Logo ImpresaCity.it

Cyber insurance: ransomware e GDPR in primo piano

Il ransomware resta il principale fattore che spinge le aziende a sottoscrivere una cyber insurance, ma secondo AIG anche il GDPR avrà il suo peso

Redazione Impresacity

Da qualche tempo il consiglio degli esperti di sicurezza è sempre lo stesso: le aziende devono proteggersi dalla criminalità informatica mettendo in campo le giuste contromisure, resta però un margine di rischio che si può contenere solo con una polizza assicurativa specifica, ossia una cyber insurance. Questo strumento si è quindi diffuso tra le aziende, tanto che AIG ora può pubblicare analisi statistiche sui tipi di attacco che hanno ricevuto i propri clienti.

AIG ha in particolare rilasciato un report relativo all'andamento delle richieste di indennizzo delle cyber-polizze nel 2017 e per l'area EMEA. Da questa analisi la compagni assicurativa deriva due conclusioni importanti: il ruolo sempre chiave del ransomware e quello che avrà il GDPR ora che è definitivamente in funzione.

Le cifre di AIG indicano infatti che le cause di "claim" ricevute nel 2017 sono state soprattutto il buon vecchio ransomware, per una quota del 26%, e in seconda battuta i data breach causati da attacchi esterni (12%). Le richieste di indennizzo, soprattutto legate al blocco dell'operatività dei sistemi, sono anche aumentate di numero: nel 2017 AIG ne ha gestite mediamente una per giorno lavorativo, per un volume pari alla somma di tutte le richieste ricevute dal 2013 al 2016.

aig claim 2013 17
Il report sottolinea che il ransomware continuerà ad essere un problema rilevante per le imprese, soprattutto perché è diventato una commodity della criminalità. È facile procurarsi varianti dei ransomware più comuni per organizzare propri attacchi, inoltre si è diffuso il modello del ransomware-as-a-service per chi non vuole nemmeno impegnarsi più di tanto nella creazione di attacchi più sofisticati.

Questa "volgarizzazione" del ransomware significa anche, secondo AIG, che gli attacchi non vengono più portati con un certo livello di professionalità (criminale) e che quindi non c'è nessuna garanzia di poter recuperare i propri dati anche dopo aver pagato un riscatto.

computer codice
Lato GDPR, questo dovrebbe portare un aumento delle richieste di indennizzo. Ciò per il semplice fatto che ora le aziende sono obbligate a comunicare ai propri utenti/clienti i data breach che subiscono, mentre in precedenza potevano evitarlo fino a quando non era proprio indispensabile. Dato che i consumatori sono ora molto più sensibili al tema della protezione dei dati, specie dopo il caso Cambridge Analytica, aumenta la probabilità che chi riceve una notifica di violazione o perdita dei propri dati personali faccia una richiesta di risarcimento.

AIG mette comunque le mani avanti, riguardo al GDPR. Se una cyber insurance può coprire i danni indiretti legati ai data breach, non può coprire anche le sanzioni economiche che le Autorithy possono comminare alle aziende. O perlomeno lo scenario è in via di definizione: in alcune nazioni si sa già che questa copertura non è legalmente possibile, per altre lo si capirà nel corso del 2018.
Pubblicato il: 29/05/2018

Cosa pensi di questa notizia?

Speciali

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce

speciali

Phishing, Ransomware e Truffe E-Mail: è allarme per Office 365 e il cloud