I rischi informatici sono più di un problema informatico

L'Allianz Risk Barometer 2017 classifica i rischi informatici tra i dieci maggiori rischi per le aziende per il quarto anno di fila. Le aziende di tutte le dimensioni stanno affrontando una crescente complessità e velocità di cambiamento. A differenza dei rischi tradizionali come i disastri naturali o gli incendi, i rischi informatici di solito non causano danni fisici. Tuttavia, i dati persi o trasmessi in modo errato e i sistemi in panne possono portare i servizi o la produzione a un punto morto e scuotere la fiducia degli investitori, dei clienti e di altre parti interessate.

Identificare le lacune assicurative
Le nuove minacce possono spesso portare a lacune di copertura in termini di gestione del rischio e di assicurazione. I cyberattacchi pongono una varietà di rischi relativi alla riservatezza, disponibilità o integrità dei dati e dei sistemi. Contrariamente alla credenza popolare, gli incidenti informatici non sono generalmente coperti da polizze assicurative classiche come la perdita di guadagno, la responsabilità o la perdita di fiducia. Finora, le soluzioni di rischio informatico sono state offerte principalmente da assicuratori internazionali come AIG, Allianz, Chubb o Zurich. Va notato che la minaccia posta dai rischi informatici va ben oltre l'hacking, le violazioni della protezione dei dati o il furto di dati. Un guasto tecnico dell'infra-struttura o un errore umano possono anche portare a gravi danni. Secondo uno studio dell'Istituto di Economia delle Assicurazioni dell'Università di San Gallo, le attuali polizze degli assicuratori coprono le seguenti cause: Attacco di hacker, ricatto, errore umano e, in alcuni casi, errore tecnico. Le coperture di solito includono i costi direttamente attribuibili come la forense (chiarimento, identificazione, assicurazione delle prove), il ripristino del sito web o dei dati dei clienti, così come i costi di interruzione dell'attività o le controversie legali. Esempi specifici includono il pagamento di riscatti per i trojan di criptazione, le spese di consulenza per la gestione della crisi, i costi per informare i clienti e le spese per ricostruire i dati persi o danneggiati. Gli importi coperti variano da 5 a 50 milioni di franchi.

La perdita di reputazione non è assicurabile
Tuttavia, molte aziende sono ancora più preoccupate per i costi conseguenti: il danno all'immagine dell'azienda spesso lascia dietro di sé una perdita economica altrettanto grande quanto l'interruzione delle operazioni o la perdita di dati. Ma quasi nessun assicuratore copre i danni alla reputazione o la perdita di valore di mercato come risultato di un danno d'immagine. Di solito sono coperti solo gli onorari dei consulenti PR. La ragione principale è che gli assicuratori non coprono i danni causati da

"Nel linguaggio degli assicuratori, le 'perdite di accumulazione' incombono".

Non è possibile dare una cifra alla perdita di reputazione. "Ci sono troppi altri fattori incerti in gioco", spiega la dottoressa Carin Gantenbein, responsabile della responsabilità professionale e Cyber di Zurich Insurance. La stimabilità è sempre stata un criterio chiave per l'assicurabilità. Se ci sono solo pochi valori empirici sul tipo, la frequenza e l'estensione del danno, l'incertezza della diagnosi e della prognosi è alta. I valori dell'esperienza sui rischi informatici sono difficilmente accessibili, poiché molte vittime sono riluttanti a fornire informazioni sugli incidenti corrispondenti. Inoltre, i rischi informatici sono soggetti a un alto rischio di cambiamento, per esempio per quanto riguarda le linee guida sulla protezione dei dati. L'iperconnettività è anche critica dal punto di vista della modellazione dei danni informatici. A causa della rete globale, diverse aziende sono di solito colpite da un incidente informatico. Se viene scoperto troppo tardi, il potenziale di danno aumenta esponenzialmente. Nel gergo degli assicuratori, le "perdite di accumulazione" sono imminenti, il che rende necessario un supplemento di premio. Più incerta è la stima, più alti sono i premi e le franchigie e più basse sono le somme assicurate. La prevenzione e la precauzione sono quindi ancora più importanti.

aumentare la consapevolezza del problema
Chiunque consideri che i rischi informatici siano puramente una questione di IT sta commettendo un errore fondamentale. La responsabilità di questo non può essere delegata agli esperti. Tutti nell'azienda devono essere consapevoli dei rischi. Un'analisi dettagliata dei rischi costituisce la base per identificare e comprendere i pericoli più importanti. Molte aziende ricorrono all'analisi di scenario per identificare i dati e i sistemi colpiti, le possibili cause e i potenziali gruppi di autori, e per riprodurre i possibili effetti. La misura di protezione più fondamentale è l'"igiene informatica" professionale, che protegge i dati e i sistemi e rileva rapidamente gli errori e gli attacchi. L'Ufficio federale per la Si-

"Se, nonostante le precauzioni, il peggio dovesse accadere, i piani di crisi e di emergenza dovrebbero entrare in azione".

L'Ufficio federale tedesco per la sicurezza dell'informazione (BSI) pubblica standard minimi riconosciuti ("standard BSI") che possono servire da orientamento.

Le email ben contraffatte sono difficili da individuare. Questo è dimostrato, per esempio, dalle e-mail inviate a nome di Ricardo o UBS. Lo dimostrano, per esempio, le e-mail inviate a nome di Ricardo o UBS, con le quali i truffatori hanno cercato di ottenere le coordinate bancarie dei clienti. Gli attacchi mirati alle aziende spesso cercano di ottenere l'accesso attraverso i dipendenti. Pertanto, la consapevolezza dei rischi dei dipendenti è essenziale e deve essere promossa attraverso la formazione. Se, nonostante le precauzioni, il peggio dovesse accadere, si dovrebbe predisporre un piano di crisi e di emergenza che includa dipendenti, clienti e fornitori, limitando così i danni. È importante che un processo di gestione dei rischi non rimanga un progetto una tantum, ma sia ancorato nell'azienda. Questo richiede test regolari, work-shops, comunicazione, così come il monitoraggio e l'aggiornamento attraverso i confini e le gerarchie dei dipartimenti. Rafforzare la resilienza agli incidenti informatici dipende dalla comprensione che i rischi informatici riguardano l'intera azienda e sono un problema di tutti.