Con 850 attacchi noti analizzati, circa il 7% in più rispetto allo stesso periodo dello scorso anno, e la crescita costante del cybercrime, causa dell’83% degli attacchi, la prima metà del 2020 si guadagna la maglia del “semestre nero” della cybersecurity.
I dati scaturiti dal Rapporto “Sicurezza ICT 2020 di Clusit, Associazione Italiana per la Sicurezza Informatica: la criminalità informatica è in crescita, con un +26% nell’ultimo anno di attacchi per “phishing” e “frodi di ingegneria sociale” e con la pandemia ed il lavoro in smart working aumentano i pericoli per aziende e professionisti di essere vittime di attacchi hacker.
Di fronte a questo crescendo di crimini informatici, come possono le assicurazioni denominate “cyber risk” - che coprono 1 azienda su 7 in Italia - proteggere un’azienda anche dal Cybercrime?
Cyber crime: le varie tipologie assicurabili
- Trasferimento illecito di fondi
- Trasferimento illecito ed involontario di fondi - frodi di ingegneria sociale
- Uso non autorizzato risorse
- Telephone hacking fraud
- APPF - frode di pagamento autorizzata
- Crimine informatico commesso o agevolato da manager, dipendenti
Punti di attenzione nella polizza cyber
- Trasferimento illecito di fondi
- Frode di Ingegneria Sociale
- Phishing, Man in the middle, Crypto Jacking
Tante sono le offerte presenti sul mercato a copertura dei danni economici provocati a Terzi o subiti dalla propria rete informatica per rischi informatici, quali errori umani o attacchi di hackers.
A fronte di molte soluzioni di copertura per la responsabilità civile verso Terzi o per perdita di dati della propria rete informatica, poche le offerte per avere una piena tutela dal crimine informatico o “cyber crime”, garanzia necessaria per la protezione dai crescenti attacchi hacker.
L’assicurazione CYBER è necessaria perché le polizze assicurative tradizionali non sono state progettate per gestire le minacce del 21° secolo. Molte polizze assicurative del tipo “Property-First Party” sono state progettate per far fronte alle minacce ai beni fisici di un'azienda - i loro edifici, macchinari, attrezzature per ufficio e solo denaro tangibile.
Storicamente non esiste alcuna protezione offerta da queste polizze per la perdita, il furto o il danneggiamento di dati, sistemi e fondi elettronici. Tuttavia, al giorno d'oggi la maggior parte delle aziende fa molto più affidamento sulle proprie risorse digitali rispetto a quelle fisiche, il che rende necessario un nuovo tipo di polizza assicurativa.
Con il titolo “CyberCrime” una polizza va a garantire i danni economici derivanti dalla perdita di denaro provocata da un fatto fraudolento di terzi, che creano attacchi informatici con l’intento di un trasferimento illecito di fondi e/o dati, o attraverso tecniche di ingegneria sociale (“social engineering fraud”) inducono l’utente a fare pagamenti online non dovuti.
Ma bisogna porre attenzione con le polizze presenti sul mercato, che di norma coprono il cybercrime solo per il Trasferimento illecito di fondi, provocato da un hacker che si introduce nella rete dell’assicurato, attraverso accesso diretto e non autorizzato alla “home banking” aziendale, oppure tramite alterazione dei dati nel sistema informatico.
Perché un conto è il trasferimento illecito ed accidentale di Fondi, un altro è il trasferimento illecito ed involontario di fondi con il contributo dell'assicurato.
Infatti, solo alcune polizze Cyber coprono la “Frode di Ingegneria Sociale”, a tutela dell’assicurato da atti compiuti da una Falsa Identità, che agisce da sola o in collusione con altri, con l’intenzione di ingannare un Dipendente inducendolo a trasferire online, pagare o cedere informazioni riservate o Titoli di proprietà dell’Azienda Assicurata, con l’intento di privarla in modo permanente dall’utilizzo di tali Denaro o Titoli.
Frodi di ingegneria sociale
Ecco una serie di Frodi di Ingegneria sociale che si possono assicurare:
- tra le più note c’è il Phishing, dove i cyber criminali si spacciano per soggetti affidabili per indurre altri utenti a rivelare informazioni riservate. Questo di solito avviene tramite un collegamento presentato in un'e-mail, un SMS o un messaggio istantaneo.
- Con l’attacco Man-in-the-Middle, un criminale informatico intercetta conversazioni, transazioni e il trasferimento di dati tra la vittima e un servizio che sta cercando di utilizzare.
- Con il termine di Cryptojacking si intende una frode dove i criminali informatici sfruttano la potenza di calcolo dei computer o dei dispositivi mobile di ignari utenti per generare criptovaluta, e conseguentemente i danneggiati si ritrovano inaspettate e elevate bollette di energia elettrica a loro conto.
- La Bec (Business E-mail Compromise) conosciuta come “truffa del CEO” consiste in una falsa mail proveniente dall’account di posta elettronica di una figura apicale dell’azienda stessa (l’AD o il CEO); nella stessa e-mail si richiede al manager ignaro della truffa di fare urgentemente un bonifico a un determinato destinatario, ma l’IBAN bancario è in realtà del truffatore e così in realtà l’azienda ha subito un attacco hacker con trasferimento illecito di fondi.
- Con il termine APPF (Authorized Push Payment Fraud) si intende la frode in cui i truffatori ingannano le persone ad inviare loro un pagamento con falsi pretesti su un conto bancario controllato dal truffatore, anche copiando un sito di e-commerce con merce e prodotti identici a quelli del danneggiato. Poiché i pagamenti effettuati utilizzando schemi di pagamento in tempo reale sono irrevocabili, le vittime non possono annullare un pagamento una volta che si rendono conto di essere state truffate.
- THF (Telephone Hacking Fraud) è la frode che produce danni economici dalla violazione da parte degli hacker del sistema telefonico dell’assicurato, compreso il costo di chiamate non autorizzate o uso non autorizzato della larghezza di banda.
Solo il ricorso ad un consulente assicurativo specializzato in polizze Cyber permette all’azienda od al professionista di muoversi con competenza nelle maglie di queste polizze e scegliere fra le clausole di copertura contro le minacce derivanti da SEF (social engineering fraud).
Articolo a cura del Gruppo Cyber Security del Comitato Scientifico di ASSO DPO