Le crescenti preoccupazioni per gli attacchi informatici alle infrastrutture critiche, aggravate dalla guerra in Ucraina, stanno riaccendendo i dubbi sulle reali capacità delle grandi compagnie assicurative di coprire i rischi di un attacco che potrebbe avere conseguenze catastrofiche.
Secondo un’analisi del Government Accountability Office (GAO) degli Stati Uniti, l’agenzia governativa del ramo legislativo che fornisce servizi di auditing, valutazione e investigazione per il Congresso degli Stati Uniti, il Dipartimento del Tesoro dell’Ufficio federale delle assicurazioni (FIO) e la Cybersecurity and Infrastructure Security Agency (CISA), hanno entrambi adottato misure per comprendere le implicazioni finanziarie dei crescenti rischi per la sicurezza informatica. Tuttavia, non hanno valutato fino a che punto i rischi per le infrastrutture critiche derivanti da incidenti informatici catastrofici e potenziali esposizioni finanziarie giustifichino una risposta assicurativa adeguata.
Il motivo? Come dimostrano decenni di ricerche nel settore delle assicurazioni informatiche, trovare queste risposte non è così facile.
La cyber insurance? Un mercato imprevedibile
Le cyber insurance esistono dall’inizio degli anni 2000. La copertura inizialmente è iniziata come mezzo per affrontare le violazioni dei dati e le azioni legali e le sanzioni normative che potrebbero derivarne.
La situazione è cambiata rapidamente nel 2017, quando gli attacchi WannaCry e NotPetya hanno mostrato quanto velocemente un attacco informatico potesse avere conseguenze clamorose in tutto il mondo. Poi è arrivato un altro momento di crisi per il settore delle infrastrutture critiche: un rapido aumento degli attacchi ransomware come quello successo ad uno dei più grandi oleodotti statunitensi: il Colonial Pipeline.
Nel maggio 2021 l’attacco ransomware alla Colonial Pipeline (responsabile della gestione del principale oleodotto della East Coast degli Stati Uniti) ha costretto la compagnia allo shut-down dei sistemi. L’attacco ad un’infrastruttura strategica di portata regionale lascerebbe pochi dubbi sul fatto che l’attacco sia parte di un disegno più ampio che vede negli ultimi anni gli Stati Uniti oggetto di una campagna di offensive informatiche. Questo è, infatti, un caso di attacco a metà tra il sabotaggio e l’economic disruption.
La società ha perso milioni di dollari a causa dell’interruzione del servizio e ha visto fortemente danneggiata la sua immagine, fattore ad oggi non più trascurabile per i giganti economici. Con la prolungata interruzione del servizio le problematiche si sono estese anche al di fuori della compagnia con ricadute negative sul prezzo dei carburanti. Il problema dei prezzi si è andato a sommare all’importanza strategica dell’oleodotto colpito per tutta la regione orientale degli Stati Uniti dato che il sistema di infrastrutture collegate e dipendenti da questo va dal Texas al New Jersey per un totale di 12 Stati e un’area che va dal Golfo del Messico fin quasi al Nord Atlantico. Tra le infrastrutture danneggiate dal blocco prolungato vi è stato anche l’aeroporto Hartsfield Jackson di Atlanta, il più trafficato aeroporto al mondo per traffico passeggeri, creando un effetto a catena estremamente deleterio per l’intera regione.
L’evoluzione dei cyber attacchi complica le valutazioni del rischio
Quando i ransomware e altri attacchi colpiscono un’infrastruttura critica, la valutazione del rischio diventa ancora più difficile.
Parte del problema, dicono gli esperti, è ottenere buoni dati per costruire modelli attuariali. Gli incidenti informatici spesso non vengono segnalati e non esiste una serie completa di dati né dal settore né dal governo. Una legge approvata all’inizio di quest’anno che richiede ai proprietari e agli operatori di infrastrutture critiche di segnalare gli incidenti alla Cybersecurity and Infrastructure Security Agency del Department of Homeland Security può aiutare, ma non entrerà in vigore per almeno altri due anni.
Ci sono anche iniziative del settore privato che cercano di risolvere il divario di dati. CyberAcuView, un consorzio di 20 membri di compagnie assicurative informatiche globali, si è formato l’anno scorso per mettere insieme dati ed esperienze per affrontare problemi del settore come la valutazione del rischio sistemico.
I governi dovrebbero intervenire?
Negli Stati Uniti esiste già un’assicurazione federale per l’assistenza informatica. Il Terrorism Risk Insurance Program (TRIP), creato nel 2002 per sottoscrivere atti di terrorismo, copre gli incidenti di sicurezza informatica che sono “di natura violenta o coercitiva”.
Tale assicurazione è stata insufficiente in parte perché non esiste una definizione chiara di quale tipo di attacchi informatici si applicano, affermano gli esperti.
Poiché i revisori dei conti del governo ora chiedono alla CISA e alla FIO di riferire al Congresso se il governo federale debba creare un meccanismo di finanziamento federale come sostegno per il settore, gli esperti sperano che i responsabili politici non commettano gli stessi errori.
Un buon primo passo, secondo gli assicuratori, sarebbe che il governo fornisse una definizione più chiara del significato di infrastruttura critica. Senza questa guida, è difficile per il settore sapere come porre limiti alle politiche.
Anche quando vengono definiti scenari ad alto rischio, gli standard minimi che gli assicuratori dovrebbero applicare non sono sempre chiari. Ulteriori indicazioni del governo sugli standard di sicurezza informatica potrebbero anche aiutare.
In italia e in Europa le aziende non riescono nemmeno ad assicurarsi
I risultati del rapporto Clusit 2022 restituiscono un’immagine piuttosto critica sul fronte della cyber security per l’Italia e l’Europa. Il rapporto ha registrato nell’ultimo anno un aumento degli attacchi informatici pari al 10% rispetto al periodo precedente, raggiungendo una media mensile di 171 attacchi, il valore più elevato mai registrato. A rendere più preoccupante il quadro, tuttavia, è l’aumento della “severity” di tali aggressioni, ovvero l’effetto che sono in grado di generare sull’operatività dei propri bersagli. Gli attacchi con un impatto valutato come “elevato” sono infatti stati pari al 79% dei totali; erano solo il 50% l’anno precedente.
Se da una parte le aziende sono sempre più consapevoli dei rischi legati alla sicurezza dei propri dati, dall’altra solo il 27% è coperto da una polizza assicurativa che le tuteli. La criticità del dato diventa ancora più evidente se confrontato con un’altra analisi, derivante dall’esperienza sul campo di un broker assicurativo: all’incirca il 40% delle aziende italiane semplicemente non è in condizione di stipulare una polizza assicurativa contro i rischi cyber a causa di sistemi informatici sottodimensionati od obsoleti e di una scarsa attività di prevenzione.
E’ ormai infatti prassi di tutte le compagnie assicurative chiedere alle imprese la compilazione di questionari per verificare la sicurezza dei loro sistemi IT. Viene indagata la presenza di misure di protezione e difesa dell’infrastruttura quali la segregazione della rete, l’adozione di tecnologie di autenticazione multifattoriale (MFA), l’esecuzione di backup off line o in cloud sicuri e di regolari Vulnerability Assessment, l’implementazione di procedure per la gestione degli incidenti cyber, di un Piano di Disaster Recovery e la formazione continua degli utenti (soprattutto sulle tecniche di phishing).
Le risposte a queste indagini rivelano spesso livelli insufficienti di sicurezza cyber, che rendono la copertura dei relativi rischi non appetibile per il mercato assicurativo. Una dinamica che si riflette anche sull’andamento dei premi, cresciuti nel 2021 a fronte di un numero stabile di aziende assicurate. Sebbene la protezione cyber sia oggi più che mai necessaria, la tutela assicurativa rischia quindi di non essere sostenibile da un punto di vista economico in una situazione che si può definire di “hard market”: premi in aumento, capacità assuntiva ridotta, tempi di quotazione più lunghi e, in generale, maggiori criticità ad assicurare tutti i rischi.