Silent cyber risk: cosa sono e come affrontarli

Silent cyber risk: cosa sono e come affrontarli

6 dicembre 2018 0 Di Yuri Poletto

 

Gli anni ’90 sono gli anni del boom tecnologico: inizia la diffusione di massa dei telefoni cellulari, un fenomeno a cui contribuira’ enormemente Steve Jobs che proprio in quegli anni rientra in Apple; Microsoft lancia Windows 95, il sistema operativo che cambiera’ il mercato dei personal computer; in un garage nascono aziende come Amazon e Google.
L’evoluzione tecnologica iniziata in quegli anni ha portato con se’ anche l’evoluzione dei rischi ad essa connessi, ed e’ infatti in quel periodo che fanno il loro ingresso nel mercato le prime polizze cyber insurance.

Le prime versioni delle polizze cyber erano limitate alla copertura dei danni a terzi. Progressivamente le coperture si sono estese, includendo i rischi derivanti dall’utilizzo dei network e di Internet, fino ad arrivare alla configurazione attuale che comprende anche i danni diretti, come le cyber estorsioni e i danni da interruzione di attivita’.

Con l’aumentare della frequenza dagli attacchi informatici, e’ aumentata anche la consapevolezza dei rischi cyber, e nelle agende dei Chief Underwriting Officers ha iniziato ad affacciarsi il tema dei rischi cyber “silenti”.
Con “Silent cyber” o “Non-affirmative cyber” si intendono i potenziali sinistri, derivanti da rischi cyber, registrati in polizze property o liability non pensate per coprire tali rischi e che quindi non escludono ne comprendono esplicitamente questa tipologia di rischi. Questa ambiguita’ delle coperture puo’ sfociare in uno scenario di cyber risk “silente”, in cui un assicuratore puo’ ritrovarsi a dover pagare dei sinistri derivanti da rischi cyber su una polizza non pensata per quello scopo.
Un esempio della rilevanza di questo tema si e’ avuto con gli attacchi WannaCry e Petya/NotPetya del 2017: la sola societa’ farmaceutica Mercks sarebbe “responsabile” di richieste di risarcimento ai propri assicuratori pari a $2bn per i danni subiti in conseguenza del malware Petya/NotPetya*. I risarcimenti pagati dagli assicuratori in conseguenza di questi attacchi non hanno riguardato solo le polizze cyber ma anche e soprattutto polizze property e liability, i cui wording includevano (all’insaputa o meno degli assicuratori) danni derivanti da attacchi cyber come sistem failure e danni da interruzione di attivita’.

Per capire i rischi cyber silenti, e’ innanzitutto utile inquadrare i rischi cyber.
Il rischio cyber può essere definito come qualsiasi rischio derivante dall’uso di tecnologie informatiche e di comunicazione che comprometta la riservatezza, l’integrità o la disponibilità di dati, sistemi o servizi.
Le coperture per i rischi cyber sono prestate attraverso polizze cyber insurance stand-alone, o come garanzie aggiuntive inserite in polizze property e casualty per coprire i costi derivanti da violazioni di dati, attacchi a reti informatiche ed altri eventi simili.
Le polizze cyber insurance forniscono copertura per danni diretti quali forensic investigations, PR, credit scoring, danni da interruzione di attivita’, cyber estorsioni, costi di sostituzione, ripristino e ricostruzione di dati danneggiati o persi. Forniscono inoltre copertura per i danni da responsabilita’ civile verso terzi quali la violazione della privacy, i costi di difesa, i danni da responsabilita’ relativi alla sicurezza della rete informatica, ecc.

Da un punto di vista teorico, la diffusione massiva della tecnologia comporta che quasi tutti gli asset assicurati con polizze property e liability possano essere esposti a rischi silent cyber. La pericolosita’ per gli assicuratori del silent cyber consiste nel rischio di perdere il controllo delle proprie esposizioni, e di accumulare cosi’ in modo incontrollato perdite ingenti anche in polizze che non erano pensate per coprire tali rischi.
Lo sviluppo della tecnologia, ed in particolare delle tecnologie IoT che consentono l’accesso a device e servizi da remoto tramite la rete, sta complicando lo scenario, rendendo molto complicato per gli assicuratori controllare e quantificare le loro reali esposizioni.

Per affrontare queste sfide, uno degli approcci piu’ usati dagli assicuratori e’ quello di prefigurare scenari di crisi ed effettuare stress test sui propri portafogli. Questi processi si articolano in alcune fasi che includono l’identificazione del tipo di minacce cyber, una quantificazione verosimile degli attacchi, e un assessment degli impatti sul portafoglio della parte derivante dai rischi silent cyber. Quello dei possibili attacchi a infrastrutture elettriche e’ uno degli scenari che piu’ spesso vengono presi in considerazione durante queste analisi, e a causa della portata dei possibili effetti molti assicuratori decidono di non assicurare tali rischi.

Alcuni riassicuratori adottano un approccio diverso e piu’ radicale, che consiste nella mappatura delle coperture prestate nelle diverse linee di business in cui operano, e nell’inserimento di specifiche esclusioni per i rischi cyber nei wording property e casualty, accompagnando questo con l’offerta ai propri clienti di acquistare una polizza cyber stand-alone a copertura dei rischi cosi’ esclusi nelle altre polizze. Talvolta l’inserimento di esclusioni non viene tuttavia ritenuta una contromisura efficace, quindi alcuni riassicuratori preferiscono includere esplicitamente nei loro wording non cyber i rischi derivanti dal silent cyber facendo pagare per questo un premio aggiuntivo. Altri assicuratori invece adottano soluzioni meno trasparenti, ovvero non includere ne escludere esplicitamente i rischi cyber, lasciando poi ai loro uffici sinistri e legali l’interpretazione delle coperture e la risoluzione di eventuali controversie.

Anche i regolatori hanno iniziato ad affrontare questo tema. A metà del 2017, la Prudential Regulation Authority (PRA) nel Regno Unito ha rilasciato una dichiarazione di supervisione che chiarisce le sue aspettative nei confronti delle imprese in merito al rischio di sottoscrizione di polizze cyber – sia con riferimento ai rischi “affermativi” che “non affermativi”. In breve: “il PRA si aspetta che le aziende siano in grado di identificare, quantificare e gestire il rischio di sottoscrizione assicurativa cyber”.

 

* https://www.theinsurer.com/news/mercks-notpetya-insured-loss-could-still-be-2bn/2142.article

 


Iscriviti alla nostra newsletter

Condividi il post