Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

CYBER INSURANCE: STRUMENTI DI PROTEZIONE DEL PATRIMONIO INFORMATIVO AZIENDALE

di Valentina Frediani

Il 2015 ha registrato una crescita esponenziale di numero e varietà di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber. Ma andiamo con ordine.

pdf-icon

 

1.     Che cosa sono i cyber-risks ed i cyber-danni
I cyber-risks sono tutte quelle minacce in grado di colpire il sistema di sicurezza informatica e comportare una violazione di dati e di informazioni importanti per una società. Tali rischi sono frutto di un mondo sempre più gravitante attorno ad informazioni e sistemi informatici, ovvero dati digitali scambiati e conservati su server in grado di connettersi alla rete o in Cloud. I rischi cambiano e diventano sempre più complessi. I pericoli cibernetici possono infatti comportare diversi danni divisibili in tre macro-categorie:

  • danni materiali diretti, individuabili in tutti quei danni che colpiscono i beni materiali, come il furto o la distruzione totale o parziale dei server, di PC, della fibra ottica, etc.;
  • danni materiali indiretti, ravvisabili nei danni materiali che sono stati a loro volta creati da altri danni materiali, come ad esempio il danneggiamento del circuito elettrico che ha causato la bruciatura di una scheda magnetica che a sua volta ha comportato la compromissione della macchina di produzione ad essa collegata;
  • danni immateriali diretti e indiretti, identificabili in quelli per cui l’evento dannoso colpisce un software o l’insieme logico delle informazioni (distruzione del server e delle informazioni contenute nello stesso, l’attacco di un virus, blocco della rete internet, etc.).

 

2.     Quali sono i costi derivanti da un attacco cyber
Uno degli aspetti che spaventano maggiormente gli imprenditori è quello dei costi da sostenere a seguito di un attacco informatico. Secondo gli ultimi sondaggi il costo totale di una violazione è aumentato, negli anni 2014 e 2015, del 23%. Il report Clusit, ad esempio, effettua una stima dei danni e del tempo necessario al ripristino. Soffermandosi su un tipo di danno analizzato, pensiamo a quello causato da un virus che attacca un sistema informatico usato nella GDO; il ripristino potrà comportare una tempistica lavorativa di oltre 10 giorni, con un costo totale pari a circa lo 0,6% di perdite di profitto da risarcire e una perdita di mercato stimata dello 0,7%. Un altro danno è quello derivante da un semplice errore causato dallo Staff dell’area IT di un’azienda che lavora nel settore TLC. In tale caso, il report Clusit individua come il ripristino all’errore potrà comportare una tempistica lavorativa di oltre 85 giorni, con un costo totale stimato in circa 55 milioni di euro per perdite di profitto non risarcibili.

 

3.     Perché sviluppare una buona policy interna sulla sicurezza informatica
La minaccia rappresentata dai cyber-rischi è oggi concreta tanto quanto i rischi fisici cui sono esposti i beni di un’azienda ed è in grado di produrre gravi effetti a catena. Le statistiche internazionali ci dicono che gran parte delle minacce può essere risolta attraverso una buona politica di sicurezza, mentre in parte minoritaria occorre ricorrere all’adozione di misure di protezione maggiormente diversificate e flessibili, ed ecco entrare in gioco la Cyber Insurance.

Per assicurare una protezione concreta dai rischi informatici occorre prima di tutto prevedere una corretta Policy sulla Sicurezza Informatica, ovvero disporre un regolamento nel quale dovrebbero essere indicate tutte le disposizioni, i comportamenti e le misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare il rischio informatico. L‘azienda, in qualità di datore di lavoro, deve controllare il corretto utilizzo degli strumenti di lavoro (cfr. il D.lgs. n. 196 del 2003 e s.m.i. “Codice in materia di dati personali”, Provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” e artt. 2086, 2087 e 2104 cc) al fine di evitare l’utilizzo improprio degli strumenti telematici che esporrebbe l’azienda al pericolo di accessi abusivi da parte di hacker (art. 615 bis c.p.) e diffusione di virus (art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e informazioni riservate. Tale anche al fine dell’applicazione di un esonero della eventuale responsabilità dell’azienda per reato informatico (art.24 bis del D.lgs. n. 231 del 2001).
Gli aspetti da tenere in considerazione nella policy sono diversi ma, per la maggior parte di essi, occorre tenere a mente che le minacce peggiori non derivano solo dall’esterno, ma anche dall’interno, proprio dai dipendenti. Il contenuto delle policy deve svilupparsi essenzialmente attorno a 4 ambiti:

  • Il pc o comunque i dispositivi di lavoro. Le regole sull’utilizzo del dispositivo (che sia un computer fisso, uno portatile, un tablet, uno smartphone o altro strumento) e in generale della postazione di lavoro del dipendente, devono indicare tra l’altro che lo strumento di lavoro è di proprietà dell’azienda e che deve essere usato per esclusivo uso aziendale e connesso ai fini produttivi e lavorativi, etc.
  • La rete aziendale interna ed il web. Le regole sull’utilizzo della rete aziendale interna, il salvataggio delle informazioni, l’uso del cloud eventualmente impiegato dall’azienda, come accedere alla rete internet, come navigare sul web, quali sono i siti web considerati attinenti all’attività lavorativa e quali, invece, sono considerati al di fuori degli interessi dei dipendenti e, quindi, vietati, etc.
  • L’uso della posta elettronica aziendale. Per una maggiore tutela della sicurezza informatica ed aziendale, nel regolamento occorre indicare il come utilizzare l’indirizzo aziendale, per evitare di ledere l’immagine dell’azienda, e regolare l’uso privato della posta elettronica aziendale.
  • I controlli che possono essere espletati dal datore di lavoro. In linea con quanto prescritto dall’ordinamento giuridico italiano (art. 4 dello Statuto dei Lavoratori), la società deve escludere la configurabilità di forme di controllo aziendali aventi direttamente ad oggetto l’attività lavorativa dell’Utente. Ciononostante non si esclude che, per ragioni organizzative e produttive, per esigenze dettate dalla sicurezza del lavoro ovvero per tutelare il patrimonio aziendale, la società possa utilizzare strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori. Tali strumenti devono essere subordinati rispetto alla normativa di settore.

 

4.     Non basta un regolamento informatico per proteggersi dagli attacchi informatici
Per far fronte alle minacce informatiche occorre adottare, oltre alla policy sopra indicata, una logica multidisciplinare di Cyber Resilience. Questo significa comprendere le vulnerabilità e le criticità dell’azienda per predisporre un modello di rischio cosiddetto “cyber” accurato e costantemente aggiornato, che consenta di:

  • diventare consapevole della condizione di sicurezza informatica adottata dall’azienda;
  • utilizzare le conoscenze acquisite con l’analisi e sensibilizzare tutti i soggetti facenti parte della società sulle best practice della sicurezza informatica aziendale;
  • creare una strategia di sicurezza idonea che possa garantire un livello costante di rischio informatico;
  • stimare le perdite potenziali al fine di determinare correttamente gli investimenti necessari in sicurezza.

 

In sostanza, l’azienda dovrebbe essere in grado di far convergere compliance e cyber security, governance e risk management, cyber intelligence e crisis management, attività di prevenzione e di reazione rapida, fino alla cooperazione. La Cyber Security è definita come un’attività complessa, parte di un processo più ampio di Risk Management volta a proteggere gli asset informatici da guasti, errori ed attacchi, inderogabilmente connessa agli aspetti di natura legale, più che mai alla luce del recente Regolamento Europeo in materia di protezione dati personali che introduce l’obbligo del Data Breach per tutte le aziende.

 

5.     La Cyber Insurance
Una volta applicate le metodologie del Risk Management il patrimonio informativo aziendale non può dirsi comunque del tutto sicuro, alcuni pericoli sono comunque in agguato. è a questo punto che entra in gioco il trasferimento assicurativo del rischio cosiddetto “residuo”. Esso rappresenta la fase “finale” della strategia di Risk Management. Tale fase è molto importante in quanto consente a tutti i risk owner, in primis manager IT, CIO, responsabili informatici ed in generale chi si occupa delle polizze in azienda e chi segue i costi e i danni a seguito di un sinistro, di dotarsi di uno strumento in grado di proteggerli da rischi economico-finanziari ingenti. La Cyber Insurance da un lato si rivolge alle aziende in qualità di utilizzatrici di sistemi e di soluzioni ICT, le quali dovrebbero avere un portafoglio assicurativo organico e ottimizzato in modo da garantire la totale copertura ed evitare inutili sovrapposizioni. Dall’altro lato, invece, si rivolge alle aziende che erogano servizi ICT (come servizi Cloud, System Integrator, etc.) le quali, oltre a dotarsi di soluzioni di Cyber Insurance che preservino la loro attività interna come ogni altra azienda, devono garantire la loro responsabilità professionale e dunque a dotarsi di soluzioni di Responsabilità Civile verso Terzi (RCT) adeguate. Questo per il semplice fatto che le stesse offrono una delicata attività e pongono in essere interventi o addirittura gestiscono sistemi informativi di terzi.

Le stesse dovranno, naturalmente, qualificarsi come fornitori ITC capaci di rispettare:

  • lo Standard ISO/IEC 27001:2013, che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni;
  • il decreto legislativo n. 196 del 2003 e s.m.i. ed il suo allegato B;
  • dal 25/05/2018, il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

 

Proprio in materia di Regolamento UE, sopra accennato, occorre soffermarsi in questa sede su alcuni punti essenziali, in quanto il Regolamento non è una semplice nuova legge. Per le società comporterà l’obbligo di innovazione da ogni punto di vista. L’innovazione travolgerà un contesto estremamente complesso con uno scenario giuridico nuovo. In particolare, il contesto di appartenenza è quello della compliance aziendale, la quale si sviluppa prendendo in riferimento da un lato i requisiti richiesti dalla legge (tra cui appunto il nuovo Regolamento), dall’altro gli impegni presi con il cliente ed individuati nelle policy, nei codici etici oppure ai comportamenti stabiliti direttamente dall’azienda. La parte compliance dovrà collegarsi a due recenti standard internazionali: la ISO 19600:2014 utile per implementare un sistema che assicuri la conformità di un’organizzazione in funzione di norme volontarie, requisiti contrattuali, aspetti cogenti, etc., basandosi sul principio del miglioramento continuo; la ISO 9001:2015 che richiede l’analisi del contesto in cui il Regolamento privacy si identifica come una variabile determinante da tenere a mente in alcuni settori o situazioni.

L’analisi dei rischi è infatti il requisito innovativo del nuovo Regolamento che dovrà essere parte integrante del modello di risk assessment e management scelto (p.e. con la ISO 31000:2010 sulla gestione del rischio).
Un tema dunque quello della Cyber Insurance complesso ma che può costituire un’opportunità per il mondo business di analizzare ed integrare i propri processi prevenendo integralmente alcuni rischi, riducendone altri o potendo valutare l’adozione di polizze ad hoc da utilizzare in caso di eventi che creino danno. ©

 


Altri articoli di Valentina Frediani

gdpr Editoriale: Quali conseguenze della GDPR su produttori/fornitori ICT? -
di Valentina Frediani (N. II_MMXVI)
I temi introdotti dall’emanazione della General Data Protection Regulation (GDPR) sono molteplici ed a partire da adesso fino al maggio del 2018 è opportuno analizzarli secondo un criterio prioritario. Scorrendo il testo normativo emerge in modo molto chiaro il principio della cosiddetta accountability quindi l’onere del titolare di dimostrare di aver adottato quanto di sua competenza.
trasferimento_dati_usa NUOVA INTESA CON GLI USA SUL TRASFERIMENTO DEI DATI -
di Valentina Frediani (N. I_MMXVI)
Il 2 febbraio scorso è stato finalmente raggiunto l’accordo politico tra la Commissione UE e il Governo degli USA sulla privacy ed il trasferimento dei dati verso quest’ultimo paese. Il 31 gennaio 2016 era infatti il termine ultimo che le autorità privacy UE ed il Gruppo di lavoro ex articolo 29 avevano dato alla Commissione europea per arrivare ad un “Safe Harbor 2.0” che tuteli davvero la privacy dei cittadini europei rispetto alle imprese che trasferiscono i dati verso l’USA e che, fino a quel momento, rispettavano solo principi del vecchio Safe Harbor.
data_privacy_officer_small Editoriale – Il “nuovo” DPO nella versione 2016 del Regolamento Europeo -
di Valentina Frediani (N. I_MMXVI)
È attesa prima dell’estate l’emanazione del Regolamento Europeo in materia di protezione dati personali. È interessante osservare “l’evoluzione legislativa” di questa figura, in quanto l’adozione della stessa impatta non poco sui soggetti giuridici europei destinatari del Regolamento. Dando una lettura d’insieme dei compiti attualmente attribuiti al DPO, sembra emergere più una figura di auditor rispetto al compito di proattività evidenziato nella versione originaria.
eu-safe-harbor SAFE HARBOR: COSA È ACCADUTO E COME CAMBIERÀ L’ATTUALE SCENARIO -
di Valentina Frediani (N. IV_MMXV)
Corte di giustizia dell’Unione europea - Sentenza della Corte (Grande Sezione) del 6 ottobre 2015 - Causa C-362/14. Un cittadino austriaco, che utilizzava Facebook dal 2008, ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti, il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. La sentenza della Corte di giustizia europea invalida la decisione del 26 luglio 2000 della Commissione e pertanto chiede all’autorità irlandese di riesaminare la denuncia e di decidere se, in forza della direttiva 95/46/CE, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti
ocse Editoriale – Raccomandazione dell’OCSE sulla Digital Security -
di Valentina Frediani (N. IV_MMXV)
L’intervento dell’OCSE ha individuato alcuni principi generali che dovranno aiutare le imprese e le istituzioni coinvolte ad implementare un modello di sicurezza digitale in grado di tutelare in primis i diritti degli interessati, ma anche gli interessi economici rilevanti. Lo sviluppo del mercato digitale rappresenta una parte fondamentale ed essenziale nel funzionamento delle economie globali e del progresso sociale, in grado di generare nuove opportunità di fare impresa.
bcr APPLICAZIONE DELLE BCR: DAL WORKING PARTY ART.29 LE INDICAZIONI -
di Valentina Frediani (N. III_MMXV)
Art. 26 Direttiva 95/46/CE. Per le aziende italiane ed europee che intendano allocare fuori dai confine europei I propri dati, occorre adottare una serie di prescrizioni inerenti la gestione dei dati dislocati, attuando un piano di gestione infragruppo o destinato a grandi fornitori che gestiscono i dati in Paesi Terzi. L’WP 29 ha dettato i principi di attuazione destinati ai Controllers ed ai Processors.
job_Act Editoriale – Jobs Act e controlli a distanza: tutto chiaro? -
di Valentina Frediani (N. III_MMXV)
Lo scorso 23 settembre sono stati pubblicati in GU i decreti legislativi in attuazione del Jobs Act, dopo l’approvazione del Consiglio dei Ministri del 4 Settembre. Tra i passaggi divenuti oggetto di maggior confronto c’è sicuramente quello relativo alle misure in materia di controllo a distanza dei lavoratori. L’originario articolo 4 è stato integrato. Spicca nel primo comma la possibilità di impiego di impianti audiovisivi e di altri strumenti con finalità di tutela del patrimonio aziendale.
internet-things CONSULTAZIONE SU INTERNET DELLE COSE (Internet of Things) -
di Valentina Frediani (N. II_MMXV)
Il Garante per la protezione dei dati personali, con decisione del 26 marzo 2015 pubblicata sul sito web dell’Autorità, ha deliberato l’avvio di una procedura di consultazione pubblica sul tema “Internet delle cose”, con l’obiettivo di acquisire osservazioni e proposte rispetto gli aspetti di protezione dei dati personali illustrati nel provvedimento connessi alle nuove tecnologie classificabili come Internet of Things, con specifico riguardo ai risvolti implementativi dei principi ivi enunciati nonché alle criticità riscontrabili o anche già sperimentate nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali e dei consumatori ove presenti, nonché del mondo universitario e della ricerca scientifica. I contributi, così individuati, dovranno pervenire, entro 180 giorni dalla pubblicazione del presente avviso sulla Gazzetta Ufficiale, all’indirizzo dell’Autorità di Piazza Monte Citorio n. 121, 00186 – Roma, ovvero all’indirizzo di posta elettronica iot@gpdp.it, indicando nell’oggetto il tema di riferimento.
job_Act Editoriale – Jobs Act: rivoluzione nel controllo dei lavoratori -
di Valentina Frediani (N. II_MMXV)
Grande rivoluzione sul fronte dell’uso dei dispositivi tecnologici di controllo a distanza? Il tema ruota intorno al controllo del lavoratore come “rivoluzionato” nell’ambito del Jobs Act. L’articolo 23 del decreto attuativo si pone l’obiettivo di modificare l’articolo 4 generato in seno allo Statuto dei Lavoratori nel 1970. Tale testo di legge è ad oggi certamente poco allineato rispetto all’evoluzione tecnologica attuata ed in atto.
mobile-payment LE NUOVE REGOLE DEL GARANTE DELLA PRIVACY PER I PAGAMENTI CON SMARTPHONE E TABLET -
di Valentina Frediani (N. I_MMXV)
Il Garante privacy ha adottato il provvedimento (doc. web n. 3161560) che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.
Translate »