“La prima cosa che tutti si chiedono è se i detentori di una polizza siano a conoscenza di tutti gli elementi e le limitazioni della propria copertura assicurativa. In realtà la vera questione deve essere se le stesse compagnie assicurative abbiano una conoscenza completa a riguardo.”
Lo ha detto Kevin Kalinich, a capo dell’unità internazionale del cyber/network risk, presso la società di consulenza Aon Risk Services, in occasione dell’Insurance Conference 2015 di Standard & Poor’s, tenutasi qualche settimana fa a New York, in cui gli esperti del settore hanno sottolineato l’importanza della collaborazione delle compagnie assicurative per avere una comprensione migliore del mercato e, di conseguenza, poter valutare adeguatamente il rischio cyber.
Secondo quando riportato dai partecipanti alla conferenza, sta aumentando la domanda di prodotti assicurativi che coprano gli attacchi cyber, il cui rischio si sta rapidamente evolvendo.
Varie compagnie assicurative statunitensi stanno “tastando il terreno” ma anche quelle con le maggiori quote di mercato finora sono state caute per la mancanza di dati attuariali disponibili in questo mercato nascente e stanno vendendo polizze assicurative con massimali bassi e una gran quantità di esclusioni, come i danni relativi a dati gestiti da un contraente esterno.
Al momento, solo una manciata di attori- American International Group Inc., ACE Ltd., Chubb Corp., Zurich Insurance Co. Ltd., e Beazley Group Ltd.- domina il mercato dell’assicurazione cyber, ma i partecipanti alla conferenza hanno affermato che il bisogno di copertura dei clienti supera l’attuale offerta delle compagnie assicurative.
Poiché il mercato si evolve continuamente, i fornitori di copertura assicurativa avranno bisogno di tempo per modellare sufficientemente il rischio e per stabilire, di conseguenza, i premi.
Sarà difficile, secondo Kalinich, perché la minaccia si sta evolvendo rapidamente e sono necessari almeno due decenni di dati affidabili per creare dei modelli.
Le autorità di regolamentazione hanno cercato di guidare le compagnie assicurative verso un approccio sistematico con il mercato. La National Association of Insurance Commissioners (NAIC) di recente ha approvato i principi guida per le compagnie assicurative che vendono prodotti assicurativi che coprono dal rischio cibernetico.
La NAIC sta anche elaborando per gli ispettori delle compagnie assicurative una raccolta delle migliori procedure per sottoporre a verifica i protocolli e i processi, oltre ai diritti del consumatore, così i clienti sanno quando i loro dati sono stati hackerati.
“La questione principale – il fondamento di tutti questi sforzi – è assicurarci di essere impenetrabili dall’esterno durante il processo di condivisione delle informazioni,” ha affermato Adam Hamm, commissario assicurativo per il Nord Dakota e dirigente della taskforce cibernetica alla National Association of Insurance Commissioners. “La buona notizia è che ci stiamo riuscendo. Stiamo svolgendo un sostanziale carico di lavoro per assicurarci una collaborazione proficua.”
Finora, la valutazione del rischio è stata svolta in modo inadeguato perché le iniziative non specificano la necessità di stime aggregate dei danni massimi possibili, ha affermato Kalinich di Aon. Per esempio, se una compagnia assicurativa copre mille aziende, metà delle quali condividono un rischio particolare, è difficile stimare il rischio aggregato.
Allo stesso tempo, è importante per le compagnie assicurative e per i clienti comprendere dove l’assicurazione cyber stand-alone si possa adattare meglio alle altre linee assicurative: la copertura cibernetica potrebbe essere compresa, per esempio, in una polizza property/casualty.
“Se si verifica un attacco che causa un danno tangibile alla proprietà, potrebbe essere coperto dalla polizza property,” ha affermato Kalinich. “Se invece un attacco causa danni tangibili a terzi, potrebbero essere coperti dalla polizza assicurativa di responsabilità civile.”
L’attuale assicurazione cyber è stata creata in base alle richieste di risarcimento avanzate e negli Stati Uniti copre principalmente la responsabilità civile terzi. La copertura della responsabilità civile assunta in prima persona (che copre il costo delle indagini e della sicurezza del sito contro le violazioni informatiche, oltre ai danni) è disponibile negli Stati Uniti solo in versione limitata.
Grandi venditori come Home Depot e Target, banche come JPMorganChase e Citibank, e assicuratori sanitari come Anthem e Premera Blue Cross hanno subito violazioni cibernetiche e l’esperienza insegna che nessuna compagnia è al sicuro.
Jason Healey, direttore della Cyber Statecraft Initiative for the international affairs all’Atlantic Council, guarda al problema secondo la prospettiva della sicurezza nazionale.
“Da questo punto di vista, finora nessuno degli attacchi è stato grave,” ha affermato Healey. “Una delle ragioni per cui credo questo è il fatto che sia stato relativamente facile riprendersi in seguito ad un attacco cibernetico.”
Nessuno infatti è morto per un attacco cibernetico. “Fondamentalmente, abbiamo perso solo cifre ed è molto facile rimpiazzarle,” ha affermato.
Secondo Heaney, tuttavia, con la crescente associazione di strutture in cemento e acciaio, come le reti elettriche, alla realtà cibernetica aumenta il pericolo che le persone possano essere ferite o uccise e che un’economia possa subire danni irrecuperabili.
Kalinich ha affermato che c’è poca coordinazione all’interno delle stesse compagnie. Ha citato come esempio quando Aon ha fatto visita ad un proprio cliente e ha scoperto che il 19% degli impiegati stava ancora usando la password del sistema di default, che era “PASSWORD”. Subito dopo essere stata avvisata del fatto, la compagnia ha attuato una politica aziendale per obbligare i lavoratori a cambiare la propria password per accedere al sistema. Durante una visita sei mesi dopo, Aon ha scoperto che il 23% degli impiegati aveva la nuova password scritta su post-it attaccati ai computer.
Healey ha avvertito che i rischi cambiano velocemente e gli hacker si fanno sempre più sofisticati. “Un tempo quelli che avevano l’intenzione di effettuare un attacco non avevano le risorse e quelli che avevano le risorse non avevano questa intenzione, ma ora la situazione è cambiata,” ha affermato. “credo che stiamo affrontando il momento più pericoloso di internet.”
Fonte: Insurance Journal