Assicurazione Cyber aziendale. Riuscire ad assicurarsi e poi far funzionare il contratto assicurativo quando serve, non è scontato. Da Margas, broker assicurativo specializzato, alcune utili indicazioni su come muoversi e sul perché la governance del processo sia ciò che rende utile ed efficace la polizza cyber aziendale. Puntata 1
Evoluzione dell’assicurazione cyber e stato dell’arte
La natura e il linguaggio dell’offerta di soluzioni assicurative contro il Cyber risk, sono cambiati negli ultimi dieci anni. La profonda e pervasiva digitalizzazione dei processi aziendali e della vita del cittadino-consumatore -lavoratore, la virtualizzazione crescente di sistemi e attività, le iniziative europee sul fronte della tutela dei dati e della regolamentazione della sicurezza del mondo informatico e delle telecomunicazioni e infine i problemi e costi da malfunzionamento, errore umano o pirateria, sono stati e sono determinanti per l’evoluzione dei testi, delle limitazioni, dei prerequisiti.
Un buon testo dovrebbe oggi aver superato la tutela dell’hardware in favore
- della liquidazione dei costi emergenti per la risoluzione della crisi (personale ausiliario, specialisti e tecnici, periti, avvocati, comunicatori, servizi di monitoraggio bancario, straordinari dei dipendenti….) e in alcuni casi anche
- del pagamento del riscatto da ransomware (come vedremo sempre più limitato)
- della differenza tra Margine operativo (o in altri casi profitto lordo) pre- e post-sinistro in caso di Fermo d’attività
- della richiesta di risarcimento danni da parte di terzi a seguito di databreach
- della estensione del perimetro aziendale al Cloud, se sotto il controllo dell’assicurato
- di servizi di analisi e remediation
Ransomware, l’elefante nella stanza
Quella sul Ransomware è la garanzia più richiesta o forse la vera ragione che spinge una azienda ad interessarsi ad un’assicurazione cyber. Potenza dell’esperienza diretta vissuta, del passaparola e dei media.
La polizia postale, giustamente, consiglia di non pagare mai il riscatto perché incentiva la pratica di questo tipo di attacchi, ma i colpiti, impreparati ad aggirare l’ostacolo, si sentono con le spalle al muro e scoprono d’improvviso l’importanza e il valore dei loro dati o dei dati che avrebbero dovuto proteggere.
Se è vero che ci sono ancora prodotti assicurativi per il business che contemplano la possibilità di far scattare la polizza in caso di danni e costi sopraggiunti a seguito di attacco ransomware e anche per la richiesta di riscatto, oggi questa garanzia, quando concessa, viene fortemente limitata e alle volte esclusa per ragioni tecnico-organizzative o se si dichiara, come si deve fare quando è accaduto, di avere già subito questo genere di attacco.
Negli Stati Uniti è diffusa l’idea per cui chi sbaglia di solito è più anti-fragile di chi non sbaglia, perché impara dall’errore; quindi, è ammesso che io abbia già avuto un attacco ransomware.
In questi casi, a una eventuale ostruzione alla concessione della garanzia, bisognerebbe quanto meno provare a rispondere alla domanda “Cosa hai fatto per migliorare?”. Prima o poi, magari con Compagnie di impronta anglosassone, alla assicurazione si arriva ancora. Stiamo però parlando di una qualità e di un livello di interlocuzione che devono andare oltre al questionario standard. E per farlo bisogna avere partner assicurativi preparati ed essere collaborativi.
L’obiettivo chiave di una assicurazione cyber aziendale
L’assicurazione Cyber in sostanza può e deve aiutare l’azienda non tanto a trasferire il rischio, ma a finanziarlo. Cioè fornire un cash flow per affrontare spese immediate e molto rilevanti e aiutare nell’ottenimento di linee di credito per fare investimenti e pagare o reperire le professionalità che servono nell’emergenza, come il cosiddetto Incident Response Team, ossia un team di esperti “pompieri digitali” per improntare in modo corretto le attività nelle prime 48 ore, uscire presto e bene dalla crisi e far sì che la polizza alla fine paghi.
Tuttavia, perché tutto questo possa avvenire e possa funzionare quando serve, è imprescindibile la governance dell’iter assicurativo aziendale. Ci arriveremo. Prima però preoccupiamoci di comprendere cosa sta accadendo nel mercato assicurativo e come questo impatti sulle nostre scelte.
Assicurazioni Cyber e condizioni di assicurabilità dell’azienda
Anche quello che in gergo tecnico chiamiamo “processo assuntivo”, basato tipicamente sulla compilazione di questionari più o meno lunghi e più o meno volti a indagare lo stato dell’arte della sicurezza del “perimetro” digitale del candidato all’assicurazione, è cambiato nel tempo e in modo marcato con la pandemia da Covid-19.
Se la domanda ha cominciato decisamente a salire negli ultimi anni, lo ha fatto anche perché prima del 2022 la postura di sicurezza era relativamente poco impattante sull’ottenimento della copertura, i massimali maggiori, i premi inferiori. Aumentando la numerosità delle polizze, la percezione del rischio è cambiata coi sinistri denunciati e quindi le cifre liquidate.
Ed è così che le precondizioni di assicurabilità si sono fatte sempre più stringenti.
Un contesto critico e vulnerabile che condiziona il mercato assicurativo
Oggi il mercato assicurativo è preoccupato del costo di migliaia di piccole-grandi crisi che si verificano tra i clienti, da casi come quelli alle strutture sanitarie nel regno Unito, in Germania e in Italia, ma anche dall’evento sistemico, cioè un evento che arrivi a colpire a livello mondiale chiunque. Pensiamo a Log4j, Kaseya, SolarWinds piuttosto che OVH, Colonial Pipelines o alle aziende impattate in tutto il mondo per la vulnerabilità Microsoft Exchange Server .… . Questi casi hanno contribuito in modo decisivo all’introduzione di paletti molto importanti nella fase assuntiva del rischio e persino a creare delle vere e proprie “black list”, in continuo aggiornamento, di prodotti tecnologici impiegati in modo diffuso nelle imprese ma sotto osservazione perché rivelatisi “deboli”.
Dopo questo approfondimento sulle principali caratteristiche di una polizza Cyber di oggi, nel prossimo post continueremo a confrontarci con la governance della fase assuntiva, occupandoci dei prerequisiti minimi all’assicurazione cyber.
