Rischio informatico, cyber-risk o rischio cibernetico. Se ne parla da tempo e tutti abbiamo almeno una volta avuto a che fare con un “intruso” digitale nel computer. Che si tratti di “virus”, “malware” o “trojan” non fa differenza: ne esistono di moltissimi tipi e con molteplici effetti negativi sui dispositivi personali, ancora più amplificati e devastanti quando ad essere colpita è una rete aziendale.
Cyber-risk: un piccolo glossario
Una volta esistevano solamente i “virus”, ora la famiglia, quella dei malware, si è allargata includendo anche trojan horses, keystroke loggers, spyware, adware, worms, logic bombs, backdoors, rootkit e altri ancora. Il fine? Limitare se non impedire totalmente l’utilizzo del dispositivo informatico, bloccarne l’aggiornamento, carpire dati informatici.
Il ramsonware, fa parte della della famiglia malware, limita anch’esso l’accesso ai dispositivi che potrà essere effettuato solo successivamente al pagamento di un riscatto (ramson). Nel maggio 2017 è scattato l’allarme mondiale per WannaCry, un potente malware in grado di crittografare rapidamente i documenti dei computer chiedendo un riscatto. Non si parla di fantascienza ma di minacce reali tant’è che l’Università degli Studi di Parma a maggio 2017 diffuse una informativa dettagliata a dipendenti e studenti.
Per chi stesse pensando “Si tratta di minacce limitate solo ai sistemi Windows, ho un Apple quindi non mi preoccupo”: attenzione! In una recente news della BBC si conferma che un ramsonware e uno spyware “solo per Mac” sono attualmente in circolazione, occorre quindi prendere le dovute precauzioni anche sui computer Apple. Come proteggersi quindi?
Cyber-risk: come difendere la tua azienda dagli attacchi?
La risposta più ovvia è: dotare il proprio computer di un software in grado di proteggere e rimuovere virus malware e altre minacce informatiche. Una breve ricerca sul web può fornire ottimi suggerimenti sia per dispositivi Windows che per computer Apple.
Una rete aziendale richiede invece sistemi molto più complessi di un semplice software installato sui computer facenti parte della rete. Citiamo testualmente la introduzione allo studio effettuato dalla Banca d’Italia sul rischio informatico nelle aziende private e pubblicato a febbraio 2017:
…per quanto solo l’1,5 per cento delle imprese non adotti alcuna misura difensiva, il 30,3 per cento – corrispondente al 35,6 per cento degli addetti – dichiara di aver subito danni a causa di un attacco informatico tra Settembre 2015 e Settembre 2016. Correggendo i risultati per tenere conto delle intrusioni non individuate o non dichiarate, l’incidenza degli attacchi sale al 45,2 per cento per le imprese e al 56 per cento per gli addetti; sono più colpite le imprese di maggiori dimensioni, quelle con elevato contenuto tecnologico e quelle esposte sui mercati internazionali. Il livello di rischio nel complesso dell’economia è probabilmente ancora più alto; il settore finanziario, così come la sanità, l’istruzione e i servizi sociali sono esclusi dal campione, ma secondo altre fonti sono particolarmente attraenti per gli attaccanti.
La migliore tutela sarebbe quella di smettere di domandarsi “Ma perché dovrebbero colpire proprio la mia azienda?” ponendosi invece la domanda “Che impatto avrebbe un evento Cyber sulla mia attività?”
Un altro studio interessante è quello svolto dalla Università la Sapienza di Roma dal quale emerge che il danno medio finanziario subito da una PMI in caso di attacco informatico è di € 35.000/anno dovuti a:
-
recovery;
-
perdita di volume di affari;
-
tempi di inattività;
-
danno d’immagine
Cyber-risk: quali sono le tipologie di danno?
I danni derivanti da un attacco informatico, azienda o libero professionista non fa alcuna differenza, ricadono in tre tipologie differenti:
- danni immateriali diretti, derivanti dall’impossibilità di esercitare la propria attività
- danni immateriali indiretti, ossia la perdita di immagine e reputazione aziendale
- eventuali richieste di risarcimento da parte dei clienti colpiti dall’interruzione dei servizi erogati, dalla diffusione di dati personali o pubblicazione di informazioni lesive all’immagine e reputazione su siti pubblici.
Tutte e tre le tipologie di rischio andrebbero gestite a priori tramite una accurata analisi, gestione e mitigazione dei rischi informatici aziendali e relativa strategia di implementazione.
Una indagine su scala mondiale ha messo in evidenza che solo il 9% degli imprenditori intervistati ritiene il rischio informativo un “rischio significativo”.
Cyber-risk: è possibile stilare una assicurazione a copertura?
Non è purtroppo possibile assicurare la perdita dei dati aziendali in seguito ad un attacco cyber, perché occorrerebbe stimare a priori il valore di ogni record aziendale, valore che oscilla a seconda delle performances aziendali.
Sono invece assicurabili, quindi rimborsabili, i costi di ripristino del sistema informatico e di recupero dei dati. Anche le eventuali richieste di risarcimento da parte dei clienti possono essere ricondotte ad una casistica di Responsabilità Civile e quindi coperte da apposita polizza.
Pochi sono gli operatori assicurativi presenti sul mercato italiano in grado di effettuare una accurata analisi dei rischi cyber, offrendo adeguate coperture e tutele in caso di attacco informatico.