Informatica Legale

Cyber Insurance per proteggere il patrimonio informativo aziendale

Pubblicato da Il Documento Digitale l’articolo a firma dell’ Avv. Valentina Frediani focalizza gli strumenti per costruire un perimetro di protezione attorno agli asset informativi delle imprese: policies adeguate e cyber insurance rappresentano le chiavi di volta nella strategia di gestione del rischio.

Il 2015 ha registrato una crescita esponenziale di numero e varietà di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber.

Ma andiamo con ordine.

Che cosa sono i cyber-risks ed i cyber-danni?

I cyber-risks sono tutte le quelle minacce in grado di colpire il sistema di sicurezza informatica e comportare una violazione di dati e di informazioni importanti per una società. Tali rischi sono frutto di un mondo sempre più gravitante attorno ad informazioni e sistemi informatici, ovvero dati digitali scambiati e conservati su server in grado di connettersi alla rete o in Cloud. I rischi cambiano quasi quotidianamente e diventano di giorno in giorno più complessi. I pericoli cibernetici possono infatti comportare diversi danni divisibili in tre macro-categorie:

danni materiali diretti, individuabili in tutti quei danni che colpiscono i beni materiali, come il furto o la distruzione totale o parziale dei server, di PC, della fibra ottica, etc.;
danni materiali indiretti, ravvisabili nei danni materiali che sono stati a loro volta creati da altri danni materiali, come ad esempio il danneggiamento del circuito elettrico che ha causato la bruciatura di una scheda magnetica che a sua volta ha comportato la compromissione della macchina di produzione ad essa collegata;
danni immateriali diretti e indiretti, identificabili in quelli per cui l’evento dannoso colpisce un software o l’insieme logico delle informazioni (distruzione del server e delle informazioni contenute nello stesso, l’attacco di un virus, blocco della rete internet, etc.).
Quali sono i costi derivanti da un attacco cyber?

Uno degli aspetti che spaventano maggiormente gli imprenditori è quello dei costi da sostenere a seguito di un attacco informatico. Secondo gli ultimi sondaggi il costo totale di una violazione è aumentato, negli anni 2014 e 2015, del 23%.

Il report Clusit, ad esempio, effettua una stima dei danni e del tempo necessario al ripristino. Soffermandosi su un tipo di danno analizzato, pensiamo a quello causato da un virus che attacca un sistema informatico usato nella GDO; il ripristino potrà comportare una tempistica lavorativa di oltre 10 giorni, con un costo totale pari a circa lo 0,6% di perdite di profitto da risarcire e una perdita di mercato stimata dello 0,7%.

Un altro danno è quello derivante da un semplice errore causato dallo Staff dell’area IT di un’azienda che lavora nel settore TLC. In tale caso, il Rapporto Clusit, individua come il ripristino all’errore potrà comportare una tempistica lavorativa di oltre 85 giorni, con un costo totale stimato in circa 55 milioni di euro per perdite di profitto non risarcibili.

Intermezzo promozionale ... continua la lettura dopo il box:

Perché sviluppare una buona policy interna sulla sicurezza informatica?

La minaccia rappresentata dai cyber-rischi è oggi concreta tanto quanto i rischi fisici cui sono esposti i beni di un’azienda ed è in grado di produrre gravi effetti a catena. Le statistiche internazionali ci dicono che gran parte delle minacce può essere risolta attraverso una buona politica di sicurezza, mentre in parte minoritaria occorre ricorrere all’adozione di misure di protezione maggiormente diversificate e flessibili, ed ecco entrare in gioco la Cyber Insurance.

Per assicurare una protezione concreta dai rischi informatici occorre prima di tutto prevedere una corretta Policy sulla Sicurezza Informatica, ovvero disporre un regolamento nel quale dovrebbero essere indicate tutte le disposizioni, i comportamenti e le misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare il rischio informatico. L‘azienda, in qualità di datore di lavoro, deve controllare il corretto utilizzo degli strumenti di lavoro (cfr. il D.lgs. n. 196 del 2003 e s.m.i. “Codice in materia di dati personali”, Provv. del Garante del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet” e artt. 2086, 2087 e 2104 cc) al fine di evitare l’utilizzo improprio degli strumenti telematici che esporrebbe l’azienda al pericolo di accessi abusivi da parte di hacker (art. 615 bis c.p.) e diffusione di virus (art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e informazioni riservate. Tale anche al fine dell’applicazione di un esonero della eventuale responsabilità dell’azienda per reato informatico (art.24 bis del D.lgs. n. 231 del 2001).

Gli aspetti da tenere in considerazione nella policy sono diversi ma, per la maggior parte di essi, occorre tenere a mente che le minacce peggiori non derivano solo dall’esterno, ma anche dall’interno, proprio dai dipendenti. Il contenuto delle policy deve svilupparsi essenzialmente attorno a 4 ambiti:

Il pc o comunque i dispositivi di lavoro. Le regole sull’utilizzo del dispositivo (che sia un computer fisso, uno portatile, un tablet, uno smartphone o altro strumento) e in generale della postazione di lavoro del dipendente, devono indicare tra l’altro che lo strumento di lavoro è di proprietà dell’azienda e che deve essere usato per esclusivo uso aziendale e connesso ai fini produttivi e lavorativi, etc.
La rete aziendale interna ed il web. Le regole sull’utilizzo della rete aziendale interna, il salvataggio delle informazioni, l’uso del cloud eventualmente impiegato dall’azienda, come accedere alla rete internet, come navigare sul web, quali sono i siti web considerati attinenti all’attività lavorativa e quali, invece, sono considerati al di fuori degli interessi dei dipendenti e, quindi, vietati, etc.
L’uso della posta elettronica aziendale. Per una maggiore tutela della sicurezza informatica ed aziendale, nel regolamento occorre indicare il come utilizzare l’indirizzo aziendale, per evitare di ledere l’immagine dell’azienda, e regolare l’uso privato della posta elettronica aziendale.
I controlli che possono essere espletati dal datore di lavoro. In linea con quanto prescritto dall’ordinamento giuridico italiano (art. 4 dello Statuto dei Lavoratori), la società deve escludere la configurabilità di forme di controllo aziendali aventi direttamente ad oggetto l’attività lavorativa dell’Utente. Ciononostante non si esclude che, per ragioni organizzative e produttive, per esigenze dettate dalla sicurezza del lavoro ovvero per tutelare il patrimonio aziendale, la società possa utilizzare strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori. Tali strumenti devono essere subordinati rispetto alla normativa di settore.
Non basta un regolamento informatico per proteggersi dagli attacchi informatici.

Per far fronte alle minacce informatiche occorre adottare, oltre alla policy sopra indicata, una logica multidisciplinare di Cyber Resilience. Questo significa comprendere le vulnerabilità e le criticità dell’azienda per predisporre un modello di rischio cosiddetto “cyber” accurato e costantemente aggiornato, che consenta di:

diventare consapevole della condizione di sicurezza informatica adottata dall’azienda;
utilizzare le conoscenze acquisite con l’analisi e sensibilizzare tutti i soggetti facenti parte della società sulle best practice della sicurezza informatica aziendale;
creare una strategia di sicurezza idonea che possa garantire un livello costante di rischio informatico;
stimare le perdite potenziali al fine di determinare correttamente gli investimenti necessari in sicurezza.
In sostanza, l’azienda dovrebbe essere in grado di far convergere compliance e cyber security, governance e risk management, cyber intelligence e crisis management, attività di prevenzione e di reazione rapida, fino alla cooperazione. La Cyber Security è definita come un’attività complessa, parte di un processo più ampio di Risk Management volta a proteggere gli asset informatici da guasti, errori ed attacchi, inderogabilmente connessa agli aspetti di natura legale, più che mai alla luce del recente Regolamento Europeo in materia di protezione dati personali che introduce l’obbligo del Data Breach per tutte le aziende.

La Cyber Insurance

Una volta applicate le metodologie del Risk Management il patrimonio informativo aziendale non può dirsi comunque del tutto sicuro, alcuni pericoli sono comunque in agguato. E’ a questo punto che entra in gioco il trasferimento assicurativo del rischio cosiddetto “residuo”. Esso rappresenta la fase “finale” della strategia di Risk Management.

Tale fase è molto importante in quanto consente a tutti i risk owner, in primis manager IT, CIO, responsabili informatici ed in generale chi si occupa delle polizze in azienda e chi segue i costi e i danni a seguito di un sinistro, di dotarsi di uno strumento in grado di proteggerli da rischi economico-finanziari ingenti.

La Cyber Insurance da un lato si rivolge alle aziende in qualità di utilizzatrici di sistemi e di soluzioni ICT, le quali dovrebbero avere un portafoglio assicurativo organico e ottimizzato in modo da garantire la totale copertura ed evitare inutili sovrapposizioni. Dall’atro lato, invece, si rivolge alle aziende che erogano servizi ICT (come servizi Cloud, System Integrator, etc.) le quali, oltre a dotarsi di soluzioni di Cyber Insurance che preservino la loro attività interna come ogni altra azienda, devono garantire la loro responsabilità professionale e dunque a dotarsi di soluzioni di Responsabilità Civile verso Terzi (RCT) adeguate. Questo per il semplice fatto che le stesse offrono una delicata attività e pongono in essere interventi o addirittura gestiscono sistemi informativi di terzi.

Le stesse dovranno, naturalmente, qualificarsi come fornitori ITC capaci di rispettare:

lo Standard ISO/IEC 27001:2013, che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni;
il decreto legislativo n. 196 del 2003 e s.m.i. ed il suo allegato B;
dal 25/05/2018, il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Proprio in materia di Regolamento UE, sopra accennato, occorre soffermarsi in questa sede su alcuni punti essenziali, in quanto il Regolamento non è una semplice nuova legge. Per le società comporterà l’obbligo di innovazione da ogni punto di vista. L’innovazione travolgerà un contesto estremamente complesso con uno scenario giuridico nuovo. In particolare, il contesto di appartenenza è quello della compliance aziendale, la quale si sviluppa prendendo in riferimento da un lato i requisiti richiesti dalla legge (tra cui appunto il nuovo Regolamento), dall’altro gli impegni presi con il cliente ed individuati nelle policy, nei codici etici oppure ai comportamenti stabiliti direttamente dall’azienda. La parte compliance dovrà collegarsi a due recenti standard internazionali: la ISO 19600:2014 utile per implementare un sistema che assicuri la conformità di un’organizzazione in funzione di norme volontarie, requisiti contrattuali, aspetti cogenti, etc., basandosi sul principio del miglioramento continuo; la ISO 9001:2015 che richiede l’analisi del contesto in cui il Regolamento privacy si identifica come una variabile determinante da tenere a mente in alcuni settori o situazioni.

L’analisi dei rischi è infatti il requisito innovativo del nuovo Regolamento che dovrà essere parte integrante del modello di risk assessment e management scelto (p.e. con la ISO 31000:2010 sulla gestione del rischio).

Un tema dunque quello della Cyber Insurance complesso ma che può costituire un’opportunità per il mondo business di analizzare ed integrare i propri processi prevenendo integralmente alcuni rischi, riducendone altri o potendo valutare l’adozione di polizze ad hoc da utilizzare in caso di eventi che creino danno.

Pubblicato da Il Documento Digitale

Cyber Insurance per proteggere il patrimonio informativo aziendale