11/06/2018 SPECIALE REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI/QUINTA PARTE
La quinta e ultima parte dello speciale, realizzato dalla società di brokeraggio Golinucci, sul Regolamento europeo Gdpr, e le novità per gli intermediari assicurativi presenta alcuni esempi di eventi inclusi e le possibili soluzioni assicurative. La prima è visibile a questo link, www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-dati, la seconda a www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiseconda-parte, la terza a www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiterza-parte, la quarta a
www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiquarta-parte
La conformità al Gdpr in materia di protezione dei dati, oltre a essere un obbligo di legge dal 25 maggio 2018 nei 28 paesi dell’Unione europea, è la principale soluzione di Risk management che ogni azienda e intermediario assicurativo possono adottare per contenere i rischi di Data breach (violazione dati) e Cyber security.
La polizza Cyber risk descritta nello speciale del 30/05 scorso (www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiquarta-parte), è l’ulteriore protezione dai danni che vanno dall’interruzione di attività, alla richiesta di terzi per violazione privacy o trasferimento di fondi, come descritto in seguito negli esempi.
Esempi di sinistri inclusi nella polizza cyber risk.
Estorsione: gli aggressori utilizzano la minaccia di un cyber attack o quella di esporre o distruggere i dati che hanno già compromesso, per estorcere denaro dalla vittima; questa forma di attacco, conosciuto come “ransomware”, è stata una delle forme a più rapida crescita della criminalità informatica negli ultimi anni. Ora le imprese hanno ora una dipendenza incredibilmente elevata sui loro sistemi digitali, e i criminali lo sanno. Danneggiando o minacciando di danneggiare i beni digitali di un'azienda, gli aggressori sanno che possono estorcere denaro alle loro vittime che potrebbero preferire di pagare un riscatto, piuttosto che vedere la loro attività subire una battuta d'arresto.
Un dipendente di un’azienda ha cliccato su un link fraudolento presente in un’e-mail e un malware è stato scaricato sul server aziendale, crittando tutte le informazioni. Il riscatto richiesto per ricevere la chiave di decrittazione è stato pari a 3mila euro, da pagarsi in bitcoin entro le quarantotto ore successive. L’assicurato ha contattato il Servizio clienti della compagnia per richiedere assistenza.
Anche la richiesta in bitcoin spesso non è elevata, Europol e Fbi incoraggiano a non pagare i riscatti da cyber estorsione. Il pagamento del riscatto non solo permette alle attività criminali di continuare ma, evidenzia anche la mancanza all’interno di un’azienda di efficaci procedure di backup. I backup andrebbero archiviati in luoghi remoti e sconnessi dalla rete. Il sinistro è costato circa 25mila euro perché si son dovuti ripristinare i dati in quanto il backup era stato infetto.
Interruzione d’attività. Una società di autotrasporti alimentari ha subito un attacco ransomware dove i criminali informatici hanno criptato tutti i loro file di dati e hanno chiesto un riscatto di 9.500 euro in cambio della chiave di decrittazione. Come molte aziende moderne, la loro intera attività di logistica è stata eseguita tramite i sistemi informatici. Gli hacker avevano criptato ogni singolo dato delle operazioni: rotte, informazioni logistiche, contatti chiave, il magazzino e gli ordini, con la chiusura delle loro capacità di elaborazione delle carte di pagamento.
Anche se gli affari si sono fermati, l’azienda assicurata ha rifiutato di cedere e pagare il riscatto. Nel giro di un mese ha ricostituito i dati dagli archivi. Ciò che era peggio, tuttavia, era la perdita di reddito derivata dall’interruzione estesa dei loro sistemi e il conseguente impatto sulle operazioni. Per il mese in questione, l'assicurato aveva previsto che avrebbero completato 220mila transazioni di vendita, ma, a causa dell'interruzione del sistema, ne sono state elaborate circa 140mila. Con un valore medio di transazione di più di 11 euro, che è stata una perdita di entrate di quasi euro 880mila euro, pagato dall’impresa assicuratrice.
Studio legale. Uno studio legale di medie dimensioni ha subito un attacco da parte di hacker. Le informazioni sensibili di clienti erano potenzialmente a rischio, in particolare: l’obiettivo di acquisto di una società quotata in borsa, il brevetto di un’altra anch’essa quotata, il prospect d’investimento del cliente di una società di venture capital, e un numero significativo di elenchi contenenti le informazioni personali dei querelanti.
Successivamente, lo studio legale ha ricevuto una richiesta di riscatto pari a 25mila euro per non vendere le informazioni sul mercato nero. Lo studio legale ha contattato la centrale di assistenza dell’impresa assicuratrice che ha nominato un investigatore esperto di computer e un consulente per affrontare l’incidente. I costi complessivi del sinistro sono stati di oltre 250mila euro, tra spese di difesa e di transazione con i querelanti pagamento del riscatto, consulenza informatica, investigazione e consulenza legale.
Errore umano. Sbagliare a inviare un’e-mail avviene molto più spesso di quanto si pensi, ma può essere molto costoso. Per esempio un dipendente ha erroneamente allegato in un’e-mail il file sbagliato, contenente dati personali e particolari di clienti, che hanno quindi subìto un “furto di identità”. Una volta avvisati di questo – come imposto dal Gdpr - hanno richiesto un risarcimento. Il sinistro è costato circa 50mila euro di spese legali in seguito al procedimento da parte dell’autorità di vigilanza e circa 3.500 euro di risarcimento per ogni reclamante.
L’offerta della società di brokeraggio Golinucci. La società di brokeraggio Golinucci ha messo a punto tre offerte di consulenza per la conformità al Gdpr per gli intermediari assicurativi, inclusive di:
1) nuova modulistica, privacy policy e disciplinari per incaricati, dipendenti e data processor;
2) gestione dei dati, con attività svolta in outsourcing dalla Golinucci;
3) copertura assicurativa Cyber risk;
Al costo annuo di 300, 500 e 900 euro +IVA. Per informazioni contattare dpo@golinucci.it