le soluzioni assicurative per tutelare l’attività d ... · – big data, iot, scada/ics,...
Post on 15-Feb-2019
218 Views
Preview:
TRANSCRIPT
Le soluzioni assicurative per tutelare l’attività d’impresa dal rischio Cyber
Alessandro Vitullo Cyber Risk Specialist - Financial & Professional
Risks (FINPRO)
Quali sono le minacce? • Esterne
– Cybercrime, HaaS...
– Terrorismo, State-sponsored
• Interne
– Dipendenti infedeli / disattenti..
• Evoluzione Tecnologica: – Big Data, IoT, SCADA/ICS, Blockchain, Cloud
Computing, Fintech / Insuretech …
• Regolamentazione: – Regolamento Europeo sul trattamento dei
Dati Personali (GDPR)
– Direttiva NIS
2
Cost of a Data Breach
3 Fonte: Ponemon Data Breach Cost 2016
Marsh Continental Europe Cyber Risk Survey 2016 (1-2)
4
0% 5% 10% 20% 25%
Which cyber loss scenarios present the greatest threats to your organisation? Source: Marsh Continental European Cyber Risk Survey
Marsh Continental Europe Cyber Risk Survey 2016 (2-2)
5
If your organisation has conducted or estimated the financial impact of a cyber loss scenario, what is the worst potential financial loss? Source: Marsh Continental European Cyber Risk Survey
I gap presenti nelle coperture tradizionali
GENERAL LIABILITY
PROPERTY
PROFESSIONAL INDEMNITY
CRIME / BBB
D&O
COPERTURE TRADIZIONALI
73% dei rispondenti ha una conoscenza “limitata” della copertura Cyber Risk
50% dei rispondenti non è a conoscenza dell’esistenza di una copertura Cyber Risk *
Facing the Cyber Risk Challenge (Lloyd’s 2016) :
Cyber Risk Soluzioni Assicurative
7
Network Business
Interruption
Cyber Extorsion
Data Asset Allocation
Crisis Management
Danni alla Società
Network Security
Liability
Data & Privacy
Liability
Multimedia Liability
Danni a Terzi
Benchmarking
8 Fonte: Marsh Global Analytics
Esempi di sinistri (1-3)
Società: Cliente operativo a livello internazionale
La gestione della crisi è stata affidata ad una società specializzata per la rimozione del malware.
I costi propri per il ripristino sono ammontati a circa € 250.000, coperti dagli assicuratori.
Hanno inoltre registrato una perdita da interruzione attività, danno quantificato in circa € 980.000.
Evento: un worm particolarmente sofisticato ha infettato i sistemi di un cliente operativo a livello internazionale causando parecchi disservizi. Si è scoperto che il malware aveva
infettato i back-up degli ultimi due mesi, costringendo il cliente a ricostruire i dati degli ultimi due mesi.
Conseguenze
Attacco ransomware ad una società sartoriale online Hacker tentano di criptare e di rimuovere dati riguardanti ordini, merci e profili dei clienti;
Tramite un ransomware chiedono il pagamento di un riscatto per ripristinare i dati dell’assicurato;
L’assicurato non potendo accedere ai dati, subisce un’interruzione di business;
L’assicurazione ha messo a disposizione dell’assicurato consulenti informatici che sono intervenuti nella gestione e mitigazione della crisi.
Hacker criptano dati sensibili di società di intermediazione assicurativa Hacker infettano un computer dell’assicurato con un Cryptowall malware, il quale cripta determinati file contenuti nei
sistemi dell’assicurato;
Viene richiesto il pagamento di un riscatto per la decriptazione dei file;
L’assicurato si rende conto che i file criptati contenevano dati personali sensibili dei clienti;
L’assicurazione ha messo a disposizione dell’assicurato consulenti informatici e legali per la gestione della crisi e delle conseguenze derivanti dalla responsabilità del gestire dati personali sensibili di terzi.
Attacco DDoS ad un rivenditore online Il sito internet dell’assicurato viene colpito da un attacco DDoS che lo rende inaccessibile o di difficile accesso i consumatori;
Prima dell’attacco l’hacker ha richiesto il pagamento di una somma per evitare lo stesso;
L’assicurato subisce una perdita dovuta all’inaccessibilità del sito da parte dei consumatori;
Non vengono danneggiati file contenenti dati personali sensibili;
L’assicurazione mette a disposizione dell’assicurato consulenti informatici e di immagine per la gestione dell’evento e dei possibili danni di immagine subiti dall’assicurato stesso.
Esempi di sinistri (3-3)
Società: Retailer
Numerose cause avanzate da parte di clienti per negligenza dei sistemi di sicurezza rispetto agli standard e per mancata comunicazione tempestiva dell’evento
Investigazioni da parte delle autorità e da parte della PCI
Mandato a consulenti tecnici (per individuazione cause), legali (per verificare le possibili conseguenze legali) e di pubbliche relazioni.
Costi di notifica ai soggetti assicurati
Offerta di servizi di call center e credit monitoring ai clienti
Richieste di risarcimento avanzate dagli azionisti della società
Totale costi ad oggi: USD 291mln (ultimo Financial Report)
Evento: sottrazione di dati relativi a 40 milioni di carte di credito e ulteriori 70 milioni di dati personali di individui attraverso l’intrusione di un malicious code all’interno dei sistemi POS. I
criminali si sono impossessati di 11 Gigabyte di dati personali di clienti della catena.
Conseguenze
Per approfondire
12
Continental European Cyber Risk Survey: 2016 Report
Adviser. L’Unione Europea detta nuove regole sulla gestione dei dati personali
MMC Cyber Handbook 2016. Increasing resilience in the digital economy
UK Cyber security. The role of insurance in managing and mitigating the risk
GRAZIE A TUTTI
top related