mercoledì 29 agosto 2012

Assicurazioni e sicurezza informatica


L'ENISA, il 28 giugno, ha pubblicato lo studio "Incentives and barriers of the cyber insurance market in Europe". E' possibile scaricarlo dalla pagina ufficiale (io ne ho avuto notizia dalla newsletter del Clusit):
-
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/incentives-and-barriers-of-the-cyber-insurance-market-in-europe

Lo studio è molto interessante e provo di seguito a fornirne alcuni spunti.

I rischi di sicurezza informatica rispondono alle caratteristiche dei modelli di assicurazione e, pertanto, potrebbero essere oggetto di polizze.

Nonostante ciò, il mercato delle assicurazioni per la ciber-sicurezza in Europa non è maturo. I motivi individuati sono i seguenti:
- non ci sono sufficienti dati attuariali (ma questo non ha impedito di avviare il mercato delle assicurazioni sull'inquinamento delle piattaforme petrolifere, sul danno ai satelliti, sulle controversie di lavoro);
- le perdite potenziali sono incerte: anche perché i danni maggiori sono dovuti al valore di beni intangibili (le informazioni), per i quali non sono disponibili metodi di valutazione
- ci sono difficoltà a comprendere quali rischi assicurare (attacchi criminali, attacchi terroristici, rotture di apparecchiature, perdita di dati), a loro volta non sempre facili da distinguere in caso di incidente
- le innovazioni tecnologiche non permettono di fare previsioni basate su casi precedenti
- difficoltà a definire quale possa essere il limite superiore delle perdite da assicurare; a questo aspetto sono collegate le caratteristiche di "interdipendenza della sicurezza" (il livello di rischio non dipende solo dalle carattersitiche dell'assicurato, ma anche di altri quali partner, fornitori vari, eccetera) e di "rischi correlati" (un singolo evento può danneggiare più assicurati o essere talmente distruttivo da richiedere un risarcimento non conveniente per l'assicuratore)
- ridotta visibilità sull'efficacia delle misure di sicurezza (lo studio tratta anche delle certificazioni ISO/IEC 27001 e Common Criteria; io ritengo anche che ogni meccanismo è difficile da valutare);
- la percezione che i prodotti assicurativi ora disponibili sono sufficienti per i potenziali assicurati (tranne poi scoprire che non è così al momento della richiesta di risarcimento)
- il possibile "azzardo morale", per cui l'assicurato non realizza un buon livello di prevenzione perché si sente già coperto dall'assicurazione
- collegato a questa, c'è la possibilità che l'assicurato, a fronte di un incidente, investa in campagne di comunicazione per ridurre il danno consequenziale o secondario (di immagine), non occupandosi delle cause per cui si è verificato l'incidente e lasciando quindi aperte delle vulnerabilità
- la possibile "selezione avversa", ossia il fatto che la disponibilità di informazioni per calcolare il premio è assimetrica: il potenziale assicurato non fornisce tutti i dati a sua disposizione all'assicuratore (io aggiungo che forse neanche li ha)
- mancanza di meccanismi di ri-assicurazione, ossia della possibilità per l'assicuratore di assicurarsi a sua volta nel caso in cui riceva numerose richieste di risarcimento nello stesso momento (fatto che può capitare in occasione di certi attacchi o eventi naturali)

Si aggiunge che il Lloyds ha dichiarato che il mercato delle ciber-assicurazioni è in crescita (ma chissà quanto questa dichiarazione ha fini pubblicitari) e potrebbe avere una spinta dal futuro Regolamento UE sulla privacy che richiede di notificare ogni violazione alle autorità preposte.

Concludo scivolando sul personale: sul rapporto ho trovato che "la sicurezza quantitativa (uno dei pezzi fondamentali per le assicurazioni) è supportata da metodi di validità non chiara, secondo alcuni studi recenti" e cita un articolo del 2009. Io lo dico almeno dal 2002 che non è possibile quantificare la sicurezza: non è difficile arrivarci, basta aver fatto almeno un'analisi dei rischi. Purtroppo, anche recentemente, ho avuto alcune discussioni con chi sosteneva la possibilità di fare analisi quantitative.

Nessun commento:

Posta un commento