Quali sono i suggerimenti per individuare la migliore copertura assicurativa per i rischi cyber? Cosa è cambiato negli ultimi anni e perché è sempre più difficile assicurarsi? A cosa fare attenzione nel momento in cui la copertura è attiva?
Riportiamo su questi temi l’intervista di Elena Vaciago, Research Manager di The Innovation Group, a Cesare Burei, CEO Margas, Broker e Consulente di Assicurazioni, nel corso del “Cybersecurity Summit 2023” di The Innovation Group, lo scorso 9 marzo 2023 a Milano.
Elena Vaciago. Parliamo di come trasferire il rischio di incorrere in un incidente cyber con un’assicurazione cyber: cosa sta succedendo? perché è sempre più difficile avere una copertura cyber? quali sono gli aspetti critici da considerare?
Cesare Burei. La polizza è uno strumento sicuramente molto utile nell’aiutare le aziende a far fronte ai rischi cyber, ma c’è un problema: i dati che il mercato assicurativo sta chiedendo (tramite la compilazione dei questionari) sono insufficienti per una buona valutazione di questo rischio.
La polizza aiuta l’azienda, non tanto a trasferire il rischio, ma a finanziarlo. Fornisce cioè all’azienda un cash flow, aiuta a coprire finanziariamente un’eventuale interruzione di esercizio causata, ad esempio, da un evento ransomware. Può inoltre fornire le professionalità, il cosiddetto Incident Team Response, ossia un team che interviene in situazioni di emergenza (come “pompieri digitali”).
È fondamentale, però, che venga fatta una valutazione del rischio accurata e approfondita, non può e non deve basarsi unicamente su un questionario composto da poche domande.
Il mercato assicurativo ha una grande paura in questo momento: teme un evento sistemico, cioè un evento che arriva a colpire a livello mondiale chiunque. Ricordo alcuni casi: Log4j, Kaseya, SolarWinds … hanno portato gli assicuratori a fare delle marce indietro e a mettere dei paletti molto importanti in fase assuntiva del rischio. E questo ha portato ad alzare l’asticella, quando le aziende non erano pronte.
C’è stata una dichiarazione pubblica di Mario Greco, CEO di Zurich Insurance, che ha affermato di non voler più fare polizze cyber. Questo è un po’ il termometro di quanto il mercato assicurativo conosca poco il mondo della cybersecurity. Ed è altrettanto un peccato, è un gap culturale di linguaggio, non ci capiamo. Io stesso molto spesso più che fare il broker assicurativo, affermo di essere un “mediatore culturale”, perché allo stesso tavolo devo far sedere il CEO, il CFO, il Direttore di produzione e tutta la parte IT, e hanno basi culturali completamente diverse. Nel momento in cui condividiamo un linguaggio e ci capiamo, allora siamo in grado di avvicinarci al processo che porterà alla stipula della polizza. L’assicuratore deve quindi mettersi al fianco del board, non deve essere l’ultimo della catena che stipula la polizza solo sulla base del questionario: deve essere un partner nella discussione dell’azienda.
Elena Vaciago. Come sono cambiate le polizze negli ultimi due anni?
Cesare Burei. Negli ultimi due anni le polizze sono cambiate soprattutto a livello di requisiti. Una polizza seria ha più o meno sempre le stesse sezioni: la parte di responsabilità civile nei confronti di terzi o di data breach, la risposta al garante, i costi di notifica, la richiesta di risarcimento da parte di chi è stato soggetto al data breach, eccetera. Gli assicuratori stanno però chiedendo sempre più requisiti. L’attacco a Coinbase è stato un attacco di smishing con studio della struttura aziendale e la mia prima linea di difesa sono i dipendenti, questo è un requisito. Poi back up, analisi dei log, XDR ecc. sono requisiti minimi. La pandemia ha cambiato gli accessi da remoto e non sono più accettati dagli assicuratori se non protetti da VPN ed MFA, questo è diventato tassativo, mentre era facoltativo fino a luglio 2022. Quindi i requisiti si stanno alzando, ma il mercato non è pronto. Le aziende vorrebbero la polizza ma non riescono ad accedervi.
Elena Vaciago. Quanto è oggi possibile assicurarsi contro un attacco ransomware?
Cesare Burei. È possibile parlando con l’assicuratore, spiegando come sono protetto, facendo quel famoso tavolo composto da CEO, il CFO, Direttore di produzione e parte IT. Perché se ci si ferma al questionario, e alla domanda “hai subito un attacco ransomware?”, e la risposta è affermativa, allora le compagnie assicurative respingono la richiesta. Negli Stati Uniti è diffusa l’idea per cui chi sbaglia di solito è più anti-fragile di chi non sbaglia, perché impara dall’errore; quindi, è ammesso che io abbia avuto un attacco ransomware, la domanda giusta è “Cosa hai fatto per migliorare?”, così ci arrivo all’assicurazione prima o poi. Si deve interloquire, se ci fermiamo alle sole comunicazioni via mail non andiamo da nessuna parte.
Elena Vaciago. Sono arrivato ad avere l’assicurazione, però devo essere anche pronto a farla funzionare … come fare?
Cesare Burei. La polizza incendi è quella tradizionale richiesta dalle aziende: la legge 81/2008 infatti ci ha obbligati ad avere le squadre antincendio, le procedure antincendio, gli impianti di estinzione. La normativa europea che sta arrivando, almeno per le aziende sopra un certo livello, ci costringe ad avere le squadre digitali, l’allenamento agli eventi digitali, stabilire prima chi fa cosa, come lo fa e quando lo fa, le deleghe, come comunico all’interno dell’azienda, tutto questo per evitare il panico. Una comunicazione prima di tutto intraziendale, concordata per affrontare il caso di incidente con una risposta unitaria e coordinata. Molto importante da ricordare, devo essere in grado di raccogliere le prove, perché anche se la polizza è fatta bene, l’onere della prova rimane comunque a carico dell’assicurato. Quindi, aspetto fondamentale, i sistemi che ho in casa devono essere in grado di raccogliere le prove, con cui dimostro all’assicuratore cosa è successo e quali sono state le conseguenze dell’attacco.
Guarda il video completo con l’intervento di Cesare Burei, CEO Margas, Broker e Consulente di Assicurazioni:
———-
Il tema della mitigazione dei rischi di cybersecurity sarà affrontato nuovamente quest’anno nel corso del CYBERSECURITY SUMMIT 2023, il prossimo 11 maggio 2023 a Roma.
Consulta l’Agenda del CYBERSECURITY SUMMIT 2023 di Roma.
Registrati subito! (posti limitati, soggetti ad autorizzazione della segreteria organizzativa dell’evento).
