Assicurazione sulla sicurezza informatica – Che cos’è e perché ne ho bisogno?

Il crimine informatico costa alle aziende globali $ 450 miliardi all'anno, secondo un recente studio di Hiscox Insurance basato sui dati del 2016. Tuttavia, molte aziende devono ancora rendersi conto della gravità di questa minaccia.


In questa guida assicurativa sulla sicurezza informatica, parlerò di cosa si tratta, perché ne hai bisogno e altri suggerimenti utili che puoi utilizzare per proteggere te stesso e la tua azienda.

Cos'è la sicurezza informatica?

La sicurezza informatica è una protezione contro l'uso illecito o non autorizzato dei dati e le misure adottate per raggiungere questo obiettivo.

Inoltre, la sicurezza informatica comprende tecniche contro la sicurezza dell'intera rete di computer; si tratta di software e dati relativi al danno summenzionato e all'accesso non autorizzato.

Il costo del crimine informatico

Come accennato, il crimine informatico costa alle imprese globali $ 450 miliardi all'anno. Questa cifra è così significativa che può sentirsi al di là della comprensione della maggior parte delle persone. Per rendere più comprensibile l'entità del problema, è forse più facile considerare l'impatto di uno solo dei recenti attacchi informatici di alto profilo, quello che ha colpito l'agenzia di riferimento del credito Equifax negli Stati Uniti.

Questa violazione della sicurezza ha portato 143 milioni di americani ad avere i loro dati personali esposti agli hacker. Informazioni personali che includono date di nascita, indirizzi di residenza e numeri di previdenza sociale. Oltre 200.000 consumatori colpiti dalla violazione hanno anche esposto i loro numeri di carta di credito.

Il numero di cittadini statunitensi colpiti da questa violazione si è avvicinato molto alla metà della popolazione americana. Inoltre, non è stato il primo attacco informatico su così vasta scala ed è estremamente improbabile che sia l'ultimo.

A volte sembra che le persone stiano diventando desensibilizzate a tali eventi di sicurezza IT. La copertura della stampa dopo l'attacco Equifax ha suggerito che, nonostante la preoccupazione per l'impatto dell'attacco informatico, meno di una persona su cinque ha effettivamente fatto qualsiasi cosa per rafforzare la sicurezza delle proprie informazioni personali. Tuttavia, possiamo essere sicuri che non appena le persone colpite si troveranno vittima di un furto di identità o di una perdita finanziaria, cercheranno immediatamente di fare ricorso.

Questo è il motivo per cui, in un mondo in cui il crimine informatico è in piena espansione (ricordiamo, ancora una volta, la cifra di 450 miliardi di dollari), anche l'assicurazione per la sicurezza informatica sta crescendo in popolarità tra le aziende di tutte le dimensioni. Giustamente, stanno cercando di proteggersi da perdite finanziarie e problemi legali se e quando diventeranno il prossimo Equifax.

La crescita dell'assicurazione della cibersicurezza

L'assicurazione della sicurezza informatica è un prodotto assicurativo che è stato storicamente lento a scendere dai blocchi di partenza, principalmente a causa della difficoltà di eliminare i rischi correlati e della natura in continua evoluzione delle minacce ai sistemi IT aziendali. La voce di Wikipedia per la cyber insurance si riferisce al mercato di tale assicurazione che cresce molto più lentamente di quanto fosse previsto circa un decennio fa.

Le entrate premium sono aumentate 35% tra il 2015 e il 2016

Nonostante ciò, i rapporti mostrano che lo scorso anno oltre 130 compagnie assicurative hanno aggiunto la cyber insurance alle loro gamme di prodotti. È sempre più un tipo di copertura che le aziende di ogni dimensione devono considerare, per proteggerle se e quando, nonostante i loro migliori sforzi, sono le prossime vittime del crescente esercito mondiale di hacker e criminali informatici.

A questo punto ti starai chiedendo se Equifax avesse un'assicurazione per la sicurezza informatica. Poco dopo la violazione, un rappresentante della società ha dichiarato che "Equifax porta sicurezza informatica, criminalità, responsabilità generale e altre linee assicurative". Tuttavia, i rapporti della stampa ipotizzano che la copertura della società, proteggendoli per danni fino a $ 100-150 milioni, dimostrerà dolorosamente inadeguato per proteggerli dal pieno impatto finanziario della loro violazione della sicurezza IT. Le azioni legali di classe continueranno probabilmente a protrarsi per gli anni a venire.

Ho bisogno dell'assicurazione sulla sicurezza informatica?

La risposta "TL; DR" alla domanda se hai bisogno di un'assicurazione per la sicurezza informatica è probabilmente un clamoroso "sì", se gestisci qualsiasi tipo di attività connessa e desideri dormire più profondamente la notte.

L'assicuratore del Regno Unito, Hiscox, fornisce un elenco di motivi per cui un'azienda può richiedere un'assicurazione per la sicurezza informatica, e comprendono "affidarsi ai sistemi informatici per condurre la propria attività" e "avere un sito Web". In questi tempi, ciò non lascia spazio per molte eccezioni!

Mentre sono gli eventi di criminalità informatica su larga scala come l'hacking Equifax a colpire i titoli dei giornali e eventi simili come Yahoo! e il National Health Service del Regno Unito, non sono sicuramente solo le grandi organizzazioni ad affrontare gli attacchi degli hacker e devono affrontare le conseguenze. Questa è una conseguenza che può spesso includere impatto finanziario, danni alla reputazione e un'operazione di pulizia che è estremamente distruttiva per le attività quotidiane.

Considera questo: il 60% di tutte le piccole imprese viene violato ogni anno. Non solo, queste piccole imprese non tendono ad avere le risorse di cui hanno bisogno le loro controparti più grandi per aiutarle a riprendersi da un incidente di criminalità informatica. Queste risorse possono includere qualsiasi cosa, da un team IT ben equipaggiato per ripulire il danno, fino al buffer finanziario necessario per superare la crisi. Quindi, si potrebbe sostenere che le imprese più piccole hanno bisogno dell'assicurazione sulla sicurezza informatica tanto quanto, se non di più, delle imprese più grandi.

Sebbene non possano colpire le prime pagine dei quotidiani nazionali, non mancano esempi online di casi in cui le piccole imprese sono state colpite con successo dai criminali informatici. Questi includono incidenti in cui le PMI hanno trovato i loro conti bancari prosciugati di importi che vanno da circa $ 20.000 a oltre $ 1 milione. A seconda delle dimensioni dell'azienda, una delle somme potrebbe essere sufficiente per far fallire la società.

Una statistica di cibercriminalità spesso citata è che il 60% delle piccole aziende che sono vittime di un attacco informatico non si riprende da esso e sono fuori servizio entro sei mesi. Anche se i gradi di gravità degli attacchi variano naturalmente, è corretto affermare che le aziende di tutte le dimensioni dovrebbero prendere sul serio le minacce informatiche e stipulare un'assicurazione per proteggersi.

La mia azienda si qualifica?

Una rapida ricerca su Google per la cyber insurance offre molte opzioni, tra cui molte rivolte alle piccole imprese. In molti casi, queste politiche sono economiche, non hanno nemmeno una somma di tre cifre per ogni pagamento del premio mensile. Bisogna chiedersi esattamente quale livello di copertura si otterrà veramente, quindi leggere la piccola stampa è ovviamente fondamentale.

Come con molti tipi di assicurazioni, ha senso parlare con un broker che capisce veramente la tua attività. Mentre il tipo di polizze "taglia unica" con premi bassi che compaiono su una tipica ricerca su Google potrebbe consentire di spuntare una casella che dice che hai un'assicurazione per la sicurezza informatica, avere la piena fiducia che proteggerà effettivamente la tua attività è completamente un'altra cosa.

Se ci pensate, diventa presto chiaro perché è essenziale optare per una polizza adeguatamente sottoscritta se decidete di stipulare un'assicurazione informatica. Se trovi un fornitore online che è felice di offrire la stessa polizza assicurativa informatica generica a società con modelli di business molto diversi, è probabile che non stia guardando una polizza eccezionale. Una società con un computer che non memorizza molto in termini di dati personali è chiaramente a rischio molto inferiore rispetto a quella che vende online, elabora e archivia i dettagli delle carte di credito. Anche l'impatto di un attacco sarebbe molto diverso.

Quindi, forse è meno una questione se la tua azienda si qualifica per la cyber insurance, e più uno di trovare qualche assicurazione che in realtà valga la carta su cui è scritta. Non avrai problemi a trovare una compagnia per venderti una cyber insurance, ma potresti avere maggiori difficoltà a trovarne una che pagherà in modo affidabile in caso di sinistro. Ovviamente, questo vale per tutti i tipi di assicurazione

Garantire la vostra politica è valida

Come per tutte le polizze assicurative, di solito devi rispettare una serie di termini e condizioni per garantire che la tua assicurazione rimanga valida.

Un'analogia appropriata (anche se leggermente insolita) qui riguarda l'assicurazione per le biciclette. Le politiche di protezione contro il furto di biciclette sono facili da ottenere, ma la loro piccola stampa rivela spesso una serie di obblighi che l'assicurato deve rispettare per essere protetto. Questo di solito include l'uso di un blocco ciclo standard del settore e la garanzia che la bici sia fissata a un oggetto immobile, anche quando è riposta in casa.

È spesso il caso dell'assicurazione che l'adempimento degli obblighi di una polizza risulta costoso e richiede molto tempo come l'acquisto della polizza stessa, e non è diverso con l'assicurazione della sicurezza informatica. Un recente studio sul mercato assicurativo della cibersicurezza in Svezia ha dimostrato che molti assicuratori "impongono requisiti di sicurezza informatica e informativa ai propri clienti".

È quindi inutile acquistare l'assicurazione e non leggere le scritte in piccolo, il che è vero per qualsiasi tipo di assicurazione. Se non rispetti i tuoi obblighi, l'assicurazione può finire per non essere valida.

Quando vale la Cybersecurity Insurance?

Come per tutte le assicurazioni aziendali, una regola generale ragionevole da seguire è che se l'assicurazione della cibersicurezza è conveniente e protegge da significativi rischi finanziari, allora vale la pena avere.

Tuttavia, è ragionevole menzionare che alcune aziende probabilmente ne hanno bisogno più di altre. Se memorizzi ed elabori i dettagli finanziari dei clienti, è probabilmente molto sciocco non assicurare contro i cyber rischi. Le aziende con una piccola presenza online e nessuna esposizione finanziaria potrebbero voler adottare un approccio più rilassato. Tuttavia, anche il più piccolo dei conti bancari aziendali potrebbe diventare l'obiettivo di un hacker. Inoltre, i premi per le aziende con un rischio meno percepito dovrebbero, almeno in teoria, essere considerevolmente più piccoli.

C'è anche un potenziale aspetto politico da considerare. Se la tua attività si muove nel tipo di cerchi che non piacciono agli hacker e ai criminali informatici - come qualsiasi cosa considerata troppo vicina allo "stabilimento" o qualsiasi cosa che potrebbe essere pertinente per ridurre la libertà, gli hacker potrebbero fare una linea guida specifica per te - quindi questo è qualcosa da tenere sempre presente.

Una statistica recente interessante da sollevare a questo punto è che solo il 10% delle PMI del Regno Unito ha stipulato un'assicurazione informatica al momento della stesura di questo documento. Tuttavia, le previsioni di crescita per questo settore suggeriscono che la situazione sta cambiando e che sempre più persone stanno diventando consapevoli della necessità.

La copertura inclusa in una tipica polizza informatica informatica può spesso sembrare molto impressionante. Di solito include cose come:

  • Pagamento di riscatto in caso di attacco di ransomware.
  • Copertura per l'interruzione dell'attività.
  • Copertura per spese legali relative a qualsiasi violazione.
  • Perdita di protezione del reddito mentre la tua azienda ripara il danno.
  • Copertura per multe imposte dai regolatori per violazioni dei dati.
  • Costi di analisi forensi.
  • Costi di monitoraggio del credito. (Equifax ha finanziato il monitoraggio del credito gratuito per tutti i clienti interessati a seguito della violazione del 2017).

Per quanto impressionante possa sembrare, la natura della cyber insurance significa che tutto ciò non entra in vigore automaticamente non appena si verifica qualsiasi tipo di violazione. Di solito, in caso di sinistro, la compagnia assicurativa lavorerà con voi per valutare il danno e aiutare a "gestire la crisi".

In genere, le politiche hanno anche pagamenti in eccesso in atto. Quindi, ad esempio, potrebbe potenzialmente risultare più conveniente pagare una domanda di ransomware da $ 350 rispetto all'eccedenza della polizza di $ 2000 per un reclamo. Quindi, vale la pena ricordare che la cyber insurance è davvero lì per proteggerti se qualcosa va terribilmente storto, nonostante tu abbia preso le giuste precauzioni e fatto tutto nel modo giusto. Non è lì per salvarti da ogni piccolo incidente legato alla sicurezza IT. Tuttavia, ciò non significa che non sia qualcosa che vale la pena avere a posto.

Se gestisci un'azienda, dovrai fare le tue analisi costi / benefici su questo e leggere tutta la piccola stampa di qualsiasi politica che sei tentato da.

Verifica dell'assicurazione esistente

Prima di impegnarsi in una spesa normale per un'altra polizza assicurativa, vale la pena esaminare quali assicurazioni sono già in atto.

Molte piccole imprese acquistano pacchetti assicurativi aziendali "tutto in uno", che spesso coprono varie passività e indennità. A volte questi possono includere assicurazioni legate all'IT, come l'assicurazione per aiutare a recuperare dagli attacchi di virus.

È improbabile che una tale polizza assicurativa "confezionata" includa un'assicurazione informatica completa, ma vale comunque la pena verificare ciò per cui sei già coperto. Puoi decidere di avere già una copertura adeguata per la tua situazione personale e l'atteggiamento nei confronti del rischio. In alternativa, potresti essere in grado di ridurre il costo di un prodotto assicurativo per la sicurezza informatica se sei già coperto per alcune delle potenziali situazioni.

Il controllo delle offerte assicurative richiede tempo e, a volte, può risultare difficile trovare un broker che non sia puramente dopo la loro commissione. Tuttavia, il tempo speso facendo le ricerche giuste e assicurando che la polizza sia correttamente sottoscritta è migliore e meno stressante del tempo speso a inseguire un reclamo che potrebbe non essere pagato in caso di catastrofe.

Altri modi per rendere la tua azienda "cyber sicura"

Certo, non è mai il caso di acquistare un'adeguata assicurazione sulla sicurezza informatica e poi sedersi e rilassarsi. È anche essenziale ridurre al minimo i rischi di cadere vittima di attacchi informatici e violazioni della sicurezza delle informazioni.

Esistono una serie di passaggi tecnici che tutte le aziende sensibili dovrebbero adottare per proteggere i propri sistemi. Come accennato in precedenza, alcuni di questi potrebbero essere obbligatori affinché la polizza informatica informatica mantenga la sua validità. Passeremo presto a queste precauzioni. Ma prima, parliamo della prima cosa su cui le aziende dovrebbero concentrarsi per ridurre le loro possibilità di essere vittime di un attacco informatico:

Formazione dell'utente

Il principale punto di errore in termini di sicurezza informatica non è il software antivirus obsoleto, un firewall mal configurato o un reparto IT inefficiente. Gli errori commessi dai dipendenti che utilizzano i sistemi informatici sono la ragione principale per cui le aziende cadono vittime degli hacker.

Un recente rapporto afferma che oltre il 90% "di tutti gli attacchi informatici viene eseguito con successo con informazioni rubate da dipendenti che involontariamente regalano (...) credenziali agli hacker".

Questo è un numero sbalorditivo e uno che ti fa sembrare due volte per confermare che è corretto. Purtroppo lo è. Ciò che chiaramente non significa è che i dipendenti vanno in giro a distribuire volontariamente i loro nomi utente e password. Invece, gli hacker usano tecniche di social engineering e attacchi di phishing per indurre le persone a distribuire inconsapevolmente questi dettagli a loro.

Le tecniche di phishing possono variare dal grezzo al geniale. A volte, basta semplicemente un'e-mail convincente che sembra provenire dal dipartimento IT per convincere un membro dello staff a consegnare le proprie credenziali di accesso. Un singolo nome utente e password sono spesso tutto ciò di cui un hacker ha bisogno per ottenere l'accesso remoto a una rete e da lì possono sfruttare altre vulnerabilità e utilizzare altre tecniche di hacking per approfondire ulteriormente, una tecnica spesso chiamata "spear phishing".

Il phishing a volte è molto più sofisticato, coinvolgendo le email che convincono le persone che i loro conti bancari o PayPal sono stati compromessi. Queste e-mail portano quindi a pagine di accesso dall'aspetto plausibile che sembrano l'articolo originale. Tutto ciò che l'utente deve fare è provare ad accedere a loro e hanno immediatamente consegnato il loro indirizzo email e la password.

Chiunque abbia bisogno di convincere quanto siano diffuse tali e-mail di phishing deve solo cercare nella cartella della posta indesiderata di un account di posta elettronica ben consolidato. Tali messaggi vengono inviati con regolarità allarmante.

Il phishing continua ad essere un '"arma preferita" per gli hacker per il semplice fatto che funziona. Che si tratti di una telefonata, di un'e-mail o di una pagina di accesso al sito Web convincente, tutti gli hacker devono semplicemente perfezionare i loro metodi e renderli abbastanza credibili per ingannare le persone.

Il punto centrale di questa spiegazione è sottolineare il ruolo essenziale dell'educazione degli utenti nel mantenere i sistemi IT al sicuro. Tristemente, tuttavia, le prove sembrano suggerire che molte persone ignorano volontariamente tale consiglio. Recentemente, a gennaio 2017, è stato rivelato che oltre il 50% delle persone utilizza password facili da indovinare come "123456" - e, quindi, sembra probabile che molte persone chiudano anche le orecchie per consigli sull'utilizzo di password uniche per conti diversi.

Tutto ciò rende la vita molto più semplice di quanto non debba essere per gli hacker.

La risposta alla formazione degli utenti sulla sicurezza informatica è renderla qualcosa che non è facoltativo. Invece di semplicemente insistere su password complesse, imporre anche l'uso di esse, configurando i sistemi per richiederle. Se necessario, utilizzare una procedura disciplinare quando i dipendenti si rifiutano di prendere seriamente il loro ruolo in questo.

È anche essenziale formare il personale sui modi in cui gli hacker cercheranno di batterli in astuzia. Mostra loro esempi di pagine di accesso PayPal fasulle ed e-mail di phishing (non sono difficili da trovare.) Racconta loro le statistiche in merito. Soprattutto, assicurarsi che tutti siano consapevoli che non è possibile per il dipartimento IT rendere i sistemi aziendali "antiproiettile" semplicemente installando il software corretto.

Troppi utenti non tecnici credono che dipenda dal software antivirus e dai firewall per proteggerli dalla realtà della sicurezza informatica. In una certa misura questo è vero, ma questi prodotti non possono proteggere le persone da se stessi. È assolutamente essenziale che chiunque utilizzi i sistemi della tua azienda lo capisca, da qui la lunghezza di questa sezione.

Misure tecniche

Quando si tratta di proteggere i servizi IT da una prospettiva tecnica, molti dei passaggi sono ovvi ma vale comunque la pena sottolineare. Il software antivirus è, ovviamente, un must. E con l'incidenza di malware sulla piattaforma Mac di Apple in aumento del 230% nel 2017, ora sta diventando difficile sostenere che i Mac non hanno bisogno di antivirus tanto quanto le piattaforme Microsoft Windows.

I software antivirus non sono tutti uguali, quindi vale la pena cercarli in dettaglio per scegliere il prodotto corretto. Inoltre, non è qualcosa da "impostare e dimenticare". Per un'efficace protezione, il software antivirus deve essere sempre aggiornato, con scansioni complete del sistema configurate per essere eseguite regolarmente. A seconda della cultura aziendale, questa potrebbe essere la responsabilità dei singoli utenti o del reparto IT. Non importa chi, fintanto che qualcuno lo sta facendo.

I buoni prodotti antivirus e Internet Security spesso includono un certo livello di protezione contro le e-mail di phishing e i siti Web disonesti. Sebbene queste siano ovviamente funzioni utili, dovrebbero essere trattate come un complemento della formazione degli utenti e non un'alternativa ad esso.

I firewall sono disponibili in varie forme; Alcuni sono dispositivi hardware che proteggono reti di uffici o data center, altri sono software o prodotti basati su cloud in grado di proteggere singole macchine o applicazioni web. Non esiste una regola rigida che impone il tipo di protezione firewall di cui hai bisogno, ma uno o più di questi prodotti di solito formano un pezzo del puzzle di sicurezza di Internet della tua azienda.

L'autenticazione a due fattori è descritta qui ed è un ottimo modo per aggiungere un livello di sicurezza a tutto ciò che richiede un login e una password. Aggiungendo un secondo requisito di accesso, come un codice univoco inviato via SMS al telefono di un utente, 2FA rende la vita molto più difficile per gli hacker opportunisti. Esistono modi per aggiungere tale autenticazione a qualsiasi cosa, dalle reti di dominio Windows ai singoli siti Web. L'implementazione dell'autenticazione a due fattori è spesso un modo relativamente economico di aggiungere un livello di sicurezza sostanziale ai sistemi critici.

Le VPN (Virtual Private Networks) sono un ottimo modo per aumentare la privacy online e possono proteggere i dati aziendali quando i lavoratori sono lontani dal tuo ufficio centrale. Ad esempio, insistere sul fatto che il personale utilizzi le VPN per le reti WiFi pubbliche è un ottimo passo da fare per impedire che inavvertitamente perdano importanti dettagli di accesso dell'azienda. La nostra guida VPN per principianti è una guida utile e dettagliata per ulteriori letture.

La crittografia dei dati è qualcosa a cui le aziende spesso pensano poco e che può immediatamente migliorare la sicurezza dei dati aziendali. Se un membro dello staff lascia un laptop non crittografato sui trasporti pubblici, è un gioco da ragazzi accedere ai dati all'interno, anche se è presente una password. Tutto quello che tutti devono fare è rimuovere il disco rigido e collegarlo a un altro computer.

La crittografia completa del disco è facile da implementare (e particolarmente facile su un Mac Apple, con una sola casella di spunta), e quindi vale la pena considerare di collegare questo buco di sicurezza.

Gli aggiornamenti software sono un altro dettaglio essenziale che viene spesso ignorato, con le persone spesso troppo contente per premere il pulsante "Ricordami più tardi" per settimane. Tuttavia, in molti casi, questi aggiornamenti vengono rilasciati come risposta specifica a difetti di sicurezza nei sistemi operativi o nei prodotti software.

Un esempio di alto profilo dell'importanza degli aggiornamenti software è stato quando è stato rivelato che gran parte dell'impatto dell'attacco informatico sul servizio nazionale sanitario del Regno Unito avrebbe potuto essere evitato se il personale IT avesse installato una patch che era stata resa disponibile settimane prima. Più di recente, la stessa Apple ha subito alcuni gravi danni alla reputazione con un bug che ha reso incredibilmente facile hackerare qualsiasi Mac con il sistema operativo più aggiornato. La patch non è qualcosa che qualsiasi utente vorrebbe ritardare l'installazione.

Anche SSL per il sito Web della tua azienda sta diventando sempre più un must, in particolare con Google che ora contrassegna i siti non SSL come "non sicuri". HTTPS è spiegato qui. L'aggiornamento di un sito Web non sicuro a HTTP è economico (o addirittura gratuito). Ci sono alcune precauzioni da prendere, ma è qualcosa che tutti dovrebbero fare.

Fai un'altra scansione dell'elenco sopra e vedi quante di queste cose ritieni che la tua azienda sia davvero "in cima". Se ci sono carenze, ognuna delle quali lavori renderà i tuoi sistemi più sicuri. Vale anche la pena sottolineare che spuntare alcune o tutte queste caselle potrebbe essere un prerequisito per garantire che una copertura assicurativa informatica sia valida. Dovrai controllare la tua documentazione assicurativa per scoprirlo.

Pericoli online

Abbiamo già toccato alcuni dei pericoli informatici che devono affrontare aziende di ogni dimensione. Questi sono i pericoli contro i quali l'assicurazione della sicurezza informatica mira a proteggere. In questa sezione, esamineremo alcuni dei pericoli più significativi in ​​modo un po 'più dettagliato.

Phishing

Come discusso in precedenza, il phishing rappresenta un rischio enorme per le aziende. Inoltre, un "incidente" iniziale di phishing in cui un hacker riesce a ottenere un nome utente e una password, o alcune altre informazioni che facilitano un "accesso" ai sistemi aziendali, può segnare l'inizio di un attacco che potrebbe coinvolgere anche altre tecniche di criminalità informatica . Ad esempio, un hacker potrebbe utilizzare il phishing per ottenere una password e quindi lanciare un attacco ransomware una volta ottenuto l'accesso al sistema.

La misura in cui il phishing è coperto da una polizza assicurativa informatica può variare, per non dire altro. Un account online piuttosto spaventoso di un reclamo correlato può essere trovato qui. In questo esempio, la compagnia assicurativa ha rifiutato di pagare perché "la polizza non copriva la frode del CEO o il compromesso della posta elettronica aziendale".

Questo ci riporta alla sezione di formazione dell'utente sopra. Se un membro del personale viene ingannato nel consegnare un hacker in modo diretto ai sistemi aziendali, i reclami su una polizza di cyber assicurazione potrebbero rivelarsi problematici. L'unico consiglio che possiamo davvero fornire qui è chiedere cosa succederebbe in uno scenario simile (e ottenerlo per iscritto) prima di sottoscrivere una politica - e non quando accade il peggio.

ransomware

Oggigiorno tutti hanno sentito parlare di ransomware. Era il ransomware al centro di un enorme hack globale che ha sconvolto numerose società blue chip all'inizio del 2017, così come il National Health Service del Regno Unito.

Le persone accendevano i loro computer per scoprire di non avere accesso alle loro applicazioni e file; Invece, si trovarono di fronte a uno schermo che chiedeva di consegnare un "riscatto" per accedere ai loro file di dati ora crittografati. Il riscatto specifico in questa occasione variava da $ 300-600 del valore della criptovaluta, Bitcoin. Alla fine, secondo quanto riferito, gli hacker sono riusciti a incassare oltre $ 130.000 in Bitcoin.

Gli attacchi ransomware hanno una stranezza specifica: non devono causare danni oltre l'interruzione, purché si disponga di un backup. I sistemi possono essere reinstallati e, fintanto che esiste un backup dei dati, non è necessario pagare alcun riscatto.

I problemi di ransomware possono anche colpire aziende di tutte le dimensioni, spesso perché grazie a un attacco di phishing, un membro ignaro dello staff viene indotto a installare qualcosa che non dovrebbe. Il ransomware può quindi essere un grosso problema per una grande azienda, dove può volare in una rete locale infettando più macchine, come può fare per un libero professionista senza un backup che perde l'accesso a tutti i documenti dei suoi clienti.

Le polizze informatiche informatiche di solito includono disposizioni per i ransomware, che possono estendersi al pagamento di un riscatto agli hacker. Tuttavia, la protezione più efficace contro i ransomware si presenta sotto forma di un solido regime di backup. Se riesci a ripristinare i tuoi dati, gli hacker non possono fare altro che disturbarti.

Il ransomware non sta andando da nessuna parte. Numerosi studi dimostrano che il tasso di infezione da ransomware continua un aumento stratosferico, incluso uno che afferma che una società da qualche parte viene recentemente infettata da ransomware ogni 40 secondi.

Violazioni dei dati

Mentre a volte gli attacchi informatici possono semplicemente "bloccare" i tuoi dati o compromettere la tua sicurezza digitale, le cose diventano davvero serie quando si traducono in una violazione dei dati dei clienti. Se devi ammettere ai tuoi clienti che non hai rispettato il dovere di proteggere le loro informazioni personali, il danno reputazionale è quasi garantito. Inoltre, ci sono potenziali conseguenze legali, insieme alla forte possibilità che questa violazione della fiducia vi perda qualche affare.

Molti degli attacchi informatici di alto profilo che colpiscono i titoli dei giornali comportano una perdita di dati dei clienti. La violazione di Equifax a cui si fa riferimento sopra è la più recente al momento in cui scriviamo, ma negli ultimi anni ci sono stati molti più incidenti.

Nel 2013, Yahoo! è stato colpito da una violazione dei dati. I dettagli completi hanno richiesto anni per emergere, ma alla fine è diventato chiaro che l'entità della violazione era enorme, con tre miliardi di account utente interessati. Altre enormi violazioni dei dati includono un attacco nel 2011 su PlayStation Network di Sony, che per alcuni clienti ha incluso il rilascio dei dettagli della propria carta di credito. Quindi, nel 2016, vi è stata una violazione delle informazioni sui clienti per 57 milioni di utenti Uber. Uber ha fatto molto per aggravare il danno reputazionale coprendo l'hacking per un periodo prolungato.

Le polizze informatiche informatiche di solito includono la copertura proprio per questo tipo di evento, incluso l'aiuto per il “contenimento delle crisi”, che può includere l'assistenza con le pubbliche relazioni e la gestione delle relazioni con i clienti. Quando un sistema viene violato e i dettagli dei clienti vengono rivelati agli hacker, ci sono implicazioni di vasta portata, inclusa la prospettiva di problemi legali con i regolatori governativi. Con questo tipo di incidente, la cyber insurance può rivelarsi preziosa per il supporto di esperti che una compagnia assicurativa può ricorrere come per la rete di sicurezza finanziaria.

E anche quella rete di sicurezza è importante; Come discusso in precedenza, le conseguenze dell'hack di Equifax sono solo all'inizio, e ci sono già azioni legali class-action in fila. A seconda del danno arrecato, l'incidenza finanziaria può essere enorme in queste situazioni.

Interruzione dell'attività

L'interruzione dell'attività spesso va di pari passo con uno o più degli altri possibili impatti di un attacco informatico. Ad esempio, è improbabile che un'azienda che sta trascorrendo il suo tempo a pacificare i clienti a cui sono stati rubati i propri dati personali, o che corre in giro per il ripristino dei backup dopo un attacco di ransomware, abbia il tempo e le risorse per concentrarsi sulla gestione quotidiana del fare affari correttamente e fare soldi.

Per le piccole imprese con risorse limitate del personale, è questa interruzione che può spingere un'azienda in rovina. I clienti possono scomparire dall'oggi al domani se non sei in grado di servirli. Come tale, una fine improvvisa e inaspettata al flusso del "rubinetto dei soldi" può rivelarsi disastrosa.

Un broker per la copertura assicurativa aziendale in Australia ha pubblicato una serie di esempi online di casi in cui le compagnie assicurative hanno pagato per l'interruzione dell'attività e la perdita di entrate, spesso con somme a sei e sette cifre. L'interruzione dell'attività può rivelarsi uno degli impatti più significativi di un attacco informatico. Non sorprende quindi che la maggior parte delle polizze informatiche informatiche includa disposizioni in merito. Se non sei in grado di guadagnare entrate, la giusta politica può sostituire quel reddito perso mentre la crisi è risolta.

I principali tipi di assicurazione sulla cibersicurezza

Proprio come le polizze di assicurazione auto hanno spesso disposizioni diverse per qualsiasi cosa, dalla responsabilità di terzi alla protezione legale, attraverso dettagli più piccoli come la protezione dalle perdite chiave e la copertura di guasto, le polizze di sicurezza informatica hanno molti componenti.

In alcuni casi, sono disponibili varie protezioni come prodotti assicurativi separati o come componenti aggiuntivi per un prodotto centrale. Se sei responsabile dell'approvvigionamento di cyber insurance per un'azienda di grandi dimensioni, potresti scoprire di aver bisogno di diverse politiche per coprire tutti i rischi. Le piccole imprese possono scoprire che una polizza assicurativa sulla sicurezza informatica "tutto in uno" copre tutte le basi richieste. Come sempre, leggere tutte le scritte in piccolo è fondamentale.

Per aiutarti a comprendere alcune delle parti tipiche di una polizza assicurativa informatica, ecco alcune delle sezioni che vedrai in genere all'interno di questi prodotti. Come accennato, a volte potresti aver bisogno di più di una politica per coprire tutti i rischi che devi mitigare.

Contenzioso e copertura regolamentare

Questo tipo di copertura riguarda le conseguenze legali del recupero da un attacco informatico. Potrebbe includere il costo della difesa di uno o più casi giudiziari o il pagamento di un'ammenda a un regolatore governativo in caso di violazione dei dati.

La copertura della "risposta normativa" potrebbe essere parte di questo, o forse offerta separatamente. Questo copre costi aggiuntivi in ​​riferimento alle responsabilità normative della tua azienda. Ad esempio, potrebbe essere necessario intraprendere un'indagine forense per scoprire i dettagli di come è avvenuto un attacco informatico. La "protezione della privacy" si collega anche a questo, se diventa necessario per compensare i clienti per la perdita dei loro dati.

Gestione delle crisi / contenimento

Come indicato nella precedente sezione "violazioni dei dati", il contenimento delle crisi di solito implica che la compagnia assicurativa svolga un ruolo attivo nel recupero dopo le conseguenze di un attacco informatico. Può includere la gestione delle interazioni della tua azienda con i clienti scontenti o la stampa e la definizione di una strategia di comunicazione.

Questo tipo di copertura può offrire vantaggi oltre a quelli finanziari perché è improbabile che le aziende più piccole abbiano un team di comunicazione interno con esperienza nella gestione di tali eventi.

Costi di violazione / Copertura danni

La riparazione del danno arrecato dagli hacker può spesso costare una notevole quantità di denaro. Potrebbe essere necessario riparare o sostituire i sistemi, con conseguenti spese impreviste per le quali vorrai assicurarti.

Il costo per il recupero di una violazione potrebbe comprendere anche la messa a disposizione di determinati servizi per i clienti interessati. Tornando, ancora una volta, alla violazione su larga scala di Equifax, la società ha dovuto mettere a disposizione dei clienti interessati i servizi di monitoraggio del credito. Questo è abbastanza standard nelle situazioni in cui i dettagli personali (soprattutto finanziari) sono stati compromessi.

Copertura per estorsione

A nessuno piace pensare che a volte gli hacker riescano a cavarsela con i loro crimini fino al punto in cui vengono effettivamente pagati i loro riscatti desiderati! Tuttavia, i rapporti suggeriscono che persino l'FBI a volte raccomanda il pagamento di un riscatto in determinati scenari di hacking.

La copertura per estorsione è lì per finanziare il pagamento di un simile riscatto se la situazione lo richiede è il miglior modo di agire.

Responsabilità multimediale

Sebbene la copertura della responsabilità multimediale non abbia molto a che fare con gli scenari di hacking, è spesso inclusa o offerta come "bolt-on" alle polizze informatiche informatiche.

Questo tipo di copertura protegge la tua attività in situazioni in cui qualcuno viola accidentalmente il copyright, ad esempio utilizzando un'immagine protetta da copyright online per errore.

Come ottenere cyber-assicurato?

Trovare il giusto prodotto assicurativo per la sicurezza informatica può essere un processo coinvolto. Non è nemmeno uno da prendere alla leggera, poiché avere un'assicurazione che non finisce per pagare non è meglio che non avere alcuna assicurazione.

Prima di esaminare alcune opzioni, è importante sottolineare che le polizze assicurative e le leggi correlate possono variare in modo significativo da Paese a Paese. Nella ricerca di questo articolo, abbiamo esaminato principalmente i mercati assicurativi statunitensi e statunitensi, che hanno molte somiglianze, ma molti paesi hanno le loro peculiarità individuali.

Mentre una ricerca su Google di "cyber insurance" produrrà molti risultati immediati e la proposta allettante di "copertura istantanea", raramente è saggio semplicemente "trovare e acquistare". Come per tutte le assicurazioni, è essenziale assicurarsi che la compagnia assicurativa comprenda appieno la tua attività e preventivi di conseguenza. Idealmente, dovresti puntare a una polizza interamente sottoscritta da un assicuratore che comprenda la tua azienda, cosa fa e quali sono i tuoi probabili rischi informatici. Per coloro che non apprezzano la prospettiva di passare il tempo al telefono a rispondere alle domande, questa è forse una brutta notizia, ma anche una realtà inevitabile.

Un dettaglio particolare da accertare è quello di quali paesi si svolgono lavori. Ad esempio, una polizza di un assicuratore del Regno Unito può coprire solo il lavoro svolto nel Regno Unito, o forse in Europa. Se fai anche più affari globali, devi essere sicuro che l'assicuratore sia a conoscenza. Purtroppo, questo dettaglio spesso fa salire il prezzo!

Un broker assicurativo fidato può rivelarsi utile qui, a patto che l'enfasi sia sul "fidato!" Alcuni broker sono poco più che venditori che spingono i loro clienti verso le politiche che guadagnano loro più commissioni. Inoltre, la cyber insurance è un prodotto relativamente nuovo sul mercato, quindi non tutti i broker assicurativi "taglia unica" ne avranno una solida conoscenza.

Se stai acquistando un'assicurazione informatica per una grande azienda, è probabile che vorrai coinvolgere il tuo team legale e fare due diligence prima di iscriverti. Le aziende più piccole e le "bande one-man" dovranno accontentarsi della migliore combinazione possibile di supporto del broker, lettura dettagliata dei termini e delle condizioni della politica, confronti tra prodotti e porre molte domande pertinenti. Inutile dire che, se si desidera chiarire eventuali dettagli, spingere per ottenere le risposte per iscritto.

Come punto di partenza per imparare cosa cercare, ecco i dettagli delle tipiche polizze informatiche per le piccole e medie imprese di Hiscox nel Regno Unito e Hiscox negli Stati Uniti. Si prega di notare che queste non sono raccomandazioni, ma sono state semplicemente incluse qui in quanto sono esempi abbastanza chiari di cosa aspettarsi.

I rappresentanti di grandi aziende dovranno parlare direttamente con le compagnie assicurative o lavorare tramite un broker. Come accennato, un broker fidato è un vantaggio anche per una piccola impresa, purché non si limitino a falciare i prodotti per conto di una singola compagnia assicurativa.

Inoltre, non c'è nulla da dire che i prodotti di cyber insurance che compaiono su una ricerca di Google non valgono la carta su cui sono scritti. Fintanto che leggi la piccola stampa e selezioni un'azienda nota e di fiducia, potrebbero benissimo adattarsi al conto. Tuttavia, fai attenzione a non afferrare una politica per averne una. Le compagnie di assicurazione non hanno problemi a ricevere pagamenti di premi da nuovi clienti, tuttavia le domande sorgeranno al momento del reclamo. Ha molto più senso rispondere a quante più domande possibile prima di iscriversi a una politica.

Conclusione dell'assicurazione sulla sicurezza informatica

A volte, nella vita, è saggio essere un po 'paranoici. Quando si tratta di sicurezza informatica negli affari, è logico essere così. Ciò è particolarmente vero in un mondo in cui ci vengono costantemente mostrate statistiche che dimostrano che cose come phishing e ransomware stanno diventando sempre più un problema e non meno di uno.

ProPrivacy.com dispone di una vasta gamma di risorse disponibili per aiutarti a conoscere meglio la sicurezza informatica e proteggere la tua privacy online, dai controlli password alle informazioni dettagliate sul tipo di minacce alla privacy che devi cercare. Incoraggiamo attivamente tutti a rimanere al passo con gli ultimi sviluppi nel mondo della sicurezza informatica, perché possiamo essere sicuri che entro un anno da oggi, molti altri incidenti Equifax e in stile Yahoo avranno colpito i titoli dei giornali.

Se gestisci una piccola impresa e subisci un attacco informatico, probabilmente non raggiungerà le notizie nazionali, ma ciò non significa che non distruggerà la tua azienda, o almeno ti costerà caro in termini finanziari e di reputazione. La cyber insurance non ti protegge da ogni hacker opportunista, ma ti offre un po 'di tranquillità e un po' di supporto e backup finanziari nel caso in cui dovesse accadere il peggio.

Un recente rapporto della CNBC ha rivelato che l'87% dei proprietari di PMI "non ritiene di essere a rischio di un attacco di sicurezza informatica". Lo stesso rapporto mostra che 14 milioni di aziende statunitensi sono state violate negli ultimi 12 mesi. Questa è circa la metà delle piccole imprese del paese e lo stesso numero o più può aspettarsi il proprio turno nell'anno a venire. Qualunque sia il modo in cui lo guardi, è un sacco di proprietari di aziende che si stanno sgridando nel 2018 e oltre.

Tenendo presente ciò, ti lasciamo decidere se vale la pena investire nella cyber insurance.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me