Le assicurazioni contro i rischi informatici sono un aiuto economico per la ripresa dopo un attacco, ma non compensano i rischi e non coprono tutti i costi. Inoltre non sono accessibili a tutti.
Da quando gli attacchi ransomware spopolano si parla sempre più di frequente di cyber insurance, ossia di polizza assicurative contro i danni causati dagli incidenti digitali. Per massimi sistemi, le argomentazioni si possono raggruppare in due filoni: l’effettivo vantaggio che apportano ai sottoscrittori da una parte e la reale copertura dei danni da parte delle assicurazioni.
In un intervento sul tema, Dave Russell, Vice President of Enterprise Strategy, Veeam e Rick Vanover, Senior Director Product Strategy di Veeam, fornisce alcune informazioni che sono molto interessanti. La prima è che l'assicurazione contro le minacce informatiche è una forma di gestione dei rischi informatici. Svolge un ruolo cruciale nell'attenuare le perdite derivanti da incidenti informatici, completa la resilienza informatica complessiva di un'organizzazione e dovrebbe essere integrata nella sua strategia di protezione dei dati.
Detto in maniera più diretta, l’assicurazione cyber può coprire tutti o parte dei costi associati a violazioni di dati, ransomware e altri incidenti di cybersecurity. In un’epoca storica in cui le richieste di riscatto possono essere milionarie, un aiuto nel pagamento può fare la differenza sul riprendersi o meno da un attacco informatico. Basti pensare che secondo IBM il costo medio di una violazione dei dati in sei Paesi ASEAN ha raggiunto il massimo storico di 2,87 milioni di dollari nel 2022.
C’è inoltre un vantaggio indiretto che non sempre emerge: la polizza assicurativa di fatto aiuta le aziende a proteggersi molto prima che si verifichi un attacco. La polizza non ha effetto retroattivo, sia chiaro, è la dinamica della sua sottoscrizione a portare benefici preventivi. Fra le condizioni per stipulare una polizza, infatti, le assicurazioni impongono quasi sempre la conformità a una serie di requisiti di cybersecurity, fra cui la presenza di soluzioni di protezione di un certo livello, di un monitoraggio continuo, di controlli sugli accessi e via dicendo. In sostanza, chi sottoscrive un’assicurazione deve necessariamente essere già un passo avanti con la resilienza rispetto ad altri.
Il tema è che, come sottolineato più volte, oggi è impossibile impedire che si verifichino attacchi. L’assicurazione contro le minacce informatiche quindi serve, tanto che risulta essere un business in rapida crescita, con un volume di mercato previsto di 29,2 miliardi di dollari entro il 2027.
Per i motivi indicati sopra, sulla carta le aziende di tutte le dimensioni dovrebbero sottoscrivere assicurazioni contro il danno informatico, e in particolare dovrebbero farlo le PMI che sono esposte a un rischio informatico sempre maggiore ma spesso non dispongono dell’occorrente per affrontare le nuove minacce. Il guaio è che una polizza assicurativa informatica di portata adeguata è spesso fuori budget per molte PMI.
Inoltre, i requisiti imposti per la sottoscrizione delle polizze richiedono investimenti in cybersecurity che le realtà più piccole e meno attrezzate non si possono permettere. Ad esempio, alcune polizze richiedono che le aziende dispongano di sistemi di gestione degli asset e di processi documentati di patch delle vulnerabilità. Sono costi nascosti che rendono ancora più difficile per le PMI finanziare una assicurazione informatica.
Non è poi da dimenticare che il progressivo aumento dei riscatti sta spingendo molte assicurazioni a rivedere le proprie offerte. Alcune vogliono chiamarsi fuori dalla copertura dei danni da attacchi ransomware. la maggior parte ha aumentato i prezzi, rendendo molto oneroso aggiudicarsi una protezione finanziaria.
La questione dell’effettiva utilità ha poi un ulteriore risvolto: se da una parte è vero che l'assicurazione cyber aiuta a sostenere gli sforzi per la ripresa da un attacco (ma difficilmente li copre tutti), non annulla il rischio di perdita di dati e di interruzione dei processi aziendali. In altre parole, l'assicurazione non protegge un'azienda da tutto.
In conclusione, gli esperti di Veeam suggeriscono che la domanda corretta da porsi non è se si ha un reale bisogno di una cyber insurance, ma quanto e contro quali forme di incidenti informatici. Una stima che si può condurre solo con un’accurata e competente analisi del rischio.
Veeam, dal canto suo, offre ai propri clienti la Veeam Ransomware Warranty, un’assicurazione fino a 5 milioni di dollari che copre i costi di recupero dei dati in caso di ransomware o di attacco informatico che renda i dati irrecuperabili. È indirizzata solo ai clienti con sottoscrizione Premium, con una base installata importante, che soddisfano i requisiti di implementazione del servizio e le best practice.