Da qualche tempo il consiglio degli esperti di sicurezza è sempre lo stesso: le aziende devono proteggersi dalla
criminalità informatica mettendo in campo le giuste contromisure, resta però un margine di rischio che si può contenere solo con una polizza assicurativa specifica, ossia una
cyber insurance. Questo strumento si è quindi diffuso tra le aziende, tanto che
AIG ora può pubblicare analisi statistiche sui tipi di attacco che hanno ricevuto i propri clienti.
AIG ha in particolare rilasciato
un report relativo all'andamento delle richieste di indennizzo delle cyber-polizze
nel 2017 e per l'area EMEA. Da questa analisi la compagni assicurativa deriva due conclusioni importanti: il ruolo sempre chiave del ransomware e quello che avrà il GDPR ora che è
definitivamente in funzione.
Le cifre di AIG indicano infatti che le cause di "claim" ricevute nel 2017 sono state soprattutto il buon vecchio
ransomware, per una quota del 26%, e in seconda battuta i
data breach causati da attacchi esterni (12%). Le richieste di indennizzo, soprattutto legate al
blocco dell'operatività dei sistemi, sono anche aumentate di numero: nel 2017 AIG ne ha gestite mediamente una per giorno lavorativo, per un volume pari alla somma di tutte le richieste ricevute dal 2013 al 2016.
Il report sottolinea che il ransomware continuerà ad essere un problema rilevante per le imprese, soprattutto perché è diventato
una commodity della criminalità. È facile procurarsi varianti dei ransomware più comuni per organizzare propri attacchi, inoltre si è diffuso il modello del
ransomware-as-a-service per chi non vuole nemmeno impegnarsi più di tanto nella creazione di attacchi più sofisticati.
Questa "volgarizzazione" del ransomware significa anche, secondo AIG, che gli attacchi non vengono più portati con un certo livello di
professionalità (criminale) e che quindi non c'è
nessuna garanzia di poter recuperare i propri dati anche dopo aver pagato un riscatto.
Lato
GDPR, questo dovrebbe portare un aumento delle
richieste di indennizzo. Ciò per il semplice fatto che ora le aziende sono
obbligate a comunicare ai propri utenti/clienti i data breach che subiscono, mentre in precedenza potevano evitarlo fino a quando non era proprio indispensabile. Dato che i consumatori sono ora molto più sensibili al tema della protezione dei dati, specie dopo il caso Cambridge Analytica, aumenta la
probabilità che chi riceve una notifica di violazione o perdita dei propri dati personali faccia una richiesta di risarcimento.
AIG mette comunque le mani avanti, riguardo al GDPR. Se una cyber insurance può coprire i danni indiretti legati ai data breach,
non può coprire anche le sanzioni economiche che le Autorithy possono comminare alle aziende. O perlomeno lo scenario è in via di definizione: in alcune nazioni
si sa già che questa copertura non è legalmente possibile, per altre lo si capirà nel corso del 2018.