Dopo l’assicurazione dell’auto, quella sulla vita e quella sulla casa, ora sembra che le compagnie assicurative si preparino a coprire eventi come un attacco informatico.

Sembra che alcune compagnie assicurative abbiano iniziato a pensare a questo tipo di rischio vedendo oramai gli innumerevoli casi di data breach ai danni anche di grosse aziende. Lo start di questo nuovo business passerà prima dalle aziende essendo quelle con il tasso più alto di rischio per poi proseguire, se il modello funziona, anche alle famiglie.

La notizia mi ha lasciato un po perplesso, cosa si va ad assicurare? La continuità del servizio o i dati da proteggere? Come si quantifica il risarcimento da un attacco informatico? Combatteremo veramente i criminali informatici con polizze assicurative?

Sembra un modello che proprio non sta in piedi, la percezione che un’azienda potrebbe avere dopo aver stipulato una polizza di questo tipo è quella di di essere al sicuro e fregarsene dei test di sicurezza e vivere felice grazie alla polizza. Niente di più sbagliato!

Sappiamo tutti che le assicurazioni non pagano mai quello che è il danno effettivo, anzi tendono proprio a non rimborsarti affatto cercando cavilli nel contratto. Questo tipo di logica applicata ad un data breach o qualsiasi altro attacco informatico, potrebbe essere disastrosa sia per i clienti che per l’azienda.

Online ho letto che alcune di queste compagnie in caso di furto di identità o di danno reputazionale mettono a disposizione degli esperti (magari sottopagati con contratti a progetto da 1000 al mese) che iniziano a inondare la rete con informazioni a difesa del proprio cliente. Tutto molto bello, ma attenzione, questo è un servizio e non un assicurazione, che si può avere anche utilizzando società già note per questo scopo. La differenza sostanziale è che la compagnia non può dare nessuna garanzia di quello che fa in merito ai servizi offerti, cosa che invece mi aspetto che dia. L’espertone di turno da 1000 euro al mese o anche quello da 10 mila potrebbe non arrivare al suo scopo, perché la maggior parte delle sue azioni vanno ad inficiare su altri servizi o siti che non è detto che possano sempre dare l’esito voluto.

Quindi in sintesi, la polizza include dei servizi che dovrebbero essere di contorno e non parte integrante perchè non garantiscono la certezza dei loro scopi, e se mi permettete questa cosa già stona un pochino. Se avessi avuto bisogno di una consulenza sulla mia brand reputation andavo da altre parti, ma un po di marketing per farti cadere in trappola non fa mai male.

Valutazioni

Ma se valuto il mio database oggi 20 milioni di euro e domani mi rubano metà del database, mi dai 10 milioni? Boh, forse, spero di si, almeno. Ma se con quei dati i criminali possono fare alla mia azienda danni ancora maggiori, chi li paga? Erano stati valutati? Ma se in realtà mi dossano e poi mi esfiltrano i dati dal db, mi paghi per il DDos subito o per l’esfiltrazione? O per entrambi? Dipende dalla polizza che ho fatto???

“Purtroppo la clausola 2 eslcude la clausola 23bis che non preventiva l’efficacia della clausola C2″…..

Quindi, in sostanza, ci ritroveremo a parlare con gli agenti della compagnia assicurativa dopo un data breach o un attacco che ti daranno un bel NO come risposta, ma nella maniera più bella e sorridente che tu abbia mai visto, infarcendoti la storiella tra articoli, commi e paragrafi della polizza stipulata che non prevedono questo particolare attacco. Rimarrete così senza rimborso e inizierete cause legali, quindi elargendo altro denaro, per avere la meglio.

Tutto al giusto prezzo

Un fattore molto importante, anzi IL fattore determinante, che ogni cliente vuole avere il prima possibile e sempre più basso del precedente o del concorrente. E’ Il prezzo. Quanto costa assicurare i dati o il patrimonio informatico della mia azienda ?

La politica del prezzo in azienda vince sempre, a differenza della realtà maschile qui vince chi ce lo ha più piccolo. Ma c’è sempre un costo da pagare alla fine, che molti sottovalutano. Come è ovvio del resto, decidere in base esclusivamente al prezzo mette su un altro piano la qualità di quello che sto acquistando. Non credo proprio che le cose cambino anche per questo argomento. Qui parliamo di polizze e quindi di articoli, paragrafi che richiedono una certa attenzione, perché se sbagli anche un solo termine, metti in gioco i dati della tua azienda. Per fare la giusta valutazione ti serve come minimo assoldare una squadra di esperti giuristi e informatici solo per leggere il contratto e valutarlo, sempre se non sei cosi fortunato da averli già tutti in casa.

Sento già le voci che dicono: Ma io un Penetration Test lo pago 10 mila euro*, la polizza costa 5 mila*. Chi me lo fa fare! E poi loro mi ridanno i soldi.

*prezzi inventati. In realtà un PT costa così…

Per certificare la violazione immagino che la compagnia assicurativa si doti di un team di esperti che verificano l’effettivo furto di dati e/o danni ai sistemi. Così come avviene per le automobili, dove un perito nominato dalla compagnia assicurativa viene a esaminare il danno sulla tua auto. Comparare però un perito con un analista forense o auditor, mi viene difficile. Non riesco a immaginare una situazione più conflittuosa, con gli esperti della compagnia da un lato e gli esperti assoldati o appartenenti alla società cliente dall’altro.

La realtà

La realtà è ben diversa, proprio pochi giorni fa un articolo su NetworkWorld titolava Cyber Insurance Reject Claim After BitPay Lost 1,8 Million in Phishing Attack. Il caso riguarda il CEO della BTC MediaDavid Bailey una media company che si occupa di Bitcoin, la quale era in trattativa con BitPay azienda che esegue transazioni in bitcoin, per l’acquisto di yBitcoin (una rivista del settore).

Un giorno il computer di David viene compromesso da un cyber criminale e con lui tutta la sua posta elettronica.

Criminale => Computer di David ed Email

Il criminale dopo aver studiato la situazione sul computer di David, invia una mail dal suo account al CFO di BitPay un certo Bryan Krohn invitandolo ad aprire un documento su Google. Ovviamente quel documento non ha fatto altro che rubare le credenziali dell’account di Bryan. 

Criminale => Computer di David ed Email => Posta elettronica di Bryan

Dopo essere entrato nella posta di Bryan il criminale informatico ha avuto il tempo di capire il tipo di business che Bryan aveva in atto e agì di conseguenza. Inviò una mail al CEO di BitPay Stephen Pair nel cui contenuto era presente un finto scambio di email tra Bryan e Second Market (unica azienda acquirente alla quale BitPay non richiedeva pagamenti anticipati) chiedendo il trasferimento di 1,000 bitcoin su un wallet specifico. Due ore dopo un ulteriore email con la richiesta di trasferimento di altri 1,000 bitcoin. La tecnica funzionò e le transazioni vennero eseguite.

Criminale => Computer di David ed Email => Posta elettronica di Bryan => Invio fake request to Stephen => Criminale + 2,000 bitcoin

Vedendo che la cosa stava funzionando molto bene, ci riprovò il giorno dopo chiedendo 3,000 bitcoin su un differente wallet. Così finalmente insospettito il CEO Stephen chiese spiegazioni a Bryan di questo invio anomalo che superava i soliti 1,000 o 2,000 bitcoin.

Il Criminale che aveva pieno accesso alla mail di Bryan, rispose per lui dando l’ok al trasferimento. (“Tutt’appost!”) così il Stephen trasferì altri 3,000 bitcoin.

Criminale => Computer di David ed Email => Posta elettronica di Bryan => Invio fake request to Stephen => Criminale + 2,000 bitcoin => Criminale request more bitcoin to Stephen => Criminale +3,000 bitcoin 

Stephen furbamente quando inviò l’email a Bryan per la conferma dell’invio dei 3,000 bitcoin mise in copia nascosta un dipendente di Second Market, che allarmato replicò all’email dicendo che Second Market non aveva mai acquistato 3,000 bitcoin.

Criminale WIN! + 1,8 Million of dollars $$$

Dopo essersi resi conto del fattaccio. BitPay che aveva perso 5,000 bitcoin si ricordò che aveva una polizza assicurativa in caso di cyberattacco e le chiese conto. Di tutta risposta la compagnia assicurativa rispose (enfatizzo):

Caro CEO, io non ti do proprio un bitcoin! Nel contratto c’è scritto che l’assicurazione copre il danno solo se questo è stato fatto da un utente Non autorizzato che ha effettuato un accesso fraudolento e abusato dei tuoi sistemi informatici. Voi vi siete scambiati delle email da utenti autorizzati. Che vuoi da me?   

Morale

Cyber insurances are a bit of a rip-off. Think to car insurance – if it is insured of theft, it doesn’t matter how the theft was executed. In cyber world, it seems it does matter.                                                 — Andreas Baumhof  CTO of ThreatMetrix

Non importa se hai una compagnia assicurativa che ti copre i rischi da cyberattacco, resta sempre aggiornato e proteggi i tuoi sistemi, sii proattivo, anticipa le intrusioni facendo cicli di test di sicurezza, mantieni patchati i sistemi il più possibile, fai formazione nella tua azienda, fai programmazione sicura, perché non conta con quale compagnia assicuri, ma come stai proteggendo i tuoi sistemi.