Nuovi Rischi

Negli ultimi due mesi gli attacchi informatici a danno di istituzioni e imprese internazionali si sono moltiplicati, con una frequenza mai vista in passato. Gli assicuratori stanno mettendo a punto nuovi prodotti specifici, ma il mercato mostra ancora poca consapevolezza dei rischi

Autori: Roberto Guccione
Assinews 223 – Settembre 2011

Una settimana dopo lo scandalo per presunta violenza sessuale ai danni di una inserviente d’albergo che ha travolto il potente presidente del Fondo Monetario Internazionale, il francese Dominique Strauss-Kahn, l’Fmi si scopriva vittima di un gigantesco attacco da parte di un gruppo di hacker. Un’azione giudicata così clamorosa da richiedere l’intervento degli uomini dell’FBI, raccontava il quotidiano New York Times. Secondo le poche informazioni fin qui trapelate, gli hacker avrebbero sottratto una mole ingente di dati, ma senza compromettere l’operatività dell’Istituto, almeno secondo quanto affermato in un comunicato ufficiale.
Sarà, ma è innegabile che gli attacchi si stanno moltiplicando e diventando sempre più pericolosi. Da qui l’appello lanciato inizio giugno da Christopher Painter, coordinatore del Dipartimento di Stato Usa: le grandi imprese, gli istituti di credito, e gli Stati stessi devono attrezzarsi velocemente per sventare in tempo questi colpi a sistemi nevralgici sia sul piano economico che politico. Anche perché, dietro a questi furti mirati di dati, si suppone sempre più una motivazione politica. Uno dei casi più clamorosi di quest’anno è stato ovviamente Wikilieaks, anche se a mettere in mano a Julien Assange i dispacci più o meno sensibili inviati soprattutto dalle ambasciate americane alla Casa Bianca, è stato un funzionario americano introdottosi surrettiziamente nel sistema. CONTENUTO A PAGAMENTO
Il contenuto integrale di questo articolo è visualizzabile solo dagli abbonati aMENSILE Non sei abbonato?
Scopri i piani di abbonamento
Sei già abbonato? Effettua il login nel modulo sottostante

Hai dimenticato la Password?
Registrati

Ma il caso Weakileaks è stato solo l’inizio di un anno che ha registrato un crescente numero di attacchi, con obiettivi assai diversi. Il numero maggiore si è registrato negli Usa. Solo nelle ultime settimane sono stati attaccati la Lockheed Martin (che produce armamenti), l’istituto finanziario Citigroup, sottraendo i dati di 360.083 titolari di carte di credito; la Cia, cuore dell’intelligence americana; l’emittente privata Fox Tv. In Brasile è stato attaccato invece un sito del governo; in Inghilterra il sistema operativo dell’agenzia per il crimine organizzato. Per quel che riguarda le multinazionali, dopo i ripetuti furti di dati dei clienti della playstation Sony, è toccata anche agli utenti del portale dei videogiochi SEGA. Infine, per arrivare all’Italia, il 21 giugno il quotidiano “la Repubblica” riportava un attacco al sito internet governoberlusconi.it e a quello del Pdl.

Danni ingenti ma poca propensione a proteggersi
I danni arrecati dagli hacker sono ingenti. Riferendosi a dati resi noti dalla Camera di Commercio Internazionale, uno studio di Marsh Risk Consulting parla di 600 miliardi di dollari all’anno in tutto il mondo. Il Dipartimento commerciale degli Stati Uniti stima che solo negli Usa il danno alle imprese si aggiri attorno ai 250 miliardi di dollari l’anno.
Ma nonostante il costo elevato che un attacco in rete porta con se (e che, così presumono gli esperti continuerà a crescere), a tutt’oggi molte compagnie non si sono dotate di un efficace sistema di protezione. Secondo una ricerca condotta nel 2011 sempre da Marsh Risk Consulting, tre quarti degli intervistati sul tema della proprietà intellettuale (IP) afferma di non saper esattamente calcolare quanta parte hanno protetto in modo congruo e quanta invece resta alla merce della buona volontà e dell’onestà dei collaboratori. A ciò si aggiunge che la maggior parte delle imprese affermava che la proprietà intellettuale (IP) non è specificamente citata nei loro programmi di risk management. Last but not least, sempre nel corso di questa indagine, solo il 21 per cento degli intervistati ha affermato di aver previsto una copertura assicurativa per eventuali danni al patrimonio intellettuale dell’azienda.

A rischio anche i rapporti politici internazionali
Per quel che riguarda le relazioni politico diplomatiche, il danno che questi attacchi possono causare sono sotto gli occhi di tutti se si pensa alle relazioni assai tese tra Pechino e Washington, proprio in seguito a un attacco subito da Google all’inizio dello scorso giugno da parte di hacker cinesi (o presunti tali dagli americani), che hanno violato gli indirizzi personali di posta elettronica di centinaia di politici e alti ufficiali americani. Danno al quale si aggiunge anche la ferrea censura di Internet praticata dal governo cinese, motivo per il quale Google lo scorso anno si è ritirato per buona parte dal mondo virtuale cinese. Un passo costoso se si considera che gli utenti in Cina contano più di 450 milioni. Proprio per smorzare le tensioni, un alto funzionario cinese ha voluto rassicurare, in occasione di un incontro bilaterale sino-americano tenutosi alla fine di giugno, che non vi è alcuna guerra del web tra Cina e Usa, semmai entrambi i paesi sono vittime degli hacker.
Vero? Falso? Sta di fatto che il web è diventato uno strumento strategico di politica internazionale, da qui l’intenzione del ministro della Difesa americano uscente Robert Gates di procedere con durezza contro gli hacker, i cui attacchi possono essere oggi considerati alla stregua di azioni terroristiche. E nel mirino degli americani non ci sono solo i cinesi, ma anche i russi. Tanto che il Pentagono sta compiendo ulteriori sforzi per proteggere i suoi contractor dai guerrieri del web e sta studiando il modo di erigere un fuoco di sbarramento virtuale.
Il sistema di difesa americano, per quel che riguarda la rete, mostra infatti buchi preoccupanti.
Così, uno studio compiuto da Reuters sull’impermeabilità americana nel cyberspazio ha portato alla luce che spin offs (mutazioni e derivati) del codice virale “agent.btz”, con il quale nel 2008 venne compiuto un attacco al Comando centrale militare degli Usa, vagano ancora per la rete e mietono nuove vittime. Ai tempi di quel cyber blitz, molti funzionari dentro e fuori l’amministrazione americana erano però convinti che dietro a quell’incursione, la più grave nel sistema militare Usa, ci fossero i russi.

Lo “zero day attack”
Nonostante già nel 1998, l’allora presidente degli Stati Uniti Bill Clinton enunciasse che proteggere infrastrutture sensibili anche nella rete doveva diventare una priorità nazionale, a tutt’oggi – come si è potuto constatare nelle settimane tra maggio e giugno – la vulnerabilità informatica americana resta alta, nel pubblico così come nel privato. Al rischio fisiologico associato alla rete, il vorticoso sviluppo tecnologico di software e hardware aggiunge continuamente nuove minacce che i programmi antivirus e antintrusione possono combattere solo a posteriori.
Oggi il timore maggiore dei funzionari governativi americani è lo “zero-day attack”. Un attacco micidiale reso possibile dal fatto che i gestori di un sistema il più delle volte, per quanto preparati, non ne conoscono loro stessi tutti i punti deboli. E così può arrivare un baco estremamente sofisticato come “Stuxnet” e il sistema si blocca. Il baco Stuxnet ha conquistato gli onori delle cronache la scorsa estate per aver infettato e bloccato i sistemi informatici che gestivano le centrifughe iraniane per l’arricchimento dell’uranio. In questo caso, si suppone che dietro questo software d’attacco ci siano gli Usa o Israele.

Un momento positivo per gli assicuratori
Di fronte a questa ondata di attacchi, non è difficile dare retta a chi tra gli esperti di assicurazioni sostiene che questo è il momento che il settore ha atteso da tempo. L’ondata di notizie negative sugli attacchi in rete è in una fase di crescita così preoccupante, che ai clienti non resta altro da fare se non cercare di assicurarsi il più possibile contro eventuali rischi e danni. Secondo il broker Aon, solo il 5% di tutti gli attacchi sferrati in rete hanno la capacità distruttiva di generare danni pari o superiori ai 20 milioni di dollari; tuttavia, la gran parte delle imprese multinazionali sarebbero disposte a sottoscrivere polizze con un massimale fino a 200 milioni di dollari.
I clienti sono a caccia di polizze e le assicurazioni febbrilmente al lavoro per offrire nuovi prodotti: l’offerta di coperture specifiche per i rischi informatici sta crescendo in Europa e Usa. Ma, come per gli altri rami, anche le polizze contro i rischi del web vanno valutate attentamente.

Piccole e grandi eccezioni nelle cyber polizze
Anche in questo ramo ci sono tutta una serie di eventualità escluse dal rimborso. Alcune polizze escludono, per esempio, la copertura di incidenti nel quale sia coinvolto anche un solo pc portatile non decrittato. In altri casi la compagnia si può rifiutare di risarcire il danno qualora non si proceda regolarmente a scaricare gli aggiornamenti software, oppure se i dipendenti non cambiano regolarmente le loro password. Gli assicuratori preferiscono i rischi “buoni”. Vale per le polizze antincendio così come per la protezione dell’IT e della proprietà intellettuale.
È vero che a fronte di un danno stimabile in media attorno ai 7,2 milioni di euro, assicurazioni con massimali che superano diversi milioni di dollari, appaiono esagerate, ma c’è anche da considerare la crescita quasi esponenziale degli attacchi degli hacker. Per questo, soprattutto le grandi compagnie, quando si decidono a sottoscrivere una polizza, sono dell’avviso che non si può mai essere prudenti abbastanza. Non ultimo perché il pericolo che arriva dal web è un bersaglio mobile, per l’ipotetica vittima così come per l’assicuratore.

Una griglia d’intesa tra gli assicuratori
Visto che è soprattutto negli ultimi dieci anni che il pericolo proveniente dal web ha preso vigore, gli esperti del settore hanno iniziato a delineare una piattaforma condivisa per definire i punti salienti di polizze per questo tipo di rischio. Oggi una “cyberinsurance” copre, in linea di massima, i danni a terzi, la perdita d’immagine, le parcelle dei consulenti e degli specialisti informatici e le eventuali ammende per non aver protetto i dati sensibili di clienti e dipendenti.
Mancano però, così lamentano molti, standard precisi e regole condivise. Il fatto è che questo tipo di polizza non si può paragonare, per esempio, con una polizza auto, dove la legge obbliga il cliente ad allacciare la cintura di sicurezza, altrimenti l’assicuratore non paga. Ciò nonostante nel settore c’è molto ottimismo, come dichiara un manager di rango della Chubb Group of Insurance Cos. “Un giorno il settore sarà così forte da poter imporre standard minimi. È vero non ci siamo ancora, ma sono convinto che questo settore non potrà che uscire vincente da questa sfida”.

Vittime reticenti
Ma se già mettere a punto standard minimi per definire più chiaramente le polizze non è facilissimo, c’è anche un altro problema a monte che gli assicuratori devono risolvere. Un problema confermatosi anche dopo l’attacco subito da Sony. Molti dei clienti che ne sono stati vittime tendono a non dirlo per paura di perdere a loro volta clienti. Insomma l’attacco viene vissuto come una stimmate che va nascosta, solo che in questo modo il compito delle assicurazioni diventa doppiamente difficile. Durante una recente conferenza sulla “cyber security” organizzata dal EastWest Spell Institute di Londra, alcuni specialisti di sicurezza nella rete hanno confermato che le imprese per le quali lavorano li costringono a non divulgare nulla su eventuali attacchi subiti. Proprio la paura di perdere credibilità, dunque valore di mercato, spinge molte aziende a tenere nascosti gli effetti di eventuali attacchi informatici. Molti dei convenuti a Londra chiedevano maggior trasparenza, ma poi erano loro stessi i primi a non voler discutere apertamente degli attacchi subiti. Ci sono ovviamente i soliti scettici, convinti che il problema venga ingigantito per permettere maggiori profitti al settore assicurativo, ma la maggior parte degli esperti è però convinta che il problema degli hacker – che si tratti di criminali, di agenti per conto di un particolare governo, o figure a metà tra queste due – non potrà che aumentare in futuro.

Attenzione al could computing!
Un altro problema perla sicurezza dei dati è legato al cloud computing e all’affidabilità del provider che gestisce questo servizio. Le aziende che si affidano all’immagazzinamento di ingenti quantità di dati sul web sono le più vulnerabili. Come si legge in un articolo di Business Insurance di inizio giugno, chi ricorre a questo tipo di immagazzinamento remoto, dovrebbe e farsi affiancare, durante la stipula del contratto con il provider, da un risk manager e da un consulente legale. Ed è assai meglio essere pignoli prima, visto che la maggioranza dei provider una volta siglato l’accordo, non è disposto a rivederlo. Bisogna capire bene dove i dati vengono raccolti; quali requisiti di sicurezza vengono garantite dalla cloud computing company; che clausole di assunzione di responsabilità vengono pattuite o offerte. In ogni caso sarebbe auspicabile che, sia la compagnia di cloud computing, così come la compagnia che se ne avvale, abbiano sottoscritto delle polizze. E non solo perché gli hacker sono sempre più intraprendenti e fiutano ovunque l’affare lucroso. “Se la compagnia di cloud computing non è per esempio tenuta a fare dei regolari back up, che succede il giorno in cui si verifica per esempio una catastrofe naturale o il provider chiude i battenti per bancarotta?” chiede in un’intervista Gene Spafford direttore del Center for Education and Research in Information Assucranc and Security.

Conoscere e proteggere i punti deboli del sistema
Lo sviluppo della rete è sempre un passo avanti rispetto alle protezioni della stessa e alla possibilità di assicurarsi contro il rischio. Vale per la Casa Bianca, così come per le aziende di tutte le dimensioni e di tutti i settori produttivi. Il rapporto “Intellectual Property Survey 2011” di Marsh sottolinea come uno dei problemi maggiori in questo campo sia ancora, di fatto, “l’ignoranza” tecnica della maggior parte degli utenti della rete riguardo i principi di base sul funzionamento e l’interconnessione di server attraverso internet.
Per questo Marsh Risk Consulting ha appena diffuso il decalogo “New Intellectual Property and Crtical Information Protection”, che aiuta ad acquisire maggiori conoscenze sulle informazioni critiche e le proprietà intellettuali da proteggere. In questo modo è possibile delineare una mappatura delle figure chiave che usano, manipolano e hanno accesso a queste informazioni. E ancora, il valore costituito da queste informazioni rispetto al capitale complessivo dell’azienda. Tutte informazioni indispensabili ai risk manager per delineare una strategia di prevenzione e protezione adeguata alle caratteristiche dell’azienda.

[/memebrship-mensile]