Il trattamento dei rischi informatici si avvale di differenti opzioni fra le quali emerge la stipula di una cyber assicurazione.
Molti assicuratori inizialmente erano riluttanti a coprire i disastri informatici, in parte a causa della mancanza di dati attuariali affidabili. Quando proteggono i clienti da rischi tradizionali quali incendi, inondazioni e incidenti automobilistici, stabiliscono una politica dei prezzi basata su informazioni autorevoli provenienti da fonti nazionali e industriali.
Come notato da Lloyd in un rapporto del 2017, “non esistono fonti equivalenti per il cyber-rischio” e i dati utilizzati per impostare i premi sono raccolti da Internet. È probabile che tali dati disponibili al pubblico sottostimino il potenziale impatto finanziario del rischio informatico per un assicuratore.
Secondo un rapporto della società di consulenza globale PwC, sia gli assicuratori e sia le aziende vittime sono riluttanti a rivelare violazioni a causa di preoccupazioni sulla perdita di vantaggio competitivo o danni alla reputazione.
Uno dei disastri informatici in cui può incorrere un’organizzazione e per il quale si stipulano cyber assicurazioni è il materializzarsi di un ransomware, come altresì evidenziato dall’annuale rapporto Internet Organised Crime Threat Assessment (IOCTA) di Europol.
Perché pagare un ransom?
Nonostante i costanti avvertimenti delle autorità di contrasto al crimine, secondo cui le organizzazioni non dovrebbero mai pagare richieste di riscatto, esiste la ragionevole possibilità che l’intero sistema di cyber assicurazioni, ora disponibile per le organizzazioni sia grandi e sia piccole, non faccia altro che aggravare il problema. Una recente ricerca di ProPublica (The Extortion Economy: How Insurance Companies Are Fueling a Rise in Ransomware Attacks) evidenzia tale fenomeno.
Ogni qual volta venisse erogato un pagamento tramite una assicurazione informatica, si alimenterebbe l’attività criminale e si incoraggerebbero più hacker ad attaccare le aziende e gli enti del settore pubblico per ottenere denaro portando i loro sistemi informatici offline. Di conseguenza, l’assicurazione informatica in questo scenario aumenterebbe e non diminuirebbe i rischi informatici.
Potrebbe sembrare contro intuitivo, ma le compagnie assicurative sarebbero effettivamente incentivate a pagare richieste di riscatto, anche se fossero decine e persino a centinaia di migliaia di euro. Il motivo è semplice: è più economico, più veloce e più semplice sborsare una grossa somma di denaro piuttosto che occuparsi di coprire tutti i costi d’interruzione delle attività e i ritardi del riavvio da zero di un’azienda.
In altre parole, se le compagnie assicurative non pagassero il riscatto, potrebbero essere necessarie settimane prima che un’organizzazione si rialzi e funzioni correttamente.
Nel frattempo, tali compagnie di cyber assicurazioni dovrebbero coprire il costo dei profitti persi durante i tempi d’inattività delle società, nonché i costi dell’assunzione di consulenti IT per ripristinare dalle risorse di backup le attività operative delle società. Quindi, avrebbe più senso sistemare le cose rapidamente e facilmente con un pagamento di riscatto e andare avanti con gli affari.
Qui le cose diventano molto perverse: gli hacker che eseguono attacchi ransomware potrebbero sfruttare questa mentalità, e in particolare prendendo di mira aziende o organizzazioni che dispongono di polizze informatiche per proteggere i sistemi operativi mission-critical. Con semplice calcolo, potrebbero capire le dimensioni della polizza assicurativa informatica, la probabilità che una società debba cedere alle richieste di riscatto e quanto dovrebbero chiedere come parte del riscatto.
L’importo ottimale da richiedere in una richiesta di riscatto sarebbe di 1 € in meno rispetto al costo che una società impiegherebbe per ripristinare i suoi sistemi informatici. Da una semplice analisi costi-benefici, è razionale ed economico pagare il minore dei due mali, specialmente quando è possibile ripristinare il funzionamento dei sistemi in 24 ore o meno (e non giorni, settimane o mesi che potrebbe richiedere il ripristino da un sistema di backup).
Quale futuro per Cyber Assicurazioni?
Tutto ciò, ovviamente, solleva interrogativi sul futuro del mercato delle cyber assicurazioni. Le compagnie assicurative s’impegnando nel raccogliere più premi mensili possibili dalle aziende che acquistano l’assicurazione cyber per proteggersi dall’impatto economico degli attacchi ransomware. Ciò incentiverebbe più hacker a produrre ransomware. L’intero sistema di cyber assicurazioni sarebbe a rischio di implodere su se stesso.
Pagare il riscatto in un attacco di ransomware è la soluzione facile a breve termine, ma a lungo termine renderebbe il problema molto grave. Ora che gli hacker sanno che le aziende stanno stipulando enormi cyber assicurazioni, sanno esattamente a chi rivolgersi.
Con attenta analisi, sanno chi probabilmente pagherà e quanto. In futuro, quindi, potrebbe essere necessario che organizzazioni come l’associazione nazionale delle compagnie assicurative, intervengano e stabiliscano alcune regole di base per l’industria delle assicurazioni.
Le organizzazioni non dovrebbero mai pagare la richiesta di riscatto e gli incentivi devono essere messi in atto per assicurarsi che il pagamento del riscatto non avvenga mai.