Le aziende devono valutare attentamente il rischio del digitale, specialmente dopo che, nel periodo post-pandemico, la transizione al cloud è accelerata. Con l’obbligatorietà del cloud anche nelle Pubbliche Amministrazioni e l’introduzione di normative europee, è cruciale collegare la trasformazione digitale a una valutazione accurata del rischio. Il tema delle coperture assicurative che dovrebbero accompagnare la trasformazione digitale è spesso trascurato. Invece, bisognerebbe considerare l’assicurazione come parte integrante di qualsiasi iniziativa digitale, in quanto funzionale alla gestione del rischio associato. Ne abbiamo parlato con Cesare Burei, CEO Margas, Broker assicurativo, durante il CYBERSECURITY SUMMIT 2024 dello scorso 29 febbraio a Milano.
“Chi si vuole assicurare deve passare comunque dalla compilazione di uno più questionari, tanti quanti sono le compagnie che si vogliono interpellare – ha osservato Cesare Burei -. Non ci si stupisca di trovarsi davanti a questionari troppo stringati e superficiali, troppo dettagliati o magari poco attinenti al tipo di attività che si svolge. Avere come partner un broker competente potrebbe essere utile a garantirsi una preselezione e poi un percorso di analisi del rischio che migliori la sua rappresentazione alla compagnia, oltre che il grado di consapevolezza interno”.
È poi consigliabile valutare il fornitore cloud indipendentemente dalle considerazioni assicurative. L’adozione del cloud comporta sempre una responsabilità, dal momento che vi posizioniamo i nostri dati e il nostro know how. È essenziale esaminare attentamente i dettagli dei contratti con i fornitori cloud, specialmente per quanto riguarda la sicurezza dei dati. “Nelle PMI, è comune sottoscrivere contratti con fornitori cloud solo per motivi di costo, senza valutarne la conformità o verificare la certificazione del fornitore – ha detto Cesare Burei -. Questo comporta un rischio significativo, che non dovrebbe essere accettato a prescindere”.
Come fare in modo che la copertura assicurativa funzioni in caso di evento catastrofico? Ossia, far sì che l’azienda non abbia false aspettative sulla cyber insurance?
“La copertura assicurativa richiede un’attenta valutazione dell’impatto economico che un incidente cibernetico potrebbe avere sull’infrastruttura aziendale. È essenziale chiarire le aspettative prima della sottoscrizione del contratto assicurativo, poiché spesso le assicurazioni operano su parametri diversi da quelli attesi dall’azienda” ha detto Cesare Burei.
Ad esempio, è comune avere aspettative di risarcimento per i mancati ricavi durante i giorni di fermo, ma le assicurazioni di solito considerano il margine operativo, che è un importo molto inferiore. È importante quindi simulare le possibili situazioni e ipotizzare i risultati, al fine di valutare correttamente se la copertura assicurativa sia adeguata, anche in relazione al suo costo.
“Inoltre, per far sì che la copertura assicurativa funzioni efficacemente, sono necessarie prove o dati che supportino la richiesta di risarcimento” ha aggiunto Burei. Questo può includere prove dell’evento e analisi forense per determinare le cause e le modalità di accesso all’infrastruttura. Senza queste prove, il contratto assicurativo potrebbe non essere attivato correttamente.
È importante sottolineare che l’assicurazione è uno strumento di risk financing e non trasferisce completamente il rischio all’assicurazione stessa. Le assicurazioni finanziano le operazioni di ripresa e mitigano gli impatti finanziari dovuti a un fermo delle attività, ma non risarciscono mai il valore intrinseco dei dati persi. Pertanto, è preferibile parlare di risk financing piuttosto che di risk transfer quando si tratta di copertura assicurativa per eventi catastrofici nel campo della cybersecurity.
Quali sono quindi i fondamentali per una buona copertura cyber?
“Come componente del comitato tecnico scientifico di Aiba, l’Associazione italiana dei Broker assicurativi, lavoriamo insieme agli assicuratori e facciamo formazione sui rischi digitali – ha detto Burei -. Una linea guida che raccomandiamo è la ISO 27102 (Guidelines for Cyber Insurance), della famiglia 27000: spiega come dovrebbe essere strutturata una polizza cyber. L’ultimo aggiornamento è del 2021, abbastanza recente: dice cosa dovrebbe contenere una polizza ideale. Il contratto cyber è tra i più complicati da leggere, capire e dunque far funzionare. In particolare la scelta finale del prodotto più adeguato si basa in prima battuta sulle definizioni e il loro perimetro. Ho personalmente partecipato a un tavolo di lavoro IVASS a seguito del quale l’organismo oggi raccomanda alle compagnie assicurative di uniformare il più possibile le definizioni attingendo al Cyber Lexicon FSE, che è costruito con definizioni che provengono da ISO, UNI, dalle norme europee, e quindi è fatto molto bene. Capite bene per esempio l’importanza della chiarezza nella definizione di Dato piuttosto che di Sistema informativo o Incidente Cyber, e come l’una o l’altra possano farmi propendere per un contratto piuttosto che per un altro”.
Quindi è molto importante il lavoro preliminare, per conoscere bene il proprio rischio, ancora prima di pensare di assicurarsi. “Per capirci meglio – ha detto Burei – attingiamo all’esperienza ultra centenaria della polizza incendio. Per avere un risarcimento adeguato di beni distrutti, bisogna fare una stima preventiva dei beni da assicurare. Allo stesso modo devo poter calibrare il massimale della mia polizza cyber, mettere in polizza dei valori congruenti al danno che potrei subire. Per fare questo, oltre ad un vulnerability assessment e penetration test, è utile un digital asset inventory periodico, che, insieme a metodologie e tecnologie volte a tracciare l’evento catastrofale rispetto a una condizione pre-sinistro, ci fornirà le prove della magnitudo del danno da quantificare alla compagnia post sinistro”.
Parliamo del pagamento del riscatto in caso di ransomware. “Una premessa: ad oggi, il pagamento non è riconosciuto come reato – ha aggiunto Burei -. Gli assicuratori anglosassoni, previe alcune verifiche e paletti, possono autorizzare l’azienda a pagare il riscatto e poi risarciscono. L’assicuratore anglosassone pragmaticamente affronta così il tema: nel caso in cui la richiesta di riscatto sia minore rispetto al costo totale del danno, dopo alcune verifiche, consiglia di pagare. Se l’azienda non riesce però a tornare in possesso dei dati, si prosegue con le attività di Incident Response, che saranno rimborsate a piè di lista dalla compagnia. Oggi, sul riconoscimento di reato del ransomware, si sta discutendo a livello internazionale: è area grigia che vede molti assicuratori indecisi”.
È ora disponibile il video completo dell’intervento di Cesare Burei: