Il rischio cyber può essere paragonato a quello di una enorme catastrofe naturale, lo ha segnalato Lloyd’s – il mercato assicurativo mondiale per i rischi speciali – e Cyence – azienda leader nella modellazione ed analisi dei rischi cyber – che stima che un grande attacco alla sicurezza informatica a livello mondiale potrebbe provocare perdite economiche, come si vedrà, davvero molto importanti. E questo in un contesto generale dove sebbene la domanda di assicurazione cyber stia crescendo, la gran parte delle perdite non è coperta, lasciando così un gap assicurativo di decine di miliardi di dollari.
Lo studio dal titolo “Counting the cost: cyber exposure decoded”, in particolare, rivela il potenziale impatto economico di due scenari ipotetici: una violazione dolosa che blocchi l’operatività di un fornitore del servizio cloud (provocando appunto perdite per circa 53 miliardi di dollari) e, d’altra parte, attacchi a sistemi operativi dei computer utilizzati da un gran numero di aziende in tutto il mondo, che potrebbero causare perdite pari a 28,7 miliardi di dollari. Facendo un confronto, si ritiene che Sandy, il secondo ciclone tropicale più costoso della storia, abbia causato perdite economiche tra i 50 ed i 70 miliardi di dollari.
Cybercrime, i due scenari d’attacco ipotizzati
Il primo scenario delinea l’attacco a un fornitore di un servizio cloud: un gruppo sofisticato di “hacktivists” si propone di causare danni ai fornitori di servizi cloud e ai loro clienti per attirare l’attenzione sugli impatti ambientali provocati dalle aziende e dall’economia moderna. Il gruppo opera una modifica dolosa a un “hypervisor” che controlla l’infrastruttura cloud. Ciò causa il blocco dei server basati su cloud dei clienti, provocando l’interruzione generalizzata del servizio e dell’attività.
Il secondo descrive l’attacco alla vulnerabilità di massa; un’analista cyber accidentalmente dimentica sul treno la sua borsa che contiene una copia cartacea di un report su una vulnerabilità che interessa tutte le versioni di un sistema operativo in uso presso il 45% del mercato globale. Questo report viene venduto sul mercato nero della rete e acquistato da un numero indeterminato di criminali non identificati che sviluppano dei sistemi specifici e iniziano ad attaccare le aziende vulnerabili per ottenere guadagni finanziari.
Per quanto riguarda lo scenario relativo all’interruzione del servizio cloud descritto, le perdite economiche medie vanno dai 4,6 miliardi di dollari per un grande evento, fino a 53 miliardi di dollari per un avvenimento estremo. Si tratta di un valore medio per lo scenario e, a causa dell’incertezza riguardante possibili aggregazioni di perdite cyber, questa cifra potrebbe raggiungere i 121 miliardi di dollari o abbassarsi a 15 miliardi di dollari. Intanto, in media, le perdite assicurate si aggirano tra i 620 milioni di dollari per un grande sinistro fino a 8,1 miliardi per un evento estremo.
Per quanto riguarda lo scenario relativo alla vulnerabilità di un software di massa, le perdite in media si aggirano tra i 9,7 miliardi di dollari per un grande evento, fino a 28,7 miliardi per un avvenimento estremo. E le perdite assicurate medie vanno dai 762 milioni di dollari a 2,1 miliardi di dollari.
Queste cifre rappresentano i valori medi di perdite annuali simulate per eventi grandi ed estremi e tengono in considerazione tutte le spese dirette previste. Al contrario, impatti quali danni alla proprietà, lesioni fisiche, oltre a costi indiretti quali la perdita di clienti e il danno alla reputazione non sono presi in considerazione.
Le sfide riguardanti l’accumulo e la modellizzazione del rischio cyber risiedono nella mancanza di dati provenienti da fonti di informazione istituzionali. I dati relativi ai sinistri e agli incidenti degli anni passati spesso non sono pertinenti a causa della natura mutevole e volatile del rischio. E diversamente dai rischi fisici, il cyber ha processi di accumulo legati all’incremento dell’utilizzo delle reti internet e della tecnologia.
Questo il commento di Inga Beale, Ceo dei Lloyd’s: “questo Report offre una rappresentazione reale dell’entità dei danni che un attacco cyber potrebbe causare all’economia globale. Come le peggiori catastrofi naturali, gli eventi cyber possono provocare conseguenze gravi ad aziende ed economie, dar origine a sinistri multipli e aumentare considerevolmente il costo dei sinistri per gli assicuratori. I sottoscrittori devono considerare le coperture cyber in questo modo e assicurare che il calcolo dei premi tenga conto della reale minaccia cyber. Abbiamo presentato questi scenari per aiutare i sottoscrittori a comprendere meglio le esposizioni al rischio cyber così da migliorare la gestione di dette esposizioni relative al proprio portafoglio e la valutazione e quotazione dei rischi, oltre a definire limiti adeguati ed espandere con fiducia la propria attività in questo settore innovativo ed in via di rapido sviluppo”.