Geneva Association: un quadro per l’attribuzione e la caratterizzazione dei sinistri cyber

La Geneva Association ha pubblicato un nuovo report realizzato con l’International Forum of Terrorism Risk (Re)Insurance Pools (IFTRIP), “Mapping a Path to Cyber Attribution Consensus” – il secondo della serie Cyber Terrorism and Cyber War (CTCW) – che fornisce agli assicuratori una struttura per attribuire e caratterizzare gli incidenti informatici.

Le aziende, i governi e le società dipendono sempre più da sistemi online interconnessi, cosa che li rende vulnerabili a eventi informatici virali e a interruzioni e distruzioni su larga scala. I fattori chiave per determinare se l’assicurazione finirà per coprire le perdite correlate includono la caratterizzazione di tali eventi e l’esito del processo di attribuzione, o l’identificazione dell’attore responsabile.

Questo secondo rapporto della serie sul terrorismo informatico e la guerra informatica fornisce agli assicuratori un quadro per l’attribuzione e la caratterizzazione degli incidenti informatici, sottolineando la necessità di una collaborazione internazionale per promuovere la coerenza e un processo semplificato.

Il rapido ritmo della trasformazione digitale, accelerato da COVID-19, sta portando
un aumento della domanda di protezione dai rischi informatici. Ci sono diversi modi in cui
la protezione del rischio informatico può essere raggiunta, il che include un alto livello di igiene informatica, l’implementazione e l’investimento in standard per la sicurezza informatica, non solo in termini di misure di sicurezza iniziali, ma anche una strategia per mantenere e aggiornare sicurezza.

L’assicurazione è un meccanismo che si concentra sulla protezione economica di un’azienda se subisce un attacco informatico. Anche se assicurare il rischio informatico è impegnativo, non da ultimo a causa del potenziale di grandi accumuli di perdite, l’assicurazione
come parte di una strategia di sicurezza più ampia può ridurre le perdite complessive. Può incoraggiare comportamento che promuove la robustezza dei sistemi online e incentiva una buona igiene informatica.

I cyberattacchi possono avere un impatto veramente globale, distruggendo i sistemi,
aziende e società. Le perdite derivano anche dai danni collaterali che colpiscono le aziende (o altre entità, come organizzazioni senza scopo di lucro, fornitori di assistenza sanitaria, ecc), enti governativi e individui situati nello stato bersaglio o collegati allo stato bersaglio.

In questi eventi, per identificare l’attore responsabile, l’attribuzione è un fattore chiave. È una componente essenziale per discernere il tipo di attacco, se si tratta di terrorismo informatico, attività informatica ostile (HCA) o guerra informatica. Di conseguenza, il risultato del processo di attribuzione è un fattore importante per determinare se l’assicurazione alla fine coprirà una perdita o chi dovrebbe pagare. La responsabilità e
responsabilità sono fondamentali per salvaguardare la società da atti informatici dolosi.

In particolare per gli assicuratori e gli assicurati informatici, l’attribuzione e la responsabilità possono essere critiche, dato l’uso diffuso di clausole di esclusione di guerra all’interno delle polizze e i valori in gioco.

Le polizze assicurative che coprono i cyberattacchi – sia polizze dedicate polizze cyber e polizze più tradizionali che si estendono agli eventi informatici – tipicamente escludono il rischio di guerra. La guerra non è un rischio assicurabile secondo le polizze assicurative tradizionali, ma la portata delle “esclusioni di guerra” è stata oggetto di dibattito e differenze nell’applicazione e nel linguaggio usato dagli assicuratori. Lla guerra è stata definita come uno stato di conflitto tra stati o nazioni, quindi una questione chiave
quando si applica un’esclusione di guerra è se un attore statale è responsabile in ultima analisi. Attualmente, si discute sul fatto che sia sufficiente stabilire se l’attore ostile sia uno Stato, piuttosto che dover stabilire anche quale particolare Stato o attore statale sia  responsabile. Nel conflitto militare tradizionale è spesso (ma non sempre) ovvio discernere da dove un atto ostile ha avuto origine. Tuttavia, nel caso di un attacco informatico può essere più difficile determinare se la parte responsabile sia uno stato-nazione e, quindi, se una clausola di eslcusione guerra possa applicarsi a una polizza assicurativa

Nel 2020 l’Associazione di Ginevra e l’IFTRIP hanno introdotto il il termine attività informatica ostile (HCA) per aiutare a chiarire il comportamento dove prima c’era un certo grado di ambiguità. In termini di responsabilità, HCA cerca di distinguere tra ciò che è potenzialmente assicurabile e ciò che non lo è (guerra).

Il rapporto cerca di promuovere la collaborazione internazionale, convalidando norme internazionali o convenzioni che potrebbero aiutare semplificare il processo di attribuzione. La comparabilità di approcci di attribuzione e caratterizzazione tra le giurisdizioni sarà  fondamentale per la valutazione a livello industriale del rischio di accumulo e, in ultima analisi, per l’assicurabilità del rischio informatico.

Il report può essere scaricato qui.

cyber