Il nuovo report dell’Atlantic Council e di Zurich Insurance Group è il prodotto di un’attenta analisi su come i costi e i benefici del rischio cibernetico influiscano sul prodotto interno lordo globale.
Questa analisi ed è stata svolta utilizzando strumenti di modellazione economica in diversi scenari, più o meno complessi. Un fattore chiave rimane la creazione della resilienza.
Il nuovo report pone a confronto l’impatto economico delle spese sostenute per far fronte agli attacchi cibernetici con i benefici dell’interconnettività in diversi scenari intricati.
Il report “Overcome By Cyber Risk? Economic benefits and costs of alternate cyber features” è frutto di una collaborazione tra Zurich Insurance Group (Zurich) e l’Atlantic Council, il think tank specializzato in affari esteri, ed è stato condotto utilizzando gli strumenti di modellazione economica del Pardee Center dell’University of Denver. L’obiettivo del report è comprendere come i costi dovuti agli attacchi cibernetici e i benefici abbiano nel tempo influito sul prodotto interno lordo- e cosa possono fare le aziende e le compagnie assicurative nel frattempo.
“Per quanto ne sappiamo, nessuno ha mai esaminato la questione principale: i benefici economici derivanti da una realtà interconnessa possono veramente superare le spese sostenute per far fronte ai problemi di sicurezza informatica?,” ha affermato Jason Healey, autore del report e membro senior dell’Atlantic Council. “Dopo accurate ricerche, modellazioni e riflessioni riguardo a come il futuro possa essere migliore, peggiore o semplicemente diverso, possiamo ora rispondere a questa domanda.”
“Il report mostra accuratamente che l’impatto economico del progresso tecnologico è dinamico e i rischi che ne derivano possono essere approssimati e pianificati- e ci ricorda dell’importanza del comprendere questi influssi nel mercato e le azioni che dobbiamo intraprendere per tutelarci.”
L’evoluzione del settore informatico nel futuro è imprevedibile ma è molto probabile che non rievochi circostanze del passato. In modo da capire come gestire questa incognita, il report esplora quattro scenari alternativi basandosi su due grandi incertezze:
- il predominio dello stato vs il settore privato sulla sicurezza informatica;
- i rischi saranno ampiamente gestibili o diventeranno talmente ingestibili da far sì che una connettività stabile e sicura diventi un bene di lusso?
“Cyber Shangri-La,” uno dei migliori scenari studiati e presenti nel report, descrive nei dettagli la possibilità che la rapida crescita tecnologica sia guidata e supportata da una forte sicurezza informatica; e i susseguenti benefici economici annuali entro il 2030 portino ad un guadagno netto cumulativo e globale di 190 trilioni dollari statunitensi, circa 30 trilioni in più dell’attuale situazione.
Al contrario, lo scenario futuro più spiacevole, a cui è stato assegnato il nome “Clockwork Orange Internet,” immagina una situazione di continui crimini cibernetici e guerre informatiche e un conseguente impatto negativo del 2,5% sul prodotto interno lordo globale.
Anche se questa perdita netta causata dai rischi cibernetici ancora non basta per annullare i benefici cumulativi o addirittura per superarli, se la sicurezza informatica rimane indietro, la conseguenza sarà un futuro costituito da attacchi cyber e hacker non-stop contro le sempre più vulnerabili infrastrutture critiche e il mondo potrebbe perdere per questo motivo 90 trilioni di dollari statunitensi.
Oltre a sottolineare i potenziali scenari per il futuro, il report fornisce anche raccomandazioni specifiche per i dirigenti, che sono responsabili di creare i protocolli di sicurezza informatica delle proprie compagnie, e per gli assicuratori, che hanno a che fare con leggi di sicurezza cibernetica nazionali.
Tra le raccomandazioni per le aziende, il report richiede una continua attenzione sulla resilienza, che è l’abilità di riprendersi dopo le alterazioni nell’attività per far sì che esse durino sempre meno e siano più limitate possibili. Inoltre vengono consigliate misure come la creazione di un esubero di personale; piani di risposta agli incidenti e di continuità di attività; la pianificazione e l’analisi di diversi scenari economici; e, nella scelta delle strategie di business, considerare le peggiori potenziali prospettive del futuro informatico.
“In un mondo interconnesso come il nostro l’attenzione delle aziende dovrebbe essere posta sulla ripresa dopo un attacco cyber.
È molto chiaro che le aziende che vogliono proteggersi dal cyber risk debbano adottare una mentalità di resilienza,” ha affermato Reyes.
Per quanto riguarda le compagnie assicurative, il report raccomanda una collaborazione tra stato e settore privato per trovare delle soluzioni di “ultima generazione”, che diano la priorità agli investimenti nella stabilità, governance e resilienza globale.
Il report descrive la cosiddetta “strategia della stabilità dinamica”, ovvero “ambire solo a ciò che è veramente raggiungibile: una realtà internet relativamente sicura e una collaborazione tra lo stato e il settore privato.”
Questa strategia richiede quindi un approccio collaborativo tra il settore pubblico e quello privato.
Per esempio, riguardo al cyber risk sistemico, il precedente report “Beyond Data Breaches” dell’Atlantic Council e Zurich condivide un’idea di Microsoft: proporre un gruppo G20+20 per gestire le tematiche di sicurezza informatica.
Reyes ha aggiunto: “per proteggere le aziende e le comunità dai rischi cibernetici e per aumentare i benefici apportati da una realtà informatica affidabile, il settore pubblico e quello privato devono lavorare insieme basandosi sulla profonda comprensione della natura ed evoluzione dei rischi impliciti.”