Questo argomento mi sta molto a cuore poiché in più di un’occasione mi sono trovato a discuterne in consessi troppo “caserecci” ed approssimativi quando in realtà si tratta di applicazioni complesse e delicate. Andiamo quindi per gradi e preparatevi a scendere nel mondo delle polizze assicurative per la cyber scurity.
Di cosa parliamo
Parliamo di una vera e propria assicurazione per il mondo ICT, esattamente alla medesima strega di un’assicurazione per l’auto, per la casa o sulla vita. Potete assicurare le tecnologie ICT in modo da proteggerle dai danni derivanti attacchi, perdita accidentale di dati e così via. Tenete presente che il mercato delle assicurazioni ICT è in espansione ma, al contempo, è ormai vecchiotto. Nel 2016 Altalex pubblica un articolo interessante in merito in cui mette a confronto diverse offerte di diverse compagnie, ad esempio:
Generali |
|
Allianz | Tutti i pacchetti assicurativi, prevedono le seguenti coperture:
|
Capite quindi che il panorama è vasto e datato allo stesso tempo, c’è una certa comprovata esperienza da parte delle assicurazioni di affrontare l’argomento anche se, sotto questo aspetto, ho trovato personalmente molti aspetti discutibili.
Come funzionano le assicurazioni di cyber security
Il maggior aspetto di difficoltà è la fase di assessment perché l’assicurazione deve avere la capacità di calcolare il rischio e, per farlo, ha bisogno di impostare alcuni parametri di riferimento che possano dargli idea della dimensione del parco ICT e del valore rappresentato da dati e infrastrutture. L’errore più comune che ho trovato sulla mia strada è la credenza (piuttosto sciocca a dire il vero) che per la parte corporate sia possibile effettuare una stima di rischio basata su potenziali tipi di attacco. Questo approccio, oltre ad esporre l’assicurazione, è spesso utilizzato da chi di cyber security sa poco o nulla, vediamo perché.
Il problema per le assicurazioni è calcolare il rischio, dato che gli attacchi cyber sono molto variabili e non ci sono ancora metriche affidabili per parametrarli”. “Di qui l’idea di partire dal mercato hosting, che fa grandi numeri e ha pacchetti di sicurezza standard, con cui le assicurazioni possono limitare il rischio [Andrea Rigoni – Intellium]
Aspetti tecnico-funzionali
Sarebbe bellissimo stimare i rischi sulla base dell’esposizione ad un certo numero di attacchi, peccato che solo nel 2017 le varianti del cryptolocker siano state tante e tali da mettere in crisi le principali istituzioni mondiali. Al momento, come sappiamo, non esistono antivirus in grado di eliminare il rischio di contaminazione da ransomware di tipo avanzato. Esiste solo il buon senso dell’utente a non utilizzare ed aprire determinati file. Questo comporta che l’assicurazione, soprattutto in ambito corporate, avrà bisogno di effettuare un assessment con tutto quello che ciò significa. Aprire il proprio reparto ICT può significare far firmare all’assicurazione un patto di non divulgazione ma è un processo più che necessario.
I pacchetti Premium e Plus estendono i massimali di copertura assicurativa, mentre nel solo pacchetto Plus è disponibile la consulenza di un esperto che individua le falle nella rete aziendale.[Altalex in merito all’offerta Allianz
In ambito corporate sarà quindi difficile stabilire il rischio facendo un elenco brutale di minacce a cui un’azienda può essere esposta, rispondendo semplicemente però ha l’antivirus. Si tratta di un processo ben più complesso che non si ferma all’armadio server per vedere se è installato un firewall ma dovrebbe scendere più in profondità per capire se, oltre ad essere installato, sia correttamente funzionante e ben configurato. Nel 2013 vi fu un attacco al Ministero dell’Interno, possiamo supporre (sperare) che il Ministero fosse protetto da apparati hardware ben superiori a quelli domestici e che fossero anche ben configurati. Ecco quindi il perché, quando mi sento dire che per determinare il rischio è sufficiente fare una lista degli attacchi, mi si accappona la pelle. È una risposta ignorante, riduttiva e francamente poco professionale. Ma allora cosa bisogna fare per determinare correttamente il rischio assicurativo ICT?
Altri aspetti
Oltre la determinazione del rischio tecnico, effettivamente condotto con un assessment approfondito, bisognerebbe parlare della determinazione del rischio organizzativo, ossia del rischio ICT derivante da errati processi organizzativi o da fenomeni volontari (sabotaggio). Quando spiego questo concetto la risposta più comune che mi sento dire è:
“Ma le aziende non apriranno mai i loro processi organizzativi a te che sei un’assicurazione”
FALSO! Perché l’azienda preferisce assicurare il valore dei propri dati che dover pagare un risarcimento da centinaia di migliaia di euro. Se per farlo deve aprire ad un’assicurazione i suoi processi aziendali, lo fa facendogli firmare un patto di non divulgazione (2 pagine di documento di media). Parliamo di un approccio più professionale, che scende in profondità al problema e, ad esempio, va ad analizzare se il personale ICT ha le competenze per affrontare adeguatamente una crisi informatica conseguente ad un’attacco. Ad esempio va a verificare se vi siano ruoli e responsabilità ben definite e ad analizzare se i meccanismi di data recovery sono stati definiti internamente alla struttura IT (procedura che normalmente dovrebbe essere formalizzata).
Attraverso un questionario va a sondare il tasso di alfabetizzazione informatica del personale che gestisce i dati più sensibili (tecnici, amministrativo-contabili) e cerca di capire se il rischio infrastrutturale è commisurato al rischio organizzativo. Non è possibile determinare correttamente il rischio ICT di un’impresa analizzando il solo reparto IT. È una falsità ed un approccio superficiale se non addirittura stupido. Questo deve esser chiaro.
Il rischio?
L’assicurazione X stipula una polizza per danni all’integrità dei dati. Secondo il modello “stupido” stabilisce il rischio inviando un suo dipendente nella struttura Ya fare un assessment delle tecnologie. Dall’assessment risulta che l’infrastruttura hardware e software è di altissimo livello: firewall di ultima generazione, regole configurate correttamente, protocolli di filtraggio molto stringenti. L’assicurazione X stipula la polizza e 48 ore dopo una finta fattura arriva nella casella di tre dipendenti della società che la aprono e mandano in compromissione i dati appena scaricati sul client e non trasferiti sul server. I dati sono persi.
Questa che vi ho raccontato non è un esempio, è un caso reale e pure abbastanza frequente. Se vi dicessi che stiamo parlando di una ASL e che i dati erano risultati di accertamenti di minori?
Se il consulente dell’assicurazione X avesse fatto qualche domanda ai dipendenti avrebbe scoperto, immediatamente, che dati salvati sul client non avevano copie shadow, che il meccanismo di trasferimento client/server non era automatico e sarebbero bastate queste due informazioni per far innalzare il rischio e non di poco.
Parliamo anche del fenomeno di sabotaggio, raro ma presente e rappresenta la minaccia più elevata poiché le azioni di sabotaggio hanno caratteristiche uniche:
- Il sabotaggio può avvenire in qualsiasi struttura organizzativa ed in qualsiasi settore.
- L’azione ha i connotati, molto spesso, di un’attività aziendale lecita e ciò la rende di difficile rilevazione.
- Gli effetti possono essere devastanti considerando che si attacca da dentro, e quindi in un perimetro relativamente meno protetto.
L’azione di sabotaggio è stata alla base dei più grandi scandali ICT a partire da Stuxnet e continua ad essere uno dei fenomeni più sottovalutati. Consideriamo anche che il sabotaggio potrebbe essere inconsapevole e determinato da un’azione di scarsa conoscenza.
Ecco quindi che questi fattori contribuiscono a rendere il calcolo del rischio più efficace, più adeguato e più sicuro sia per le assicurazioni che per l’assicurato. È sicuramente fuori dubbio il fatto che la procedura di accertamento del livello del rischio sia più complessa ma semplicemente perchè più approfondita e personalizzata.