Il numero crescente di attacchi informatici e l’ammontare dei danni che ne derivano hanno determinato un aumento della domanda per la cosiddetta “cyber insurance”, ovvero l’assicurazione contro i cyber attacchi. La società Swiss Re Insurance prevede che i premi totali pagati dalle aziende saranno più che raddoppiati, passando da 10 miliardi di dollari nel 2020 a 23 miliardi di dollari entro il 2025. Eppure, sia le compagnie assicurative sia i clienti si stanno chiedendo se l’assicurazione contro gli attacchi informatici sia davvero efficace, se sia realizzabile, cosa copra e cosa permetta di fare
Questa settimana il CEO di Zurich Insurance, Mario Greco, ha dichiarato in un’intervista al Financial Times che i cyberattacchi diventeranno presto “non assicurabili”. In effetti, l’assicurazione e la prevenzione si sono dimostrate entrambe inefficaci nel fermare gli attacchi informatici come il ransomware o nel consentire alle organizzazioni di riprendersi in seguito a un attacco. Le organizzazioni dovrebbero invece spostare la propria attenzione sul recovery, ma cosa possono fare per affrontare questa sfida? Albert Zammar, Regional Director SEMEA di Cohesity, società specializzata in data management e sicurezza, ha elaborato tre raccomandazioni che le aziende dovrebbero seguire.
Oltre 400 milioni di dollari: a tanto ammonta il danno causato nel 2019 dalla fuga di dati di Capital One. Da allora il numero di attacchi di questo tipo, che hanno conseguenze catastrofiche per le aziende colpite, è in continuo aumento. Secondo Check Point, solo nel terzo trimestre del 2022 gli attacchi globali sono aumentati significativamente del 28% rispetto allo stesso trimestre dell’anno precedente.
Se prima il rischio informatico era concentrato su aree quali la violazione dei dati e la responsabilità civile, con l’avvento degli attacchi ransomware i danni maggiori interessano il core business delle aziende e la loro responsabilità. Gli assicuratori che si occupano di cyber insurance hanno dovuto reagire all’aumento del rischio e hanno adeguato le proprie offerte, come dimostra un’analisi di Swiss Re Insurance. La redditività delle assicurazioni cyber negli Stati Uniti è peggiorata significativamente nel 2020. La situazione si è stabilizzata nell’ultimo anno, poiché i clienti hanno dovuto pagare premi più elevati e rispettare termini e condizioni più rigidi. Swiss Re Insurance prevede che i premi totali pagati saranno più che raddoppiati, passando da 10 a 23 miliardi di dollari entro il 2025.
Più costoso e più difficile da qualificare
Si tratta di una cattiva notizia per le aziende, poiché gli assicuratori stanno diventando più severi e hanno cominciato a chiedere premi più elevati. Gli esperti legali di Cohesity hanno analizzato le principali polizze assicurative contro il ransomware presenti sul mercato alla fine del 2022 e hanno scoperto che, in ultima analisi, tali polizze sono poco più che limitazioni di responsabilità poco velate che avvantaggiano gli assicuratori, non i clienti.
Tuttavia, esistono alcune misure che le aziende possono adottare per proteggersi efficacemente in questa nuova situazione di mercato:
- La strategia del “3-2-1” rimane attuale: conservare una copia isolata dei dati
Per qualificarsi per ottenere un’assicurazione informatica alle scuole pubbliche di Clayton County è stato richiesto di mettere in quarantena una copia off-site dei dati di produzione come parte di una strategia “3-2-1”, il modello che prevede tre copie di dati, su due supporti diversi, uno dei quali conservato appunto in un ambiente off-site.
Per farlo, possono utilizzare un servizio SaaS come Fort Knox, che conserva una copia crittografata dei dati di produzione nel cloud, isolata da un virtual air gap. I dati memorizzati sono monitorati con funzioni di sicurezza a più livelli e Machine learning, e le anomalie vengono segnalate immediatamente.
- Abbattere i silos e unire i dati in un’ottica Zero-trust
In generale, le aziende dovrebbero consolidare tutti i propri dati distribuiti su una piattaforma di gestione dei dati scalabile e assicurarsi di poter eseguire il backup dei dati su tutte le infrastrutture e gli asset. Inoltre, i dati devono essere protetti secondo un modello Zero Trust, in cui i dati sono crittografati durante il trasferimento e su questo storage l’accesso è strettamente regolato da regole e autenticazione a multi-fattore. Inoltre, tutti i dati memorizzati possono essere gestiti in base ai requisiti di compliance e, grazie allo storage immutabile, sono più protetti contro i ransomware.
- Migliorare la collaborazione tra i team IT e SecOps per la resilienza informatica
Oltre a queste misure tecniche, le aziende dovrebbero ottimizzare la collaborazione tra i team IT e i team security e adottare un approccio incentrato sui dati per la resilienza informatica. Per troppo tempo, molti team di sicurezza si sono concentrati principalmente sulla prevenzione degli attacchi informatici, mentre i team IT si sono concentrati sulla protezione dei dati, compresi backup e recovery.
Una strategia completa di sicurezza dei dati deve unire questi due mondi e i team IT e SecOps devono collaborare prima che si verifichi un attacco. Entrambi i team dovrebbero essere guidati dal framework NIST. Questo approccio olistico definisce cinque passi fondamentali: identificare, proteggere, rilevare, rispondere e ripristinare.
Un’azienda, che dimostri di avere una strategia di sicurezza dei dati così matura, non solo ne trarrà vantaggio in termini di copertura assicurativa, ma ridurrà in generale il rischio di incidenti e di possibili danni conseguenti a guasti o perdite di dati.