà in scena per fornire un risarcimento finanziario e coprire la responsabilità dell’azienda per i dati.
È importante ricordare che la cyber insurance non è destinata a essere una soluzione a sé stante; poiché gli attacchi possono variare in termini di gravità, essa varia anche nei prezzi dei premi, che possono arrivare a milioni. Secondo un report di S&P, si prevede che il pool di premi globali per la copertura cyber aumenterà in media del 25% all’anno.
Esistono diversi gradi di copertura per un’organizzazione. Per quanto riguarda la copertura di prima parte, in genere copre i costi di indagini sull’incidente, la perdita di fatturato dovuta all’interruzione dell’attività, la valutazione del rischio per futuri incidenti informatici, il pagamento degli attacchi ransomware in base ai limiti di copertura e la notifica ai clienti interessati. La copertura per responsabilità civile o informatica può essere acquistata per proteggere un’azienda nel caso in cui una terza parte faccia causa per danni derivanti da un incidente di cyberattacco. Questa copertura può coprire le spese legali, i risarcimenti e le multe per mancata conformità.
La complessità delle polizze assicurative contro le minacce informatiche e la natura della copertura fornita da una compagnia possono rendere il compito delle aziende desiderose di acquisire una copertura scoraggiante. Ciò può rappresentare una sfida per le imprese più piccole, che potrebbero non avere le conoscenze o le risorse per acquistare una polizza adeguata. Inoltre, con l’aumento dei cyberattacchi, all’indomani di un attacco possono sorgere controversie con le compagnie assicurative e le organizzazioni che discutono sull’indennizzo. Questo può portare a una lunga e costosa battaglia legale.
Sebbene la cyber insurance esista dagli anni ’90, è ancora un concetto relativamente nuovo che continua a essere aggiornato in base ai nuovi metodi di attacco informatico. Manca una standardizzazione tra le compagnie assicurative e occorre fare di più per garantire il rispetto di uno standard normativo in termini di copertura.
Le organizzazioni sono spesso prese di mira per una serie di motivi, tra cui il guadagno finanziario è la motivazione più comune. Gli aggressori utilizzano diversi modi per accedere alle informazioni sensibili, dal phishing all’hacking dei sistemi per estrarre informazioni sensibili.
La cyber insurance costituisce solo una parte della pratica di una buona resilienza informatica. Sebbene fornisca una garanzia finanziaria, non elimina il fatto che un attacco informatico abbia avuto luogo e che la fiducia dell’organizzazione sia stata compromessa. Oltre alla crittografia dei dati sensibili, all’installazione di software di cybersecurity e alla regolare formazione del personale in materia di cyberattacchi, il backup dei dati è un buon modo per garantire la continuità operativa in caso di attacco e per evitare che gli hacker possano chiedere denaro alle organizzazioni per riavere i loro dati.
Il backup dei dati deve essere sempre eseguito secondo la regola del 3-2-1-1-0, che prevede tre copie dei dati su due supporti diversi, di cui una fuori sede e un’altra offline, con air-gapped o immutabile e, infine, con un sistema di ripristino che non contenga errori. In questo modo si salvaguardano i dati e si garantisce che, nel caso in cui un’azienda vada offline, i dati possano essere ripristinati rapidamente con tempi di inattività minimi o nulli.
Secondo il recente report di Veeam Data Protection Trends, l’82% delle organizzazioni presenta un “Availability Gap” tra la rapidità con cui i sistemi devono essere ripristinati e la rapidità con cui l’IT è in grado di ripristinarli. Un altro 79% cita un “gap di protezione” tra la quantità di dati che possono perdere e la frequenza con cui l’IT protegge i dati nel cloud e in sede. Ciò evidenzia ulteriormente l’importanza del numero di copie di backup da avere.
In definitiva, un backup solido è l’assicurazione di cui le organizzazioni hanno bisogno. L’assicurazione informatica può far parte di un piano generale, ma non è saggio affidarsi esclusivamente ad essa. Poiché il panorama tecnologico continua a progredire e a crescere, le aziende devono difendersi da sole dagli attacchi informatici.
