gennaio 27, 2022
Uno spartiacque per la cyber-assicurazione (con un pagamento di 1,4 miliardi di dollari!)
Ciao ragazzi e ragazze!
È passato un po’ di tempo dalla mia ultima puntata di iNews, ossia, oh-oh cyber-news, ossia, cyber-racconti dal lato oscuro, quindi eccomi a ravvivare la serie, torno in pista con i punti salienti delle cyber-meraviglie di cui potreste non aver sentito parlare dalle vostre solite fonti di notizie…
In questa puntata, vi porto solo un articolo di iNews per voi, ma è abbastanza: un articolo in più avrebbe potuto annacquare il significato di questo (e non sarebbe appropriato essendoci ‘spartiacque’ nel titolo:).
Brevemente sulle iNews: dopo un lungo procedimento legale negli Stati Uniti, un tribunale si è pronunciato a favore della grande azienda farmaceutica Merck contro il suo assicuratore per un pagamento di 1,4 miliardi di dollari (!!) per coprire i danni che Merck ha subito per le mani sporche di NotPetya (alias ExPetr o semplicemente Petya) nel 2017.
Torniamo velocemente indietro al 2017…
Nel giugno di quell’anno, all’improvviso un worm crittografico particolarmente cattivo e tecnologicamente avanzato, NotPetya, è apparso e si è diffuso a macchia d’olio. Inizialmente ha preso di mira l’Ucraina, dove ha attaccato le vittime attraverso un popolare software di contabilità, colpendo banche, siti governativi, l’aeroporto di Kharkov, i sistemi di monitoraggio della centrale nucleare di Chernobyl (!!!), e così via. In seguito, l’epidemia si è diffusa in Russia, e poi in tutto il mondo. Molte fonti autorevoli ritengono che NotPetya sia stato il più distruttivo attacco informatico di sempre. Il che sembra giusto se si conta il numero di aziende attaccate (dozzine delle quali hanno perso centinaia di milioni di dollari ciascuna), mentre il danno complessivo all’economia mondiale è stato stimato in almeno 10 miliardi di dollari!
Una delle vittime più notevoli del cyberattacco globale è stato il gigante farmaceutico statunitense Merck. È stato riferito che 15.000 dei suoi computer sono stati colpiti entro 90 secondi (!) dall’inizio dell’infezione, mentre il suo centro dati di backup (che era collegato alla rete principale), è stato perso quasi istantaneamente.
Alla fine dell’attacco Merck aveva perso circa 30.000 workstation e 7.500 server. Ci sono voluti mesi per ripulire l’attacco, ed un costo di ~1,4 miliardi di dollari. Merck ha anche dovuto prendere in prestito vaccini da fonti esterne per una somma di 250 milioni di dollari a causa delle interruzioni causate alle sue operazioni di produzione.
Ok, sto andando fuori strada. Ora la parte più succosa…
La polizza assicurativa tra Merck e la compagnia assicurativa Ace American copriva tutti i rischi, compresa la perdita di dati legati all’uso del software. Questi rischi erano assicurati per 1,75 miliardi di dollari. Ace American, però, si è rifiutata di riconoscere l’attacco del ransomware-virus NotPetya come una perdita coperta e quindi non ha voluto pagare: ha fatto passare l’attacco come forza maggiore. Per sostenere ciò hanno detto che la Russia era da biasimare per la creazione di NotPetya, che, lo aveva usato come arma informatica nella guerra contro l’Ucraina, e l’assicuratore non era obbligato a risarcire l’assicurato per i danni causati da azioni militari. A sua volta, a sostegno, ha citato gli annunci fatti dai governi del Regno Unito e degli Stati Uniti, entrambi i quali avevano da tempo ufficialmente accusato la Russia per questo cyberattacco.
Nel 2019 Merck ha portato il suo assicuratore in tribunale, affermando che l’attacco non era l’azione ufficiale di uno stato nazionale e, come tale, non può essere considerato azione militare o conflitto armato. Gli avvocati di Merck hanno anche sottolineato come i cyberattacchi non fossero specificati nella sezione delle eccezioni di copertura assicurativa della polizza. Alla fine, la corte ha deciso in favore di Merck, notando che Ace American sapeva che i cyberattacchi possono essere riconosciuti come azioni militari, ma ha scelto di non specificarlo nella polizza assicurativa.
Penso che molte compagnie di assicurazione avranno seguito questo caso da vicino, e ora esamineranno le formulazioni delle loro politiche standard con la lente d’ingrandimento. Nel frattempo, dall’altro lato, sono sicuro che un sacco di vittime di innumerevoli incidenti informatici staranno allo stesso modo rivedendo i termini dei loro accordi assicurativi per vedere se anche a loro può essere dovuto un risarcimento sulla base di questo precedente di Merck. Tuttavia, dovrebbe essere chiaro sia agli assicurati che agli assicuratori che devono essere consapevoli dell’effetto a lungo termine: se le “regole del gioco” sono cambiate in modo troppo definito, aumenti significativi dei premi assicurativi sembrano inevitabili.
Mentre indosso il mio cappello da mago del cyberspazio, mi sembra che l’assicurazione contro i rischi informatici diventerà un business molto grande, quasi incredibile: una mappatura diretta della pratica assicurativa tradizionale sul cyberspazio senza garanzie (sui livelli di protezione contro i rischi informatici) dei fornitori di cybersecurity potrebbe danneggiare significativamente, se non irreparabilmente, l’intero settore assicurativo. Tuttavia, la maggior parte delle aziende di cybersecurity oggi garantiscono protezione contro, per esempio, solo il 50% dei ransomware, come NotPetya.
Il 50%? Ma è come?! Invece di sicurezza adeguata per un edificio, telecamere, guardie di sicurezza, ecc., avere semplicemente un cartello sopra la porta d’ingresso che dice: ‘i nemici non possono entrare’! Avete bisogno di una protezione al 100% o niente. Oh, e, contro il ransomware, solo una società fornisce il 100% di protezione. Indovinate quale…
Perciò, abbiamo una situazione in cui ci sono rischi di cyberattacco, e sono enormi, e questo significa che le aziende vogliono assicurare questi rischi insieme a tutti gli altri rischi. Allo stesso tempo, qualsiasi assicuratore normale e sobrio, vedendo quella fattura lì per 1,4 miliardi di dollari, farà del suo meglio per assicurarsi che i rischi informatici non siano specificati nelle loro polizze assicurative. Il che ci dà una situazione assolutamente rivoluzionaria: le compagnie di assicurazione non vogliono assicurare i rischi informatici, anche se i loro clienti vogliono fortemente l’assicurazione contro i rischi informatici.
Quindi cosa bisogna fare? Chiaramente, c’è bisogno di abbassare i rischi di attacchi all’infrastruttura digitale. Cioè, costruirla in modo tale che i segmenti più critici e vulnerabili siano massimamente immuni da attacchi esterni (e interni), mentre tutto il resto è protetto da più strati di sicurezza di resilienza garantita. Oh yeah.
Fantascienza? Non secondo me, ma questa è tutta un’altra storia.