Il think tank britannico RUSI (Royal United Services Institute) chiede uno sforzo agli assicuratori cyber per vincere la sfida sulla sicurezza informatica. I governi e le aziende stanno lottando per far fronte alla portata e alla complessità della gestione del rischio cyber. Nell’ultimo anno, il lavoro a distanza, il rapido processo di digitalizzazione e la necessità di una maggiore connettività hanno enfatizzato la sfida della sicurezza informatica.
Il contributo del settore assicurativo al miglioramento delle pratiche di sicurezza informatica è stato finora limitato, ma serve uno sforzo comune perché il ruolo delle assicurazioni è decisivo per vincere la sfida.
Secondo un documento pubblicato dagli analisti del think tank del Royal United Services Institute (Rusi), la grande minaccia è rappresentata dagli attacchi ransomware.
Sulla falsariga di quanto avvenuto per altre tipologie di rischio, gli assicuratori potrebbero replicare gli stessi schemi, sotto forma di premi per una buona gestione del rischio o attraverso l’offerta di vantaggi finanziari per le organizzazioni che adottano i migliori standard di sicurezza.
Tuttavia, gli autori del documento affermano che se esistono le leve per stimolare una migliore ricerca di sicurezza digitale, le soluzioni cyber disponibili sul mercato presentano “limiti significativi” e il settore “fatica a passare dalla teoria alla pratica”.
Perché le polizze cyber possano avere l’impatto desiderato, l’intero settore assicurativo deve migliorare non solo nella comprensione e nell’identificazione del rischio digitale, ma anche nella raccolta e nella condivisione di dati affidabili sul cyber risk per migliorare la fase di sottoscrizione e modellazione del rischio.
Senza questi dati, afferma il think tank Rusi, assicuratori e riassicuratori non sono essenzialmente in grado di valutare con precisione il rischio o le iniziative intraprese da un cliente in tema di sicurezza e non possono quindi valutare il pricing delle coperture in modo adeguato.
Inoltre, il mercato deve ancora adottare un modello per il corretto utilizzo degli incentivi finanziari o per migliorare le conoscenze informatiche della forza lavoro delle organizzazioni clienti. Il documento evidenzia come a causa di queste lacune il settore rischia di andare nella direzione sbagliata. Ad esempio, vengono ricordate le aspre critiche cui sono stati oggetto gli assicuratori che in diversi casi hanno facilitato i pagamenti dei riscatti richiesti dai cyber criminali dopo un attacco ransomware. Una modalità operativa che mette in moto un circolo vizioso secondo cui gli organi preposti alla tutela, favoriscono il finanziamento alle bande criminali e quindi incentivano nuove forme di attacco. Le alte perdite legate a sinistri connessi ad attacchi ransomware hanno peraltro spinto alcuni grandi assicuratori come Axa, a lasciare alcuni mercati.
Il documento di Rusi ha quindi formulato alcuni suggerimenti agli assicuratori cyber. Innanzitutto gli esperti del think tank britannico ritengono necessario prevedere nei contratti dei vari player, alcuni requisiti minimi di sicurezza per il processo di valutazione dei rischi delle PMI; una maggiore collaborazione con i provider IT, con i fornitori di servizi cloud e specialisti di intelligence. Si esortano inoltre il Cabinet Office e il Crown Commercial Service a provvedere alla messa a punto di un quadro giuridico che renda obbligatoria la copertura assicurativa cyber tra fornitori e venditori governativi. Si suggerisce al National Cyber Security Center (NCSC), alla National Crime Agency (NCA) e alle parti interessate del settore assicurativo di ricorrere ai modelli di partenariato pubblico-privato esistenti per combattere gli incidenti cyber e la criminalità finanziaria e stabilire processi di condivisione delle informazioni sulle minacce, sui dati sottratti e sui pagamenti del riscatto, il tutto in forma anonima. In caso di attacco ransomware gli assicurati dovrebbero obbligatoriamente informare l’NCSC e l’NCA prima di provvedere a qualunque pagamento; il settore assicurativo dovrebbe collaborare con l’NCSC e i partner informatici per creare una serie di controlli minimi sul ransomware basati sull’intelligence sulle minacce e sui dati sui sinistri.
Secondo Rusi dovrebbe anche essere inserito nel quadro normativo il divieto di pagamento di riscatto dopo attacco ransomware.
Sull’adozione di un divieto sui pagamenti di ransomware sembra esserci un certo consenso. Un report pubblicato circa un mese fa per celebrare il lancio di una campagna anti-ransomware, ha affermato che quasi l’80% dei professionisti IT e circa la stessa percentuale di consumatori sosterrebbe il divieto.