Cos’è una Cyber Insurance (assicurazione cyber risk)?

Ogni anno, i data breach causano perdite miliardarie alle aziende. Le cyber insurance, conosciute anche come polizze o assicurazioni cyber risk, aiutano a ridurre i costi e le responsabilità legati agli incidenti di cybersecurity. Una polizza cyber risk limita le spese derivanti da eventi come ransomware, data breach o compromissioni della rete, proteggendo le aziende da gravi perdite finanziarie.

Le aziende che ospitano o conservano informazioni sensibili possono trarre grande vantaggio da un’assicurazione cyber risk. Più il rischio è elevato, maggiore è l’importanza di acquistare polizze assicurative cyber per ridurre i costi legati a una violazione dei dati o a un grave attacco informatico. In caso di furto di dati, le aziende devono affrontare spese significative, come risposta all’incidente, bonifica, danni al marchio, controversie legali, multe per la conformità e risarcimenti ai clienti. Un’assicurazione cyber risk aiuta a coprire parte di questi costi.

Anche la perdita o la distruzione dei dati, ad esempio a causa di un ransomware, rappresentano rischi concreti derivanti da una compromissione. Le polizze assicurative cyber offrono copertura per i costi di ricaduta di tali incidenti. Un ransomware, in particolare, è un evento paralizzante che potrebbe richiedere settimane di disaster recovery. Una cyber insurance consente di coprire una parte di questi costi, limitando i danni per l’azienda.

Dopo un incidente di cybersecurity, un’azienda deve affrontare diversi costi legati alle azioni di rimedio, che possono includere:

• Risposta all’incidente
• Contenimento
• Indagini forensi e accertamenti
• Contenzioso
• Audit di conformità
• Aggiornamento delle infrastrutture di sicurezza e modifiche alle politiche

Qualsiasi evento informatico che comporta perdita di dati, indagini e altre conseguenze economiche può essere coperto da una polizza cyber insurance. Tuttavia, la portata della copertura dipende dalla compagnia assicurativa e dal tipo di polizza scelto. Il tipo di copertura influisce anche sul premio della polizza, un fattore spesso determinante per le organizzazioni.

La maggior parte delle polizze include la copertura per costi associati a furti di credenziali, phishing, ransomware, malware e minacce interne.

Molte polizze assicurative escludono esplicitamente gli eventi di cybersecurity dalla copertura. Ad esempio, le polizze di responsabilità civile generale non includono gli attacchi informatici o il furto di dati digitali. Di conseguenza, le aziende devono spesso acquistare una polizza cyber risk specifica. (È sempre consigliabile controllare la propria polizza per verificare le coperture incluse.)

Un singolo incidente di cybersecurity può costare decine di migliaia di dollari, rendendo troppo oneroso includerlo nelle polizze di responsabilità civile standard. Inoltre, il volume dei rischi legati alla cybersecurity incide significativamente sui premi assicurativi. Questo rappresenta una sfida per il calcolo attuariale, soprattutto quando le organizzazioni crescono e aggiungono nuove infrastrutture al loro ambiente.

Il costo di una polizza cyber risk varia in base ai rischi e alle esigenze specifiche di ogni azienda. Fattori come le dimensioni dell’organizzazione e il fatturato annuo influenzano i premi assicurativi. Inoltre, settori ad alto rischio, come sanità e finanza, sono spesso bersagli preferenziali per gli attacchi informatici, il che può incidere sia sui costi che sulla copertura offerta.

Come per le polizze assicurative generali, anche il passato dell’azienda incide sul costo della cyber insurance. Un’organizzazione che ha già subito attacchi informatici tenderà a pagare premi e franchigie più alti rispetto a una che ha dimostrato di saper difendersi efficacemente dai cybercriminali.

I costi e le coperture di una polizza cyber risk variano in base a diversi fattori. Ogni compagnia assicurativa propone pacchetti e polizze specifici. Solitamente, gli agenti assicurativi forniscono preventivi con diverse opzioni di copertura e relativi costi, lasciando al titolare dell’azienda la possibilità di scegliere la polizza più adatta.

In generale, l’assicurazione informatica copre:

• Perdita di dati e recupero.
• Perdita di fatturato: copertura dei mancati guadagni dovuti all’interruzione delle attività a seguito di un incidente di cybersecurity.
• Perdita di denaro a causa di frodi, social engineering.
• Perdita di fondi dovuta a frodi informatiche ed estorsioni.

Questi elementi coprono gli aspetti diretti dell’incidente informatico. Tuttavia, molte polizze includono anche le conseguenze e gli sviluppi successivi a una violazione dei dati.

Dopo una violazione dei dati, una polizza cyber risk potrebbe coprire:

• Costi di notifica: spese per identificare le vittime e avvisarle della violazione, come richiesto dalle normative di conformità.
• Monitoraggio del credito: costi per offrire alle vittime (clienti) servizi di monitoraggio del credito in seguito a una perdita di dati e furto di identità.
• Contenzioso civile: spese legali e risarcimenti per i clienti danneggiati.
• Indagini forensi: costi per l’assunzione di consulenti ed esperti forensi per analizzare i danni e le cause principali.
• Danni al brand: costi legati alle attività di pubbliche relazioni per riparare i danni alla reputazione dell’organizzazione.

Le aziende dovrebbero consultare la propria compagnia assicurativa per verificare se la copertura include strumenti utili a prevenire gli attacchi prima che si verifichino. Alcune compagnie assicurative offrono corsi di formazione per prevenire i rischi legati al phishing e al social engineering.

Le aziende acquistano polizze di cyber insurance per coprire le perdite finanziarie derivanti da incidenti di cybersecurity. Tuttavia, queste polizze non offrono una copertura completa. Ad esempio, non includono le perdite di fatturato future previste. Inoltre, la perdita di proprietà intellettuale causata da una violazione dei dati richiede una polizza specifica e dedicata.

Anche gli atti di guerra da parte di aggressori stranieri sono generalmente esclusi dalla copertura. Allo stesso modo, i costi relativi alla costruzione o al potenziamento di un’infrastruttura di sicurezza informatica, sia prima che dopo una violazione, potrebbero non essere inclusi.

Per evitare sorprese, è fondamentale verificare attentamente le esclusioni e i limiti specifici della polizza con la propria compagnia di assicurazione.

Come qualsiasi altra polizza assicurativa, anche le polizze di cyber insurance prevedono una franchigia. Tuttavia, è possibile scegliere l’importo della franchigia al momento della stipula della polizza.

Le compagnie assicurative offrono diverse opzioni di franchigia, e il valore scelto influenzerà il costo dei premi assicurativi. Più bassa è la franchigia, maggiore sarà l’importo del premio che l’azienda dovrà pagare.

Potrebbe sembrare che una polizza cyber risk sia la soluzione definitiva in caso di violazione dei dati. Tuttavia, la cyber insurance dovrebbe essere considerata un complemento alla strategia di cybersecurity, mai una sua sostituzione.

È fondamentale leggere attentamente la polizza di assicurazione informatica per verificare che tutti i termini e le condizioni siano rispettati, incluso un piano che copra l’infrastruttura necessaria a proteggere i dati.

Una violazione dei dati può essere estremamente costosa, e una polizza cyber risk non copre le entrate future derivanti da nuovi prodotti o dalla crescita dell’azienda. Inoltre, la perdita di fatturato legata a danni al marchio e ai costi associati a una violazione può compromettere in modo permanente i ricavi futuri.

Per questo motivo, è essenziale che un’azienda disponga di una solida strategia di cybersecurity, in grado di ridurre i rischi e prevenire le violazioni.

Nel 2017, diversi importanti eventi di cybersecurity hanno causato la distruzione di dati in grandi organizzazioni e enti governativi a livello globale. Tra i ransomware più noti ci sono stati WannaCry, Petya e NotPetya, che hanno colpito aziende di ogni dimensione.

Sebbene possa sembrare che una polizza di cyber insurance copra i danni causati da questi attacchi ransomware, gli esperti forensi hanno suggerito che gli attacchi potessero essere mirati contro specifici paesi.

Come già detto, gli “atti di guerra” non sono coperti dalla maggior parte delle polizze di assicurazione informatica. Dopo i numerosi attacchi ransomware del 2017, alcune compagnie assicurative hanno affermato di non dover pagare i danni da ransomware perché considerati un atto di guerra. Questo ha lasciato diverse organizzazioni a dover coprire le spese dopo un danno da ransomware, uno degli attacchi più costosi al giorno d’oggi.

Il primo passo per sottoscrivere una polizza contro il cyber risk è verificare la propria infrastruttura e documentare le politiche e i sistemi di cybersecurity in essere. Per determinare la copertura e i costi, le compagnie di assicurazione informatica richiedono informazioni dettagliate sulle difese già implementate. Infatti, nessuna compagnia è disposta a coprire un’organizzazione priva di una strategia e di un’infrastruttura di sicurezza informatica adeguata.

Un’azienda senza difese adeguate è fortemente esposta al rischio di una o più violazioni dei dati.

Dopo aver verificato l’infrastruttura di cybersecurity, il passo successivo è contattare diverse compagnie assicurative per confrontare le offerte. Ogni compagnia avrà i propri standard di polizza, eccezioni e costi. Per questo è fondamentale leggere con attenzione i termini e le condizioni prima di sottoscrivere una polizza.

La compagnia assicurativa valuterà le attuali strategie di cybersecurity della tua azienda per determinare il livello di rischio e decidere se accettare o meno di offrirti una copertura.

Gli incidenti di cybersecurity costano miliardi alle organizzazioni ogni anno. I costi di un singolo evento, inclusi contenimento, bonifica, indagini e perdite monetarie legate ai danni al marchio e alle violazioni della conformità, possono facilmente raggiungere cifre a sei zeri. Con un numero sempre maggiore di organizzazioni consapevoli di questi costi enormi, cresce la domanda di polizze che coprano i danni e le perdite economiche derivanti da tali eventi.

Tuttavia, le compagnie assicurative personalizzano le polizze in modo da garantire un margine di guadagno sui premi. Questo implica l’inserimento di clausole di esclusione nel contratto, che limitano la copertura a casi in cui l’organizzazione abbia implementato adeguate difese informatiche e adottato tutte le misure necessarie per prevenire compromissioni.

Le assicurazioni sono spesso riluttanti a offrire polizze a organizzazioni con controlli di cybersecurity carenti. Di conseguenza, è essenziale implementare strategie e infrastrutture di sicurezza efficaci prima di cercare un fornitore di assicurazione. Migliorare i controlli di cybersecurity non solo riduce il rischio di incidenti, ma contribuisce anche ad abbassare i premi assicurativi e i costi di copertura.

Prima di acquistare una polizza, un’organizzazione può ridurre i costi dei premi investendo in un’infrastruttura di sicurezza informatica completa ed efficace in tutto l’ambiente aziendale.