CYBER RISK
Autore: Leandro Giacobbi
ASSINEWS 366 – Settembre 2024
Nel maggio 2024 è stato pubblicato il Rapporto di Munich RE che fornisce una panoramica internazionale del rischio informatico e delle dinamiche circostanti che influenzano l’offerta assicurativa.
Gli intervistati sono stati 7.500, distribuiti in 15 Stati. Il dato emergente è che negli ultimi cinque anni il mercato assicurativo del cyber è quasi triplicato, mentre ad oggi solo una parte dei rischi è stata assicurata.
Da qui l’esigenza di un approfondimento che andasse al di là dell’ufficialità dei numeri, ma che potesse agevolare una lettura del fenomeno cyber tra nuove minacce, sviluppi digitali e
prodotti assicurativi alla ricerca della sicurezza e della resilienza informatica. In questo percorso ci ha aiutato il dottor Alessandro Vitullo, Senior Underwriter Cyber Munich Re Italia.
1. Nella presentazione della vostra survey si precisa che uno degli obiettivi è verificare la consapevolezza del rischio da parte del mondo industriale. In effetti, l’87% dei rappresentanti intervistati afferma che la propria organizzazione non è adeguatamente protetta dalle minacce digitali.
Tra l’altro, questa percentuale, già elevata, è in realtà aumentata rispetto ai risultati dell’indagine del 2022 (83%). Ma se il livello di consapevolezza è pressoché totale, che cosa manca realmente per organizzare uno scenario resiliente alle minacce informatiche? Nella vostra survey sostenete che manca una traduzione in azioni concrete.
È un giudizio molto forte, come se la classe dirigente, consapevolmente, sottovalutasse volontariamente un problema che può mettere in pericolo la propria realtà industriale.
A. Vitullo
Nella nostra survey sottolineiamo che il passaggio dalla consapevolezza del rischio all’azione concreta è critico per la creazione di un ambiente resiliente alle minacce informatiche.
Questa mancanza di azioni concrete può essere interpretata come un’indicazione che, nonostante la consapevolezza, ci potrebbe essere una sottovalutazione del problema. Questo può essere dovuto a una serie di motivi, tra cui la priorità data ad altre iniziative o la mancanza di piena comprensione delle implicazioni e dei costi di un attacco informatico.
Affrontare questa sfida richiede un impegno significativo da parte delle leadership aziendali nel riconoscere la gravità del rischio informatico e nell’adottare misure decisive per mitigarlo, come ad esempio: l’allocazione di risorse adeguate, l’implementazione di politiche di sicurezza robuste, la formazione continua del personale e la collaborazione con esperti del settore e associazioni per migliorare la preparazione e la risposta agli incidenti informatici.
Mentre la consapevolezza del rischio è essenziale, è l’azione concreta e proattiva che può veramente trasformare un’organizzazione in un ambiente resiliente alle minacce informatiche.
2. Sempre nell’ambito della consapevolezza avete riscontrato se una collaborazione tra il settore pubblico e privato si stia sviluppando, mettendo in atto un circuito virtuoso per implementare la resilienza informatica? I fondi del PNRR sono stati utilizzati per la diffusione della cultura della sicurezza informatica? Ci sono stati esperienze virtuose in Europa?
A. Vitullo
Una collaborazione tra il settore pubblico e privato si sta sviluppando in modo virtuoso, favorendo l’implementazione della resilienza informatica, anche se probabilmente in misura inferiore a quanto auspicato. In Europa, ci sono diverse esperienze positive.
Ad esempio, paesi come Estonia e Olanda hanno implementato programmi di collaborazione pubblico- privato che hanno portato a miglioramenti tangibili nella sicurezza informatica.
Questi programmi includono campagne di sensibilizzazione, formazione specialistica e investimenti in infrastrutture tecnologiche avanzate. Queste iniziative hanno dimostrato che una forte collaborazione tra settori può essere altamente efficace nel rafforzare la resilienza informatica a livello nazionale e regionale.
3. Nella survey avete richiesto quale fosse la tendenza tecnologica più rilevante nelle aziende e, rispetto al 2022, è balzata al primo posto l’intelligenza artificiale che ha superato il Cloud. Questa variazione vi ha sorpreso? Esiste veramente un trasferimento di investimenti così importante ed in tempi così ristretti sull’AI? Lo sviluppo dell’AI per le minacce informatiche non rappresenta una possibile riduzione del rischio cyber, venendo meno la componente nel rischio informatico costituito dalla bassa consapevolezza della sicurezza da parte dei dipendenti?
A. Vitullo
Lo sviluppo dell’AI può effettivamente contribuire alla riduzione del rischio cyber, poiché molte soluzioni di intelligenza artificiale hanno applicazioni che possono portare ad un miglioramento della postura di sicurezza informatica.
Ad esempio, l’AI può rilevare comportamenti anomali e potenziali minacce in tempo reale, automatizzare le risposte agli incidenti e migliorare l’analisi dei dati per prevenire attacchi. Al tempo stesso l’AI introduce però anche nuove sfide e vulnerabilità.
È importante quindi sottolineare che l’adozione dell’AI non elimina completamente il rischio legato alla bassa consapevolezza della sicurezza da parte dei dipendenti. La formazione e la consapevolezza rimangono componenti cruciali di una strategia di sicurezza integrata.
4. Nella survey mettete al primo posto quale minaccia il cosiddetto ransomware. Infatti, precisate che il 98% degli intervistati di livello C ha affermato che l’attacco ha avuto un impatto sulle operazioni quotidiane: nel 40% dei casi l’incidente ha avuto un impatto immediato e nel 25% un impatto immediato ancora peggiore e grave.
Questi numeri illustrano l’immensa minaccia rappresentata dal ransomware. Come riassicuratore quale posizione etica assumete rispetto alle polizze dove l’assicuratore si accolla il costo del riscatto?
A. Vitullo
Come riassicuratore, abbiamo una visione ampia sul mercato, e manteniamo una posizione rigorosa circa la copertura del costo del riscatto in quei paesi ove la normativa esclude chiaramente la possibilità di pagare tali importi. In altre legislazioni, la nostra priorità rimane comunque sempre quella di promuovere la resilienza e la prevenzione, piuttosto che incentivare il pagamento dei riscatti.
Supportiamo misure che favoriscano il rafforzamento delle difese informatiche delle aziende, come l’adozione di protocolli di sicurezza avanzati, l’implementazione di piani di risposta agli incidenti e la formazione continua del personale.
5. Come stanno influenzando il settore delle minacce informatiche le tecnologie emergenti come la blockchain, l’Internet delle cose (IoT) e il machine learning?
A. Vitullo
Come tutte le nuove tecnologie, assieme alle opportunità, vi sono i rischi associati. Ad esempio, l’evoluzione di sistemi di IoT sta espandendo notevolmente la superficie di attacco disponibile per i cybercriminali.
Molti dispositivi IoT presentano vulnerabilità dovute a scarse pratiche di sicurezza, come password di default facilmente attaccabili e aggiornamenti di sicurezza non adeguati. Il machine learning invece sta rivoluzionando la sicurezza informatica con l’abilità di rilevare minacce in tempo reale e identificare comportamenti anomali.
Tuttavia, anche i criminali informatici stanno utilizzando il machine learning per migliorare le proprie tecniche di attacco, ad esempio attraverso l’automazione di attacchi di phishing sofisticati. In sintesi, mentre queste tecnologie emergenti offrono potenti strumenti per migliorare la sicurezza informatica, introducono anche nuove sfide e minacce che richiedono strategie avanzate e una continua evoluzione delle misure di sicurezza.
6. Sul ruolo degli assicuratori nella survey auspicate, proprio perché è ampia l’area delle aziende non assicurate, che il settore assicurativo diventi più attivo nella vendita e nella formazione dei potenziali clienti. Infatti, segnalate che la percentuale degli intervistati a cui non è mai stata fatta un’offerta assicurativa è pari al 28%.
Ma il problema non è forse costituito da prodotti assicurativi non adeguati? Nella survey, infatti, segnalate che il 23% degli intervistati non capisce il prodotto assicurativo ed il 19% non ha fiducia nella copertura assicurativa cyber. Questa situazione non è in parte dovuta ad una certa rigidità del mondo riassicurativo?
A. Vitullo
Sicuramente, essendo un prodotto ancora relativamente recente nel mercato assicurativo, vi sono importanti passi in avanti da compiere nella direzione di una maggiore trasparenza e chiarezza delle coperture offerte da parte degli operatori del settore. È anche importante sottolineare però che le coperture assicurative hanno dato prova, più volte, di essere un importare strumento di mitigazione degli impatti finanziari connessi ad incidenti informatici.
Sicuramente sarà importante sottolineare questi casi, così come migliorare la nostra efficacia nell’informare e rendere tangibili ai clienti i rischi e le soluzioni disponibili, così come innovare costantemente i prodotti per renderli al passo coi tempi e per far si che rispondano meglio alle esigenze delle aziende, anche attraverso l’uso di tecnologie avanzate come l’AI per valutare e misurare il rischio in modo più preciso.
7. Per cercare una soluzione tra clienti ed assicuratori ed intraprendere un’inversione di tendenza, non sarebbe il caso di premiare a livello del prezzo della polizza le aziende che accettano di investire in un processo di prevenzione serio e strutturato? Inoltre, per accogliere il vostro invito ad aumentare la resilienza informatica e la penetrazione assicurativa, non sarebbe opportuno investire in accordi con le associazioni di categoria?
A. Vitullo
Sicuramente le aziende che investono proattivamente in prevenzione dei rischi e resilienza alle minacce informatiche hanno un beneficio in termini di costi assicurativi; aziende poco virtuose rischiano inoltre di trovarsi nella situazione di non essere assicurabili da parte del mercato. Sicuramente anche qui si possono fare dei passi in avanti intrecciando relazioni più strutturate con gli assicurati e supportarli nel processo di miglioramento della postura di sicurezza, attraverso ad esempio raccomandazioni e richieste in fase di assunzione del rischio o attraverso servizi di monitoraggio dei rischi durante tutto l’arco di vita della polizza.
Le associazioni di categoria possono svolgere un ruolo cruciale nel promuovere le migliori pratiche di sicurezza informatica tra i loro membri, fornendo formazione, risorse e linee guida specifiche per settore. Collaborare con queste associazioni può facilitare la diffusione di informazioni cruciali sulla gestione dei rischi informatici e sull’importanza della copertura assicurativa.
8. La vostra survey segnala che il rischio cyber sarà ancora in crescita, quindi con un aumento di frequenza e di costi. Questo fa pensare ad un probabile aumento dei premi di polizza. Su questo aspetto cosa ne pensate?
A. Vitullo
Sarà importante che le aziende continuino ad investire in misure di sicurezza, prevenzione e resilienza, come in parte abbiamo visto con successo negli ultimi anni. Infatti, dopo un repentino aumento dei costi tra il 2020 e il 2022, il miglioramento del profilo di sicurezza degli assicurati ha comportato una riduzione della frequenza dei sinistri e conseguentemente una diminuzione dei costi assicurativi.
9. In ultimo, il futuro – dal vostro punto di vista – sarà strutturato con polizze automatizzate per i liberi professionisti e le PMI e polizze dedicate per le grandi aziende, come più o meno accade adesso, o ritenete che vi pos- sa essere un cambiamento dell’offerta? Avete qualche esperienza interessante che è emersa durante la survey?
A. Vitullo
Per i liberi professionisti e le PMI, prevediamo un aumento nell’automazione e nella personalizzazione delle polizze. L’uso di tecnologie avanzate, come l’intelligenza artificiale e l’analisi dei dati, permetterà di creare polizze altamente personalizzate, adattandosi alle specifiche esigenze e ai profili di rischio di ogni cliente.
Questa evoluzione potrebbe anche includere una maggiore flessibilità nei termini e nelle condizioni delle polizze, rendendo più semplice per i piccoli imprenditori adeguare la loro copertura in base alle necessità.
Le PMI potrebbero beneficiare di soluzioni integrate, già disponibili in parte sul mercato, che combinano assicurazione e servizi di sicurezza informatica, offrendo non solo copertura finanziaria ma anche supporto attivo nella gestione delle minacce. Per le grandi aziende, continueranno ad esistere polizze su misura che rispondano alle loro complesse esigenze, ma con una maggiore enfasi sulla prevenzione e la gestione del rischio.
© Riproduzione riservata