"Gli aggressori sono sempre alla ricerca di nuovi trucchi".
La sicurezza informatica sta diventando sempre più importante per le aziende, ma solo poche imprese svizzere sono assicurate contro gli attacchi informatici. Gabor Jaimes dell'Associazione Svizzera d'Assicurazioni spiega le sfide che le aziende e gli assicuratori devono superare.
Solo il 7% delle aziende svizzere è assicurato contro i rischi informatici. Perché?
Gabor Jaimes: I rischi informatici sono tra i principali rischi che possono causare danni immensi all'economia e alla società. Analogamente alla pandemia, gli attacchi informatici possono avere effetti non solo locali, ma anche sovraregionali e globali. Sebbene l'assicurabilità dei rischi informatici sul mercato svizzero sia generalmente garantita entro certi limiti, alcuni scenari - in particolare quelli di natura sistemica - superano le capacità degli assicuratori. Questi ultimi svolgono un ruolo centrale nella prevenzione e nella minimizzazione del rischio di danni informatici, ma anche come mediatori di conoscenze tra il settore privato, le autorità e i clienti al fine di rafforzare la resilienza informatica.
L'attuale tasso del 7% è solo un'istantanea, poiché il settore delle assicurazioni informatiche è in crescita. Ma ovviamente ci vuole sempre un po' di tempo prima che i nuovi prodotti penetrino nel mercato. Spesso non tutte le aziende sono consapevoli dei rischi. Le aziende più piccole, in particolare, potrebbero non conoscere le soluzioni disponibili o pensare: "Sono un piccolo panificio, perché dovrei essere attaccato?".
Durante la mia ricerca, mi sono imbattuto nell'informazione secondo cui la domanda di assicurazione informatica è significativamente più alta del numero di polizze stipulate. Può confermarlo? Quali sono le ragioni?
Nonostante l'elevata domanda, i nostri membri riferiscono che solo un numero esiguo di richieste di informazioni si traduce in contratti. Ciò potrebbe essere dovuto al fatto che i clienti contattano diversi fornitori e poi decidono di stipulare un solo contratto. Un'altra ragione potrebbe essere che alcuni clienti non comprendono a sufficienza la questione o non dispongono attualmente del budget necessario. Tuttavia, i dati mostrano che il volume delle polizze e dei premi è raddoppiato negli ultimi due anni.
Ritiene che le aziende siano sufficientemente informate sulle possibilità e sui limiti della cyber-assicurazione?
Il panorama aziendale svizzero è molto eterogeneo. Alcune aziende, soprattutto quelle più grandi che hanno anche un proprio reparto informatico, sono spesso ben informate e sensibilizzate. Gli assicuratori cercano di raggiungere anche altri clienti con materiale informativo, ma c'è sicuramente un gruppo più ampio che non è consapevole delle possibilità. In collaborazione con l'Ufficio federale per la sicurezza informatica, stiamo conducendo una campagna educativa per sensibilizzare il mercato.
Di quali rischi stiamo parlando quando parliamo di rischi informatici?
Il rischio maggiore è sicuramente il phishing. I truffatori inviano messaggi di testo o e-mail chiedendo di effettuare un pagamento. Questo accade non solo ai privati, ma anche alle aziende. Se si apre un'e-mail di questo tipo senza riflettere, i virus possono diffondersi nella rete aziendale e dare accesso agli hacker. Questo può accadere anche fisicamente, con persone non autorizzate che accedono ai locali, ad esempio travestite da squadra di pulizia, e tentano di accedere ai sistemi. Il fatto che il traffico postale sia in costante diminuzione e venga sostituito dalla comunicazione digitale crea ulteriori aree di attacco.
Come si è sviluppata l'assicurabilità dei rischi informatici negli ultimi anni?
L'assicurabilità dei rischi informatici è migliorata negli ultimi anni, poiché gli assicuratori e le società di sicurezza informatica hanno adottato un approccio proattivo a queste minacce. Un'azienda di medie dimensioni subisce sicuramente decine, se non centinaia, di attacchi al giorno, ma con misure di sicurezza aggiornate, come un firewall e aggiornamenti regolari, è possibile respingerne fino al 99,9%. Tuttavia, gli aggressori sono sempre alla ricerca di nuovi trucchi. In un certo senso, si potrebbe definire un gioco del gatto e del topo. Gli assicuratori sono naturalmente cauti. Se un'azienda non prende precauzioni, non è assicurabile. Gli assicuratori sostengono le aziende nella definizione di misure quali la sicurezza dei dati e la formazione dei dipendenti.
Quali sono i rischi difficili da assicurare oggi? Cosa possono fare le aziende in questo caso?
Anche in questo caso, dipende molto dal tipo di azienda. Un'azienda che lavora con dati altamente sensibili avrà sicuramente requisiti diversi da un salone di parrucchieri, ad esempio. Esistono anche programmi di certificazione, come cyber-safe.ch, che possono aiutare le aziende a soddisfare i requisiti minimi e a rendere evidente agli assicuratori che sono adeguatamente protette. Le aziende che non adottano alcuna precauzione devono ovviamente apportare miglioramenti prima di potersi assicurare, ad esempio con la formazione dei dipendenti e l'aggiornamento tecnico.
La percezione dei rischi digitali è cambiata negli ultimi anni, in particolare per quanto riguarda la loro assicurabilità?
Sì, la percezione dei rischi digitali è decisamente cambiata negli ultimi anni. Le aziende riconoscono sempre più l'importanza della sicurezza informatica e sono consapevoli che l'assicurazione informatica è una parte importante della loro gestione del rischio. Diversi attacchi importanti, come quelli alla NZZ o a Xplain, hanno dimostrato non solo la vulnerabilità della società, ma anche i costi che ne derivano. Il settore assicurativo sta rispondendo a questa crescente minaccia adattando di conseguenza le proprie polizze e i propri servizi e supportando i clienti nella prevenzione e nella gestione dei rischi digitali.
Quali sono le sfide nell'identificare i danni causati dai rischi digitali e come possono essere gestiti meglio?
I danni digitali non sono sempre immediatamente evidenti. Non è come un albero che cade su una casa in seguito a un temporale. Il danno digitale deve essere analizzato dal punto di vista forense e si deve verificare se è possibile trovare del malware. A seconda di quanto sia stato sofisticato l'attacco, può essere un lavoro da detective. Un'azienda deve quindi reagire immediatamente in caso di irregolarità, perché questo è l'unico modo per contenere e bloccare il malware prima che, ad esempio, i backup siano contaminati o che il danno si diffonda a clienti e fornitori.