POLIZZA CYBER: L’EVOLUZIONE DEL MERCATO ASSICURATIVO TRA RANSOMWARE E CLAIMS MANAGEMENT

Negli ultimi anni abbiamo assistito a un esponenziale incremento della frequenza e della complessità degli eventi informatici avversi. Protagonista indiscusso è Il “ransomware”: l’entità dei riscatti è cresciuta vertiginosamente. Per questo la Polizza Cyber non può più prescindere da una corretta mitigazione del rischio.  L’assicuratore può essere determinante anche nella gestione in tempo reale dell’attacco. Come? Ce lo raccontano Luca Achilli e Ruggero Di Mauro, rispettivamente Direttore Sviluppo Healthcare e Key Account Manager di Sham – gruppo Relyens

Il “ransomware” è una particolare tipologia di malware (malicious software) che criptati dati e sistemi delle aziende, rendendoli di fatto inaccessibili, richiede il pagamento di un riscatto (ransom in inglese) per il rilascio della chiave di decifratura. I ransomware di ultima generazione, inoltre, prevedono un riscatto iniziale con possibilità di pagamento entro una breve finestra temporale (e.g. una settimana) con minaccia – in caso di mancato pagamento entro quel termine – di un aumento esponenziale della richiesta di riscatto e di una pubblicazione nel web e/o nel deep web e/o nel dark web di Dati personali, societari e segreti industriali la cui confidenzialità è stata violata dall’attacco stesso. 

“Gli attacchi ransom sono cresciuti in tutta l’Europa continentale, passando dal 14 al 32 per cento di tutti gli eventi avversi cyber, e più che raddoppiando nel corso del solo 2020 – spiega Luca Achilli, Direttore Sviluppo Healthcare di Sham, Gruppo Reylens -. Negli ultimi anni, si è registrato anche un netto incremento nell’impatto causato dagli attacchi hacker, come dimostra il recente episodio al Centro elaborazione dati (CED) e ai sistemi informatici della Regione Lazio. Il settore sanitario in Italia è vulnerabile. Secondo uno studio da poco pubblicato, su 20 strutture sanitarie pubbliche e private tra le 100 più grandi per fatturato o dimensioni, il numero di indirizzi mail compromessi dai quali può pervenire un attacco è, in media, di 353.  Per compromesse si intendono le mail con password disponibili pubblicamente utilizzate in passato per registrarsi su siti che abbiano subito un databreach”.  

“E non si tratta certo dell’unica porta di ingresso per un attacco informatico. L’aumento dei ransomware –– continua Achilli – è alimentato dalla pandemia da Covid-19 e dai nuovi schemi ibridi home/office working.  Eventi cyber avversi sono destinati ad aumentare sia in funzione della crescente digitalizzazione della sanità che della sofisticazione dei gruppi criminali. È essenziale che, a tutti i livelli, le organizzazioni investano in sicurezza cyber. La stessa tutela assicurativa offerta da una Polizza Cyber atta al trasferimento del rischio residuale, che è parte integrante di questo processo di “cyber resiliance”, non può più prescindere da una corretta azione di mitigazione del rischio. Ciò significa che le compagnie assicurative stanno mostrando interesse nel diventare partner di primo piano del panorama della tutela cyber a 360°, offrendo, in abbinata al prodotto assicurativo, innovativi sistemi di prevenzione del rischio.  

Come sta reagendo il mercato assicurativo?  

Luca Achilli: Il mercato assicurativo sta attraversando una fase di “hard market”: assistiamo, infatti, da una parte ad un aumento dei premi e delle franchigie minime giudicate sostenibili dagli assicuratori (e dai riassicuratori); dall’altro ad una forte diminuzione della capacità assicurativa (massimale dispiegato dal singolo assicuratore per il cliente). Negli ultimi anni, infatti, malgrado la raccolta premi sia notevolmente aumentata grazie anche all’aumento della percezione del rischio cyber e ad una susseguente maggiore diffusione del prodotto assicurativo, l’incremento degli eventi cyber avversi – nel numero e nel valore – si è rivelato molto più che proporzionale. Ciò ha reso il mercato poco sostenibile nel lungo periodo con i tassi assicurativi, i massimali e le franchigie caratterizzanti la fase iniziale di diffusione del prodotto. Il mercato assicurativo, sempre più cauto nell’assunzione di new business, appare fortemente orientato nel garantire un rinnovo sostenibile del portafoglio esistente che porta a un repentino adeguamento delle condizioni di polizza. La direzione è quella di premi (tassi) sensibilmente più alti, franchigie più alte, massima esposizione della compagnia in termini di massimale centesimata e condizioni stringenti di rinnovo / assunzione nonché sottolimiti, scoperti e coassicurazione del cliente richiesta per le garanzie più impattate da sinistri, ransomware in primis.  

In che modo un assicuratore effettua la valutazione del rischio cyber? 

Ruggero Di Mauro: Fino a qualche anno fa, per acquistare una polizza assicurativa cyber era sufficiente la compilazione di un semplice questionario assuntivo. Non erano previste site visit né approfondimenti tecnici particolari. 

Il processo assuntivo, oggi, è ben strutturato e prevede, generalmente, le seguenti fasi: 

• Compilazione di un questionario assuntivo generico, che analizzi le macrotematiche di organizzazione IT, sicurezza IT, rischio IT 
• Compilazione di uno o più questionari specifici sulle seguenti aree: esternalizzazione, VPN, MFA, formazione 
• “Security call” e/o site visit e/o roadshow per analizzare nel dettaglio i punti di cui sopra nonché consegnare la security roadmap della Proponente per i prossimi 12/24/36 mesi 
• Ricerca delle CVE (Common Vulnerabilities Exposures) tramite piattaforme di big data in partnership con le compagnie assicurative e/o analisi non intrusiva degli indirizzi IP Pubblici della Proponente; dettaglio sul remediation plan delle stesse posto/da porre in essere 
• Eventuali approfondimenti su eventi / sinistri precedenti all’assunzione e/o al rinnovo 

Quanto incidono la cultura e la consapevolezza di un’azienda nella stesura delle polizze? 

R.D.M.: Le compagnie verificano una serie di variabili determinanti. Ad esempio, difficilmente rilasciano quotazioni ad organizzazioni con sistemi informatici obsoleti e non aggiornati. Un altro livello di sicurezza consiste nel sottoporre la struttura ad un rating da parte di società esterne leader nell’ambito Big Data e Analytics.  È una analisi informatica molto approfondita per capire quali e quanti siano gli indirizzi informatici pubblici dell’azienda e se siano finiti nel ‘mirino’ di attori terzi che operano nel dark web.  All’azienda viene attribuito un punteggio per ciascuna categoria di rischio: nel caso in cui il punteggio risultasse negativo, si potrà stabilire di proseguire con approfondimenti ad hoc e/o richieste di azioni di miglioramento, oppure di non procedere alla quotazione e di conseguenza di non assicurarla.  

Che ruolo ha l’assicuratore nella gestione di un attacco? 

R.D.M.: Gli eventi cyber, per loro natura, sono spesso complessi per la numerosità delle aree impattate e per la difficile gestione. Da un punto di vista Assicurativo / consulenza è determinante focalizzarsi sulla valorizzazione di un servizio di assistenza (incident response) telefonica 24/7/365 che permette di avere un contatto diretto e immediato con esperti in ambito IT, legale e PR per avere una second opinion esterna ed esperta utile ad agire in maniera tempestiva e corretta al fine di evitare il propagarsi del danno.  In questo senso, quindi, appare una strategia WIN-WIN (per la compagnia, che risolve in breve tempo => indennizzo ridotto il sinistro; per il cliente che ripristina il sistema informatico in breve tempo). 

In conclusione, come una struttura sanitaria deve considerare la polizza cyber? 

L.A.: Ci sono tre punti fondamentali da tenere a mente. Primo: La polizza Cyber è il principale strumento di trasferimento del rischio cyber residuale, sempre sapendo che, per sua natura, il rischio cyber non può essere portato a zero. Secondo: la polizza Cyber non è un contratto da mettere nel cassetto ed essere ripreso 12 mesi dopo per il rinnovo. È uno strumento dinamico che fornisce supporto e assistenza tutto l’anno tutti i giorni dell’anno. Per questo deve divenire parte integrante della governance sanitaria, integrandola ai piani di Disaster Recovery, Business Continuity, Incident Management e strutturando, insieme all’assicuratore, un efficace e tempestivo protocollo di gestione dei Claim). Terzo: la polizza cyber è, di per sé, per le analisi che precedono la sua stipulazione e per i meccanismi che genera la sua applicazione, uno strumento di mitigazione del rischio e prevenzione.