Gli attacchi informatici si fanno sempre più pericolosi ed efficaci e le imprese, di fronte a una situazione complessa e di difficile gestione, hanno deciso di affidarsi a compagnie di cyber insurance per proteggersi dagli impatti finanziari.
Con la crescita elevata della domanda, il settore è diventato altamente volatile: i premi sono aumentati negli ultimi tre anni, ci sono più regole su ciò che è coperto o meno e le compagnie assicurative richiedono degli standard minimi di sicurezza per le aziende che vogliono essere assicurate.
Edwin Weijdema, Field CTO & Lead Cybersecurity Technologist di Veeam, riporta che oggi tre organizzazioni su quattro hanno subito almeno un attacco ransomware nell'ultimo anno, e che una su quattro è stata attaccata più di quattro volte nello stesso periodo.
Non stupisce quindi che le organizzazioni si stanno rivolgendo alle cyber-assicurazioni per proteggere asset e finanze, facendo crescere il settore: Weijdema riporta che, da previsioni, il settore dovrebbe arrivare a 84.62 miliardi di dollari entro il 2030.
Le assicurazioni smettono di pagare i riscatti
Dopo aver sottoscritto un'assicurazione, le organizzazioni hanno cominciato a domandarsi se, in caso di attacco ransomware di successo, sarebbe meglio per loro pagare o non pagare il riscatto.
Weijdema evidenzia che, secondo un rapporto 2023 di Veeam, il 77% dei riscatti è stato pagato dalle assicurazioni, segno che le imprese si appoggiano totalmente o quasi ai servizi assicurativi.
Molti assicuratori stanno così cercando di porre fine a questa situazione: lo stesso rapporto ha rivelato che per il 21% delle organizzazioni il ransomware è ora esplicitamente escluso dalle polizze. In altri casi le assicurazioni hanno escluso esplicitamente il pagamento dei riscatti dalle polizze: copriranno i costi dei tempi di inattività e dei danni, ma non i costi di estorsione.
"Pagare i riscatti non è una buona idea e non è lo scopo per cui le assicurazioni dovrebbero essere utilizzate" sottolinea Weijdema, spiegando che, oltre a essere una questione etica e un problema di alimentazione del crimine, il pagamento del riscatto crea nuovi problemi.
I criminali informatici infatti tengono traccia delle aziende che pagano in modo da poter tornare per un secondo attacco o condividere queste informazioni con altre organizzazioni. Lo conferma uno studio Veeam, il quale ha rilevato che l'80% delle aziende che hanno pagato un riscatto è stato colpito una seconda volta.
Inoltre, recuperare le chiavi di decrittazione tramite riscatto richiede molto tempo, perché alcuni gruppi fanno pagare intenzionalmente per ogni chiave. Stando ai dati di Veeam, un'azienda su cinque che paga un riscatto non riesce a recuperare i propri dati.
Le assicurazioni chiedono standard più elevati
Con l'aumento del numero e della pericolosità delle minacce, le aziende che si rivolgono alle assicurazioni informatiche sono tenute a rispettare standard minimi di sicurezza e resilienza al ransomware.
Tra i requisiti base si richiede l'uso di backup crittografati e immutabili e l'implementazione di principi di protezione dei dati basati sulle best practice, come il least privilege o il four-eyes. Alcune politiche richiedono anche di avere piani solidi per garantire la disponibilità dei sistemi, come processi di disaster recovery ben definiti.
L'assicurazione da sola non può aiutare le imprese: se la polizza è affiancata da processi approssimativi di protezione e recupero dei dati, i risarcimenti non fanno altro che mascherare le falle.
L'introduzione di standard minimi può sembrare un problema ma, oltre al fatto che le imprese dovrebbero già essere attrezzate in quel senso, nel lungo periodo farà scendere il costo dei premi.
L'assicurazione informatica non è una garanzia assoluta, ma è certamente un elemento vantaggioso se inserito in una più ampia strategia di resilienza informatica, la quale comunque deve rimanere sempre la priorità per le organizzazioni.
L'evoluzione del settore della cyber insurance sta rendendo le imprese più resilienti, con piani di ripristino solidi; in questo modo, le organizzazioni diventano più resistenti ai ransomware e riducono gli impatti negativi sul business, affidandosi alla propria strategia e non più unicamente alle assicurazioni.
