Il cyber risk o rischio informatico fa riferimento a qualsiasi rischio di perdita finanziaria, distruzione o danno alla reputazione di un’organizzazione dovuta ad un malfunzionamento del sistema informativo.
Il cyber risk è diventato uno dei principali rischi che corrono le aziende in un sistema sempre più informatizzato e dove tutto è interconnesso.
Gli attacchi informatici, allo scopo di danneggiare l’azienda o per entrare in possesso di informazioni sensibili, sono in costante aumento e nonostante sia classificato un rischio ad alta frequenza e ad alta intensità, viene spesso sottovalutato.
Lo sviluppo delle tecnologie digitali costringe le aziende a trattare informaticamente una mole importante di dati e informazioni proprie e dei propri clienti e fornitori, gli impianti e i macchinari sono spesso connessi in rete e tutto questo espone l’azienda a rischi notevoli in caso di attacco informatico.
Se analizziamo la crescita esponenziale degli ultimi anni attraverso il grafico di CHUBB https://chubbcyberindex.com/#/incident-growth ci rendiamo conto che non è questione di SE accadrà ma di QUANDO accadrà.
L’unica arma che abbiamo è la prevenzione abbinata ad una copertura assicurativa che oltre a pagare i costi del sinistro possa aiutare con servizi di INCIDENT RESPONSE e di LOSS MITIGATION.
Tipologie di dati esposti e possibili danni:
Le principali tipologie di dati esposti ad un attacco sono tre: dati personali, medici e finanziari con conseguente determinazione di varie classi di danni che le aziende potrebbero dover sostenere:
- Costi di intervento tempestivo di tecnici ed esperti (Incident Response) al fine di risolvere il problema e ripristinare l’operatività (hardware, software ma non solo). Esempi pratici possono essere la violazione di un Hacker il quale, riuscendo a penetrare attraverso un firewall ha effettuato un’azione di intercettazione dei dati della rete oppure nel caso di un impianto di produzione industriale, ha attivato da remoto un corto circuito ai sistemi di controllo.
- Costi per danni diretti causati da violazione alla sicurezza informatica (Data Breach) dei dati di proprietà dell’azienda, di clienti o di fornitori e la conseguente perdita, modifica, divulgazione o furto non autorizzata degli stessi.
- Costi per danni immateriali diretti ed indiretti come la Business Interruption (danno da interruzione di attività dell’azienda) e le conseguenti perdite di profitto.
- Costi per sostenere le richieste di risarcimento da parte di terzi (fornitori, clienti etc..) per i danni causati dalla perdita o divulgazione di dati.
- Cyber Crime ovvero la perdita finanziaria a seguito del furto di denaro o titoli per mezzo di un attacco da parte di terzi e le conseguenti richieste di riscatto per la restituzione dei dati.
- Importantissimi inoltre sono i danni alla reputazione. Il non aver saputo proteggere i dati conservati può avere forti ripercussioni sull’immagine dell’azienda, sulla integrità ed affidabilità e non da ultimo sul fatturato conseguenza della perdita dei clienti e/o fornitori che non si sentono adeguatamente tutelati.
Comprensione del Cyber Risk, come proteggersi e mercato assicurativo:
La comprensione del Cyber Risk non è uniforme in tutti i settori. Nella maggior parte dei casi, si percepisce una diffusa sensazione di apparente sicurezza quando si parla di Cyber Risk per i settori delle costruzioni, dell’ingegneria, dell’industria, dell’industria manifatturiera e delle risorse naturali, per le quali è stato individuato un rischio relativamente basso, dovuto forse al fatto che questi settori non raccolgono molti dati personali sui clienti e, di conseguenza, potrebbero essere meno esposti di altri. Di contro invece si percepisce un rischio elevato, con perdite più frequenti, negli ambiti industriali.
Ogni azienda presenta alcuni elementi di vulnerabilità nell’ambito dell’organizzazione informatica e dei dati sensibili e non bastano un buon firewall, un antivirus e un antispam per avere un’adeguata protezione contro le violazioni dei dati personali e gli attacchi informatici. Per proteggersi, bisogna innanzitutto mettere in atto adeguate misure di prevenzione sia organizzative sia digitali e fisiche, facendo riferimento a quanto prescritto dal recente GDPR (Regolamento UE 2016/679).
Tuttavia, queste soluzioni non sempre sono sufficienti a eliminare completamente ogni fattore di rischio. Proprio per questo motivo, alcune aziende decidono di optare per il trasferimento del rischio e sottoscrivere una polizza assicurativa cyber risk.
La copertura assicurativa “Cyber Risk” è l’ultima fase di un processo ben definito che parte con l’analisi della realtà specifica dell’azienda, dal tipo di business che conduce al tipo di attività, fino alle caratteristiche dell’infrastruttura e al tipo di informazioni trattate, comprese le misure di prevenzione e protezione già in essere.
A fronte di questa analisi si deve tenere in considerazione che l’assicurazione deve essere intesa come “strumento di tutela”. Queste polizze sono strutturate su misura sulla base di tutte le considerazioni fatte sopra.
Pensate inizialmente per realtà aziendali di medie e grandi dimensioni, sono ora sottoscrivibili anche da liberi professionisti e piccole imprese.
