Rischio informatico: come è andato il 2018 per le aziende?

A poco più di un anno dall’applicabilità del nuovo regolamento europeo sulla protezione dei dati (GDPR – ne abbiamo parlato in modo approfondito QUI sul blog), recepito nel nostro paese dal D. Lgs. 101/18, avvenuta il 25 maggio del 2018, diamo un’occhiata all’evoluzione dei rischi informatici grazie al recente report pubblicato da AIG (Tra le compagnie leader di mercato in ambito cyber insurance): “Cyber Claims: GDPR and business email compromise drive greater frequencies”

L’analisi prende a riferimento gli incidenti informatici denunciati alla compagnia nel 2018 tra i clienti appartenenti all’area EMEA (Europa, medio oriente e africa) e ne estrae statistiche interessanti sia in merito alle tipologie di attacchi riscontrati, che al numero in senso assoluto.

Abbiamo un vincitore!

Rispetto agli anni precedenti nel 2018 fanno il proprio exploit i BEC (business email compromise), ovvero le compromissioni di caselle di posta professionali. Quasi un quarto di tutte le denunce di sinistro pervenute, dunque, si riferiscono a email “bucate” da attaccanti più o meno preparati, più o meno “professionali”. Le cause sono certamente da ricondurre a una maggiore facilità di riscontro del problema rispetto al malware nascosto, ma non solo. L’elemento che più desta preoccupazione è che nonostante la sensibilizzazione, le nuove normative e un’evidenza sociale del problema ormai comunemente accettata, in molti casi le compromissioni delle caselle email sono il frutto di banali attività di phishing (mail fasulle con link da cliccare).

Una volta che l’attaccante entra nel sistema è in grado, a seconda della protezione e del livello di credenziali possedute dal proprietario dell’account hackerato, di muoversi in vari ambienti IT dell’azienda.

Al secondo posto troviamo i Ramsomware, forse il tipo di malware più conosciuto, il cui obbiettivo non è il furto di informazioni ma il riscatto in bitcoin, richiesto dopo che il software malevolo cripta i dati mantenendoli non più utilizzabili dall’utente attaccato. Assistiamo ad una lieve discesa nel numero (erano al 26% nel 2017, ora al 18%) ma in compenso ad una maggiore capacità di colpire target altamente selezionati e vulnerabili.

Richiesta di riscatto: pagare o non pagare?

La decisione tra il “pagare” e il “non pagare” dipende in maggior misura da quanto efficacemente è stata condotta l’attività di backup dei dati e dalla potenziale interruzione di attività conseguente ad una mancata disponibilità dei dati oggetto di attacco.

Nella figura che segue vediamo la classifica completa dell’indagine relativa alle tipologie di sinistri denunciate:

Il report riporta poi un case history internazionale molto noto, relativo al recente incidente informatico che ha coinvolto la “Norsk Hydro”, gigante norvegese dell’alluminio, con risvolti che hanno scosso anche il mondo finanziario. Da Ilsole24ore del 20.03.2019 “La norvegese Norsk Hydro, gigante mondiale attivo in tutta la filiera del metallo, ha rivelato di aver subito un «grave» attacco informatico che l’ha costretta a sospendere la produzione in diversi impianti e a farne funzionare altri in modalità manuale. Gli hacker sono riusciti a violare i sistemi di sicurezza lunedì sera, presumibilmente negli Stati Uniti, per poi infettare quasi tutta la rete di computer del gruppo, al punto che anche gli aggiornamenti sulla situazione venivano forniti solo attraverso gli smartphone, via social media. Le quotazioni dell’alluminio al London Metal Exchange hanno reagito con un’impennata al diffondersi della notizia, spingendosi ai massimi da tre mesi.

Nella tabella sotto, espressi in percentuali sul totale, i sinistri denunciati in base all’anno solare. E’ da evidenziare che il progressivo aumento è da imputare anche alla contestuale diffusione delle coperture assicurative.

E il GDPR?

Circa il 20% delle denunce di sinistro pervenute si riferiscono a potenziali violazioni dei dati personali, e quindi necessitavano di notificazione al garante nazionale ai sensi della normativa vigente (da effettuarsi entro 48 o al massimo 72 ore dalla scoperta del data breach). Interessante notare come all’interno dell’Europa ci sia una profonda distinzione tra l’area dei paesi nordici, culturalmente più avanti da questo punto di vista, rispetto ai paesi dell’area mediterranea. Si passa da circa il 48% delle denunce con notifica al garante dell’Irlanda, per arrivare al meno del 10% della Spagna.

La tendenza generale è comunque quella di un generale aumento delle situazioni di sinistro ove il nuovo regolamento impone le comunicazioni di rito, sia all’interessato il cui dato è stato smarrito, compromesso o rubato, che all’organismo garante della privacy.

La copertura assicurativa serve?

Oltre a tutelare le spese di ripristino dei backup e dei sistemi operativi aziendali e quelle per risalire ad eventuali ulteriori infezioni, una copertura assicurativa correttamente congeniata è in grado di tutelare l’azienda per:

  • richieste di risarcimento dei terzi
  • danni da fermo attività
  • ramsonware e richiesta di riscatto
  • spese legali per controversie e comunicazioni al garante

Scopri subito la tua offerta personalizzata compilando il modulo qui sotto!