Secondo un report di Guy Carpenter, le perdite assicurate derivanti dall’interruzione dell’attività informatica globale legata a CrowdStrike si aggireranno tra i 300 milioni e il miliardo di dollari.
Il 19 luglio CrowdStrike, fornitore di tecnologie per la sicurezza informatica, ha rilasciato un aggiornamento “Rapid Response Content” per il suo strumento EDR denominato Falcon, utilizzabile sui dispositivi Microsoft Windows. Questo aggiornamento conteneva una falla nella codifica del software che, secondo quanto riferito, interessava 8,5 milioni di dispositivi Windows. CrowdStrike ha prontamente ripristinato l’aggiornamento e introdotto una correzione, ma l’impatto è stato significativo.
“L’evento di CrowdStrike mette in evidenza la potenziale gravità dell’interconnessione della catena di fornitura digitale, in quanto ha danneggiato non solo i clienti di CrowdStrike, ma si è propagato anche attraverso reti di terzi, incidendo sulla resilienza di settori apparentemente non correlati”, spiega Guy Carpenter. “Tuttavia, nell’immediato, osserviamo che gli assicuratori stanno valutando attentamente le implicazioni di questo evento e continuano a supportare i loro clienti con una copertura invariata, dimostrando così la resilienza del mercato assicurativo cyber”.
Secondo le stime di Guy Carpenter, meno dell’1% delle aziende con assicurazione cyber a livello globale è stato colpito.
Allo stesso tempo, grazie a una correzione introdotta rapidamente, molte organizzazioni avrebbero avuto l’opportunità di mitigare l’interruzione prima che scadesse il periodo di attesa per le richieste di risarcimento per interruzione dell’attività.
“In genere, nelle polizze di cyber-assicurazione i tempi di attesa variano da 4 a 12 ore. Di conseguenza, la probabile perdita assicurata è compresa tra 300 milioni e 1 miliardo di dollari“, ha spiegato Guy Carpenter.
La società ritiene che questo evento non comporterà una perdita rilevante per la maggior parte degli assicuratori, anche se questo potrebbe cambiare in base alle formulazioni adottate dagli operatori assicurativi, alla concentrazione delle sottoscrizioni nei settori industriali interessati e all’adozione della copertura System Failure.
Sono state emesse diverse stime iniziali dei danni assicurati per l’interruzione globale dell’IT, anche se la loro portata varia notevolmente.
Parametrix stima perdite assicurate comprese tra 540 milioni di dollari e 1,5 miliardi di dollari per le aziende Fortune 500 statunitensi (esclusa Microsoft), CyberCube ha rilasciato una stima compresa tra 400 milioni di dollari e 1,5 miliardi di dollari per il solo mercato delle assicurazioni informatiche, mentre Coalition prevede perdite assicurate pari a 960 milioni di dollari per i soli assicuratori informatici statunitensi. Anche Guidewire Cyence ha ipotizzato che la perdita economica totale dell’evento si collocherà tra 1 e 3 miliardi di dollari.
Un sondaggio di Reinsurance News ritiene che le perdite complessive del settore riassicurativo derivanti dall’interruzione dell’attività informatica legata a CrowdStrike supereranno il miliardo di dollari, con il 38% dei votanti che prevede che le perdite potrebbero superare 1,5 miliardi di dollari.