Difendersi dagli attacchi informatici sta diventando sempre più importante per aziende e pubbliche amministrazioni, perché insieme ai dati aziendali e a quelli degli utenti in ballo ci sono anche reputazione e credibilità. Ed è ormai sempre più evidente che correre ai riapri dopo aver subito un’offensiva vuol dire intervenire quando si è già in difficoltà e si sono subite pesanti conseguenze economiche e reputazionali, probabilmente più costose di una strategia attenta basata sulla prevenzione e sulla massima riduzione del danno.
Il primo strumento per acquisire consapevolezza e difendersi può essere individuato nel framework nazionale di cybersecurity, che stabilisce una serie di adempimenti per i processi organizzativi delle aziende, e può essere considerato un valido strumento di assessment perché ognuno valuti il proprio livello di protezione e di sicurezza. Proprio dalle valutazioni emerse con il framework nazionale si potrebbe partire per la stipula di una “cyber insurance”, basata proprio sul livello di compliance rispetto al Fncs. Due interventi che, se integrati, seppure non abbatterebbero il rischio fino al livello zero, lo mitigherebbero in maniera sensibile, e potrebbero essere semplici da adottare anche per il tessuto delle Piccole e medie imprese italiane, afflitte da una carenza di risorse da investire in questo settore e da una concomitante scarsità di competenze specifiche all’interno del perimetro aziendale. A fornire una possibile ricetta in questo senso sono, in un’analisi pubblicata da agendadigitale.eu, Stefano Armenia (Link Campus University), Camillo Carlini (Link Campus University), Carlo Maria Medaglia (prorettore alla ricerca della Link Campus University) ed Emanuele Spagnoli (Price Waterhouse Coopers).
Per essere efficace, secondo questa analisi, un prodotto assicurativo per la gestione del Cyber Risk dovrà prevedere la copertura da danni immateriali diretti, come la colposa cancellazione o la distruzione di un archivio, la copertura da danni immateriali indiretti che impattano sulla reputazione aziendale o che possano incidere sul brand, la copertura di danni materiali diretti ed indiretti (es. distruzione o il furto di un server, di un dispositivo fisso o mobile).
Ma se da una parte le assicurazioni possono offrire soluzioni per le vittime degli attacchi informatici, dall’altra finiscono essere stesse nel mirino degli hacker, e devono sostenere – insieme alle banche – costi sempre più alti per difendersi. Secondo la ricerca “Cost of cyber crime” di Accenture security con il Ponemon institute, infatti, in tre anni il costo medio del cybercrime sostenuto da banche e assicurazioni a livello internazionale è aumentato di oltre il 40%. Si è passati dai 12,97 milioni di dollari per azienda del 2014 ai 18,28 milioni di dollari dello scorso anno.
Tra le soluzioni possibili per procedere speditamente sul campo dell’innovazione senza mettere a rischio la sicurezza, secondo Boston Conulting group, potrebbe essere utile ricorrere alla blockchain: secondo lo studio “The First Blockchain Insurer” , infatti, la distributed ledger technology consentirebbe una riduzione da 5 a 13 punti del combined ratio danni per un valore economico che supera i 200 miliardi di dollari in termini di margine tecnico dal totale premi lordi. Con il modello Insurance-only blockchain le assicurazioni possono scegliere di lavorare su una blockchain per il proprio specifico ecosistema di clienti e partner o creare progetti che si integrano in altri ecosistemi esistenti, creando e mettendo a disposizione dati con una governance condivisa per ridurre costi, transazioni manuali, verifiche tra diversi attori coinvolti nelle stesse “pratiche”. Aumentando così i fattori di conoscenza di tutti gli attori sia a livello KYC (know your customer) information, sia a livello di Risk Management.
