La minaccia di attacchi informatici non è una novità, ma il ransomware si sta dimostrando molto più efficace che mai nel generare profitti. Ciò ha spinto le aziende a rivolgersi alle assicurazioni per proteggersi dal pesante impatto finanziario di questi attacchi. Poiché la domanda è cresciuta a livelli senza precedenti, il settore è diventato altamente volatile. I premi aumentano, ci sono più regole su ciò che è coperto o meno e sono stati introdotti standard minimi per le aziende che vogliono essere assicurate. Queste potrebbero sembrare cattive notizie per le aziende, ma in ultima analisi gli aspetti positivi sono diversi.
Un’assicurazione per il mondo digitale
A volte si pensa che la cybersicurezza sia un mondo oscuro. In realtà, la realtà fisica e quella digitale sono molto più simili di quanto si pensi. Trent’anni fa, le aziende che volevano proteggere i propri beni pensavano prima di tutto all’assicurazione contro gli incendi e i furti. Oggi i rischi sono più digitali. Secondo il Veeam Data Protection Trends Report 2024, tre organizzazioni su quattro hanno subito almeno un attacco ransomware nell’ultimo anno, e una su quattro è stata attaccata più di quattro volte nello stesso periodo.
Non c’è da stupirsi che la cyber-assicurazione sia diventata una scelta sempre più popolare per molte organizzazioni – si prevede che crescerà del 24% fino a diventare un settore da 84,62 miliardi di dollari entro il 2030. Tuttavia, con l’aumento del numero di aziende che acquistano e richiedono l’assicurazione, anche il suo costo è cresciuto costantemente, con un aumento dei premi negli ultimi tre anni. Questo non è stato l’unico cambiamento da parte degli assicuratori che cercano di mantenere redditizia la protezione informatica: negli ultimi anni è diventata prassi comune una valutazione del rischio più significativa, l’introduzione di standard minimi di sicurezza e la riduzione della copertura.
Pagare o non pagare il riscatto?
L’assicurazione informatica è diventata di recente un argomento controverso, che si riduce soprattutto alla domanda da un milione di dollari sul ransomware: pagare o non pagare? Sebbene molti respingano l’idea che le aziende assicurate siano più propense a pagare i riscatti, un rapporto del 2023 sulle vittime ha rilevato che il 77% dei riscatti è stato pagato dall’assicurazione. Tuttavia, molti assicuratori stanno cercando di porre fine a questa situazione. Lo stesso rapporto ha rilevato che per il 21% delle organizzazioni il ransomware è ora esplicitamente escluso dalle loro polizze. Abbiamo anche visto altri escludere esplicitamente i pagamenti dei riscatti dalle loro polizze: copriranno i costi dei tempi di inattività e dei danni, ma non i costi di estorsione.
A mio parere, quest’ultimo approccio è il migliore. Pagare i riscatti non è una buona idea e non è lo scopo per cui le assicurazioni dovrebbero essere utilizzate. Non si tratta solo di una questione di etica e di alimentare il crimine, ma del fatto che il pagamento del riscatto non risolve immediatamente il problema e spesso ne crea di nuovi. In primo luogo, i criminali informatici tengono traccia delle aziende che pagano in modo da poter tornare per un secondo attacco o condividere queste informazioni con altre organizzazioni. Uno studio ha rilevato che l’80% delle aziende che hanno pagato un riscatto sono state colpite una seconda volta. Ma anche prima di arrivare a questo punto, il recupero attraverso il pagamento del riscatto è raramente facile. Il recupero con le chiavi di decrittazione fornite dagli aggressori richiede molto tempo, spesso intenzionalmente, poiché alcuni gruppi fanno pagare per ogni chiave per accelerare il processo, sempre che la decriptazione funzioni, un’azienda su cinque paga un riscatto e non riesce a recuperare i propri dati.
Elevare gli standard
Quindi, il pagamento di riscatti tramite assicurazione sta, fortunatamente, lentamente scomparendo. Ma non è l’unica cosa che è cambiata. Le aziende che necessitano di un’assicurazione informatica sono sempre più tenute a rispettare standard minimi di sicurezza e resilienza al ransomware. Ciò può includere l’utilizzo di backup crittografati e immutabili e l’implementazione di principi di protezione dei dati basati sulle best practice, come il least privilege (dare accesso solo a chi ne ha bisogno) o il four-eyes (richiedere che le modifiche o le richieste significative siano approvate da due persone). Alcune politiche richiedono anche alle aziende di avere piani solidi per garantire la disponibilità dei sistemi, compresi processi di disaster recovery ben definiti per prevenire i tempi di inattività dovuti a un attacco ransomware. Dopo tutto, più a lungo un sistema è fuori uso, più alto è il costo del downtime e, con esso, il costo della richiesta di risarcimento assicurativo.
Le aziende dovrebbero comunque disporre di tutti questi elementi. Se l’assicurazione è affiancata da processi approssimativi di protezione e recupero dei dati, i risarcimenti assicurativi non faranno altro che mascherare le falle. L’introduzione di standard minimi è una buona notizia per le aziende. Non solo farà scendere il costo dei premi nel lungo periodo, ma i principi di sicurezza che essi richiedono saranno più preziosi per le aziende di quanto non lo fosse l’assicurazione in partenza. L’assicurazione informatica non è una garanzia assoluta, ma può essere un elemento vantaggioso di una più ampia strategia di resilienza informatica. Entrambe sono utili, ma nel caso in cui si è costretti a sceglierne solo una, la resilienza sarebbe sempre la scelta migliore. Fortunatamente, gli assicuratori sono d’accordo, poiché le aziende non protette stanno diventando troppo poco redditizie per essere coperte.
L’assicurazione informatica, in particolare per quanto riguarda il ransomware, si sta muovendo verso un mondo in cui le aziende assicurate hanno una forte resilienza informatica, piani di ripristino d’emergenza ben definiti e utilizzano l’assicurazione solo per mitigare l’impatto degli attacchi e il costo dei tempi di inattività mentre rispristinano attraverso backup immutabili. Si tratta di un mondo molto più resistente al ransomware rispetto a quello in cui le imprese si affidano unicamente alle assicurazioni.
A cura di Edwin Weijdema, Field CTO & Lead Cybersecurity Technologist
