L’assicurazione informatica non è più qualcosa che le aziende possono acquistare e dimenticare. Man mano che ransomware, phishing, compromissione della posta elettronica aziendale e attacchi assistiti dall’intelligenza artificiale diventano più comuni, gli assicuratori stanno cambiando il loro ruolo. Non si limitano a pagare i risarcimenti dopo un incidente. Ora stanno decidendo se un’organizzazione è sufficientemente sicura da poter assicurare in primo luogo.
La lezione è chiara dalla città di Hamilton, Ontario. Nel febbraio 2024, la città ha subito un attacco ransomware che ha interrotto i servizi in tutto il comune. Hamilton si rifiutò di pagare il riscatto di 18,5 milioni di dollari e ripristinò i servizi essenziali entro 48 ore, ma alcuni sistemi rimasero colpiti per settimane. Un anno dopo, la sua compagnia di assicurazione informatica ha negato la richiesta della città dopo che gli investigatori hanno scoperto che diversi dipartimenti non avevano implementato l’autenticazione a più fattori per i lavoratori che accedevano ai sistemi interni.
Quel dettaglio contava. Secondo quanto riferito, la politica affermava che la copertura potrebbe essere annullata se la violazione fosse collegata alla mancanza di controlli di sicurezza di base, inclusa l’AMF. In altre parole, l’assicurazione non ha sostituito la sicurezza. L’esperienza della città ha dimostrato che la copertura dipende dalla capacità di un’organizzazione di dimostrare di aver seguito gli standard minimi richiesti dall’assicuratore.
Questo sta diventando il nuovo modello di assicurazione informatica. Gli assicuratori stanno passando dalla sottoscrizione passiva alla valutazione attiva della sicurezza. Vogliono sapere se un’azienda dispone di MFA, rilevamento e risposta degli endpoint, registrazione, scadenze per l’applicazione di patch, backup testati, segmentazione, formazione dei dipendenti e procedure di risposta agli incidenti. Una società che non può dimostrare l’esistenza di questi controlli potrebbe dover affrontare premi più elevati, una copertura più ristretta o un rifiuto totale.
Il tempismo non è casuale. Gli attacchi informatici stanno diventando sempre più facili da lanciare e più difficili da contenere. L’intelligenza artificiale generativa ha abbassato la barriera delle competenze per gli aggressori, rendendo le e-mail di phishing più convincenti e consentendo attacchi su larga scala. La compromissione della posta elettronica aziendale rimane una delle fonti di reclamo più comuni perché prende di mira le persone, non solo i sistemi. Anche le organizzazioni dotate di forti strumenti perimetrali possono comunque essere esposte se i dipendenti vengono ingannati, se si dà troppa fiducia alle identità o se i controlli vengono applicati in modo incoerente.
Ecco perché ora gli audit condotti dagli assicuratori sono importanti. Costringono le aziende a considerare la sicurezza informatica come un requisito aziendale misurabile. I team di sicurezza devono documentare i controlli, dimostrare che i sistemi sono monitorati, eseguire esercitazioni, conservare prove per i rinnovi e dimostrare che il rischio si sta riducendo. Questo può essere frustrante, ma crea anche disciplina. Per molte organizzazioni, in particolare per le piccole e medie imprese, i requisiti assicurativi possono rappresentare la spinta per ottenere finalmente il finanziamento e l’implementazione dei controlli di base.
I firewall restano importanti, ma non sono sufficienti. Un firewall può monitorare il traffico, bloccare accessi sospetti e ridurre l’esposizione ai margini della rete. Ma non può eliminare il rischio. Errori di configurazione, credenziali rubate, vulnerabilità zero-day, attacchi alla catena di fornitura, minacce interne ed errori umani possono ancora portare a violazioni. Anche le difese tecniche più efficaci non possono coprire automaticamente i danni legali, finanziari, operativi e reputazionali che seguono un attacco riuscito.
È qui che l’assicurazione informatica ha ancora valore. Quando una politica risponde, può finanziare indagini forensi, consulenza legale, supporto alle pubbliche relazioni, negoziazione del riscatto, servizi di recupero e perdite dovute a interruzione dell’attività. Gli assicuratori possono anche fornire accesso a partner selezionati per la risposta agli incidenti che molte aziende avrebbero difficoltà a trovare rapidamente durante una crisi. In caso di violazione grave, tale coordinamento può ridurre i tempi di inattività e limitare il danno totale.
Ma le aziende non dovrebbero dare per scontato che ogni richiesta verrà pagata. Spesso il rifiuto delle richieste avviene a causa di false dichiarazioni, esclusioni, rischi non dichiarati o mancato rispetto delle condizioni della polizza. Se un’organizzazione afferma di avere MFA ovunque ma non lo fa, o afferma di aver testato backup che non sono mai stati convalidati, l’assicuratore può contestare la richiesta. La polizza non è più solo un documento finanziario. È un contratto di sicurezza.
Il risultato più ampio è che le compagnie assicurative stanno diventando regolatori informali della sicurezza informatica. Stanno fissando standard minimi attraverso sottoscrizioni e rinnovi, soprattutto per le organizzazioni che non dispongono di programmi di sicurezza maturi. Ciò probabilmente continuerà man mano che le minacce guidate dall’intelligenza artificiale si espanderanno ulteriormente e gli assicuratori cercheranno di controllare la propria esposizione.
L’assicurazione informatica è ancora importante. Ma dovrebbe essere trattato come parte di una strategia di rischio, non come un sostituto della sicurezza. Le organizzazioni nella posizione migliore per beneficiare dell’assicurazione saranno quelle che potranno dimostrare di aver svolto le attività fondamentali: proteggere le identità, monitorare i sistemi, applicare rapidamente patch, formare i dipendenti, eseguire il backup dei dati critici e testare i propri piani di risposta prima che lo facciano gli aggressori.
