Ancora scarsa la sensibilità al Cyber Risk

Workshop di InsuranceSkillsJam.

di Gigi Giudice

Il 3 novembre, presso la Sala Ruffini della sede milanese di Vittoria Assicurazioni, si è tenuto il workshop  sul tema“Cyber Risk Assessment & Management “. Workshop organizzato da Insurance Skills JamIl Convivio Assicurativo, libera associazione, fondata nel 2009, i cui associati mirano a favorire il confronto di esperienze e visioni nel contesto assicurativo attraverso interscambi culturali. L’associazione persegue tale confronto all’interno di seminari e convegni in cui si discutono le più ampie tematiche di interesse economico-sociale oltre che assicurativo.

Andrea Bertalot, direttore generale di Italiana Assicurazioni, in qualità di neo Presidente di Insurance Skills Jam, ha introdotto l’incontro che, seguendo l’ormai consolidato approccio interdisciplinare, si è proposto di affrontare il tema dell’ impetuoso sviluppo tecnologico e dei nuovi sistemi informativi e di comunicazione/interazione.

Nuovi sistemi che, se da una parte, stanno sicuramente contribuendo alla creazione di valore , dall’altra  sicuramente sono portatori di una crescita esponenziale di rischi. Rischi fino a ieri neppure immaginabili, che determinano una serie di implicazioni, anche di ordine assicurativo. Configurati come “rischi emergenti”.

Nel nostro Paese, infatti, come evidenziato da Cinzia Altomare (direttore tecnico di AM Trust, al suo debutto  quale nuovo segretario di Insurance SkillsJam) sono ancora in larga maggioranza i soggetti pubblici e privati, operanti  dei vari settori, che non si tutelano o sottovalutano i rischi informatici. Derivanti dalla perdita o dalla sottrazione dei dati (“data breach”), spesso conseguenti a “ attacco informatico”.

Cinzia Altomare ha presentato rilevazioni statistiche a dir poco scioccanti riguardo alla crescita esponenziale del fenomeno ed ai volumi raggiunti, che danno luogo al cosiddetto “Breach Level  Index”.

Marco Maglio, membro del Lucerna Iuris, studio legale attivo nell’European Network, ha evidenziato i  profondi cambiamenti generati dalla entrata in vigore del  Regolamento Generale europeo sul trattamento dei dati personali 2016/679 ( pubblicato il 4 maggio 2016, ed in vigore dal 25 maggio 2016).

Il Regolamento diventerà pienamente operativo due anni dopo la pubblicazione in Gazzetta Ufficiale dell’Unione Europea. Quindi il 25 maggio 2018.

Anche se si tratta un testo normativo ad efficacia differita per permettere l’armonizzazione tra i vari ordinamenti nazionali interessati, il nuovo testo farà ben presto sentire i suoi effetti. Sicuramente prima del 2018 .

I garanti nazionali dei vari Paesi sono al lavoro per favorire l’armonizzazione tra gli stati, anticipando parti significative della riforma che prevede nuovi adempimenti in tema di sicurezza. Per esempio l’introduzione del registro dei trattamenti dati, il Privacy Impact Assessment; i cambiamenti nelle procedure di informativa e consenso, accanto a specifiche misure di sicurezza e data breach notification.

Prenderanno corpo nuovi profili di responsabilità secondo i quali imprese ed Enti pubblici e privati, alla luce della nuova normativa europea sul trattamento dei dati, potrebbero essere chiamati a rispondere pesantemente della violazione dei dati dei clienti da loro trattati.

In Italia i campi di maggiore rilevanza e novità saranno l’obbligo di definire i tempi di conservazione dei dati, l’indicazione della provenienza dei dati stessi in caso di utilizzo, e la comunicazione tempestiva al Garante delle violazioni dei database.

Di forte impatto anche emotivo è stato l’intervento di Carlo Mauceli, Chief Technology Officer di Microsoft Italia . In quanto operatore del settore informatico, Mauceli ha cercato di fornire – aiutandosi anche con una serie di esempi pratici e di provocazioni intellettuali – una dimensione al fenomeno del Cyber Crime.

Quasi sempre, infatti, i dati più che “rubati” o “danneggiati” vengono “copiati” o “duplicati”. Per cui l’utente se ne accorge magari anche dopo mesi.

Si stima che, ogni giorno, vengano scoperti più di 300.000 varianti di MALWARE ( termine contratto delle parole MALicious softWARE). Attacchi nei confronti dei quali,sfortunatamente, molte aziende usano un metodo antiquato di rilevazione delle “infezioni da malware”

Ciò in quanto, la maggior parte dei computer sono configurati usando la filosofia del “trust everything that runs”. E’ il motivo per cui viene consentita l’ esecuzione di un processo ancora prima che il sistema di monitoraggio (solitamente basato sull’analisi della presunta firma/impronta del malware) rilevi l’evento come una forma di attacco. Di conseguenza, solo dopo l’entrata in azione del malware, il “sistema antimalware” di cui è dotato il computer tenta di ripulire l’infezione ed assicurare che non si ripeta.

Mauceli, procedendo con un linguaggio tecnico, ma anche colorito e di immediata comprensibilità da parte di un uditorio non altrettanto tecnicamente preparato, ha prima inteso illustrare i meccanismi ed il funzionamento di una “Catena di Attacco Tipica” che viene attuata quasi sempre attraverso il cosiddetto phising . Termine che indica l’invio di mail apparentemente innocue , indirizzate a soggetti di varia natura e inquadramento aziendale ma finalizzate – se aperte o cliccate – ad aggredire/insinuarsi nei sistemi con conseguente furto di credenziali, compromissioni dei sistemi centrali,  furto o copia maliziosa di dati, insinuazione e permanenza nei sistemi e loro distruzione a termine.

La superficie di attacco complessivamente esposta dalla nostra civiltà digitale cresce più velocemente della capacità di proteggerla. I difensori, non riescono ad essere abbastanza efficaci: a fronte di crescenti investimenti in sicurezza informatica, (+8% nel 2014) il numero e la gravità degli attacchi continuano ad aumentare, in un contesto nel quale, peraltro, si stima che 2/3 degli incidenti non vengano nemmeno rilevati dalle vittime.

Ci si troverà in un mondo completamente integrato in cui la sicurezza informatica potrà dipendere dal contesto specifico. Questo comporta la nascita di un nuovo approccio alla gestione della sicurezza, non più basato sulla compliance ma da un’attenta analisi dei rischi che consente di applicare misure di sicurezza ad hoc.

Sono stati quindi illustrati una serie di possibili interventi di mitigazione (mix di formazione degli utenti sui rischi informatici, restrizione dei “privilegi”, utilizzo di password temporanee) ed  evidenziato come il Cloud – verso il quale molti utenti sono ancora diffidenti – possa dare un significativo contributo alla mitigazione del rischio ed il salvataggio – in ambiente sicuro e moderno – di dati  che , se non criptati e salvati con metodi tradizionali (e ormai sorpassati) possono andare irrimediabilmente persi. Per i più disparati motivi: basti pensare alla perdita dei dati degli archivi anagrafici ed elettorali “fisici” conservati presso le sedi comunali in occasione del recente terremoto che ha colpito alcune località dell’Italia centrale.

Gianmarco Capannini, Engineering Underwriter di Munich Re, che – grazie alla esperienza e l’ampiezza della visione che può possedere uno dei maggiori riassicuratori  – ha puntigliosamente affrontato il tema dell’analisi e delle metodologie di approccio al rischio sotto il profilo assicurativo. Affidandosi alla presentazione di alcune case history specifiche del mercato nordamericano.

Gian Luigi Lercari (Amministratore Delegato del Gruppo Lercari, leader nel’ambito dei servizi, non solo peritali e post vendita in campo assicurativo), unitamente al partner spagnolo Manuel Huerta della “Clinica de datos Lazarus” di Madrid  (leader  nei servizi di protezione informatica per recupero dati, assistenza pre e post cyber attack, informatica forense) hanno presentato un pacchetto di servizi da loro disegnato per  permettere all’assicurato di inserire anche in polizze multirischio in corso ed a costo limitato, una garanzia integrativa per la prevenzione e l’assistenza cibernetica.

Il pacchetto, rivolto alle imprese assicurative che intendano avvalersene, si articola fra garanzie preventive e/o per assistenza in caso di attacco cyber (con call center operativo 24 ore su 24), recupero dei dati, spese per il riavvio dei sistemi informatici coinvolti e servizi preventivi per  l’analisi e correzione delle vulnerabilita’, assistenza tecnologica, configurazione sicura dei sistemi (Wifi, Router, passwords, eccetera…).. E’ stata pure realizzata una Applicazione Anti Sequestro di informazioni (Anti Ramsomware) progettata per prevenire l’infezione ransomware attraverso regole del sistema operativo e il monitoraggio di attività sospette. L’AntiRansom evita l’esecuzione di programmi con nomi ed estensioni tipicamente utilizzati dai ransomware.. Ciò impedisce, fin dall’inizio, di eseguire il ransomware e crittografare i dati del computer o sistema che si sta monitorando. Il pacchetto è integrato da una “Cassaforte virtuale” con tecnologia Cloud  e crittografia di livello militare per disporre in modo facile e intuitivo di uno  spazio sicuro da 512 Gb  online automatico e facile da usare per PC e Mac.

Dopo una presentazione della situazione in Spagna, paese che fra i primi ha affrontato con determinazione il Cyber Risk e nel quale il livello di sensibilità al problema è maggiore che in Italia, Manuel Huerta ha presentato un servizio innovativo per la gestione dei rischi informatici dell’assicurato in quella che Lercari e Lazarus definiscono la sua  “Casa Digitale” (luogo virtuale in cui le esigenze dei suoi abitanti, in materia di sicurezza e controllo, comunicazioni, tempo libero e comfort, integrazione ambientale e di accessibilità, sono soddisfatte attraverso la convergenza dei servizi, delle infrastrutture e delle attrezzature).

Fra questi una applicazione specifica per la gestione del rischio reputazionale anche attraverso supporti online chiamata InFusion, Intelligence Framework For Social Networks.

Curare la reputazione on-line, anche a seguito della diffusione dei social network e del loro utilizzo massivo, anche per motivi professionali è diventata una priorità. L’applicazione è basata  su una ricerca di parole chiave in fonti aperte (OSINT). Tutte queste ricerche sono memorizzate per l’ulteriore elaborazione e l’identificazione dei risultati, consentendo l’analisi con le tecniche di analisi dei dati, la classificazione di testo per soggetto e sentimenti o clustering. “InFusion” consente, grazie al dashboard di gestire e visualizzare in modo semplice le ricerche permettendo la verifica manuale dei collegamenti, visualizzazione degli screenshot e grafici statistici. Il software è in grado di mostrare i risultati e applicare filtri su di loro. Attraverso tale strumento è possibile operare una analisi di processo per raccogliere informazioni pubbliche reperibili in rete. Una volta eseguita l’analisi sarà presentata una relazione di valutazione della reputazione on-line del cliente. Infine è previsto un servizio per la cancellazione di contenuti non desiderati.

Il secondo,interessante servizio è rivolto alla protezione dei minori, che trascorrono sempre più tempo con il loro inseparabile smart phone , attraverso apposita APP installata sul dispositivo che consente il monitoraggio della navigazione, le applicazioni utilizzate , con quali tempi  e frequenza e attraverso quali eccessi e parole chiave.

L’app è completata dalla funzione di geolocalizzazione che consente di conoscere in ogni momento dove si trova il minore e, in caso di rischio, rende possibile inviare un messaggio di richiesta aiuto con il solo  tocco di un pulsante.

Tale pulsante, denominato “panico”, è stato progettato in modo che il minore  possa inviare un rapido allarme ai contatti selezionati.  Una volta attivato, il dispositivo invierà un messaggio con la geolocalizzazione del dispositivo. La posizione del dispositivo verrà aggiornata ogni 5 minuti finché viene disattivata la funzione.

Il workshop si è concluso con una tavola rotonda alla quale hanno preso parte oltre ai relatori, Anna Foppa Pedretti della Direzione Rami Elementari  – Small Medium Business di Italiana Assicurazioni e Orazio Rossi, Country President di Chubb Italy.

Orazio Rossi ha portato la propria testimonianza circa l’expertise maturata da Chubb, a livello globale,  nella sottoscrizione e la gestione dei sinistri, grazie ad un team dedicato ai Cyber Risk. Team operante in Italia, in Europa e negli Stati Uniti, con oltre 15 anni di esperienza nella sottoscrizione e gestione di sinistri di questa natura. A livello locale e in ciascuno dei 54 paesi del mondo in cui Chubb ha proprie filiali. La struttura è integrata , a livello europeo, con un team di esperti di responsabilità civile, sempre coordinati da Chubb.