Post on 23-Feb-2017
Cyber risk e assicurazioni
Avv. Giulio Coraggio - Partner - DLA Piper Studio Legale
Ing. Pierluigi Paganini - Chief Information Security Officer Bit4id
Annual Assicurazioni - Milano, 27 ottobre 2015
Un fenomeno di enormi dimensioni e un’opportunità per il settore assicurativo
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 2
There are two types of companies: those who have been hacked,
and those who don’t yet know they have been hackedJohn Chambers
Executive Chairman Cisco SystemsWorld Economic Forum 2015
3
Una singola falla può essere sfruttata per compromettere un sistema,
un’azienda, uno stato
• Sony Pictures Hack• J P Morgan Chase – informazioni relative
a 83 milioni di account compromesse• OPM hack – Compromessi dati di oltre
21 milioni di governativi• Kaspersky Lab Hackerata• Hacking Team - 400GB Dati Rubati
Siamo tutti potenziali obiettivi
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 3
• Il numero di attacchi informatici è in costante e rapido aumento.
• Livello degli attacchi è sempre più sofisticato.
• Internet of Things, mobile, Cloud stanno ampliando in maniera drammatica la nostra superficie di attacco.
• Piccole e medie imprese sono obiettivi privilegiati del crimine informatico.
• Critici aspetti di protezione delle infrastrutture critiche (i.e. Impianti energetici, sistemi telecomunicazione, sistemi bancari) Attacchi informatici: non chiediamoci se ci
colpiranno, ma quando!
Cosa sta accadendo nel cyber spazio?
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 4
5
Governi, Cyber criminali e hacktivist minacciano le nostre organizzazioni pubbliche e private
Quali attori nel cyber spazio?
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 5
World Economic Forum
• Il 2015 si differenzia nettamente dal passato per l'aumento dei rischi relativi alla componente tecnologica.
• Gli attacchi informatici sono classificati come eventi ad elevato impatto economico ed alta probabilità di occorrenza.
Attacchi informatici … eventi ad elevato rischio
The Global Risks Landscape 2015
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 6
• Rischio Tecnologico relativo ad attacchi informatici direttamente collegato a rischi di altra natura.
• Rischio Geopolitico (Interruzione funzioni critiche di governo, attacco terroristico)
• Rischio Economico (Crollo dei mercati e delle istituzioni finanziarie)
• Rischio Tecnologico (distruzione delle infrastrutture critiche)
Correlazione dei rischi
World Economic Forum
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 7
Costi in continua crescita
Nella stima dei costi relativi ad attacco informatico ai propri danni una azienda deve valutare una serie di fattori tra cui:•La perdita della proprietà intellettuale e di dati sensibili.•Costi di mancata opportunità, tra cui l’interruzione del servizio.•Danno all'immagine del marchio ed alla reputazione aziendale.•Sanzioni, risarcimenti ai clienti, o compensazioni contrattuali (per i ritardi, ecc.)•Costo di contromisure.•Costo per la mitigazione degli attacchi.•Perdita competitività.•Perdita di posti di lavoro.
Effetti di un attacco informatico
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 8
Costo della criminalità informatica di 750 miliardi di euro all'anno (Interpol). 150K posti di lavoro persi in Europa. Il 10% degli europei sono sicuri di aver subito frodi online. Una azienda su sei è stata vittima di un attacco informatico negli ultimi dodici mesi (Grant Thornton). Gli attacchi informatici sono costati alle imprese $ 315bn negli ultimi 12 mesi (International Business Report (IBR) Grant
Thornton). Rischio di attacchi informatici in rapida crescita; impatto sull’economia globale stimato in circa 445 miliardi di euro annui.
Le stime fornite sono la punta dell’iceberg
Una stima dei costi
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 9
Impatto economico del cybercrime
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 10
Costo per violazione di dati in crescita. In Italia abbiamo un costo per record di $146 nel
2015. Rischio di attacchi informatici è in rapida crescita,
l’impatto sull’economia globale è stimato in circa 445 miliardi di euro annui.
In Italia il settore finanziario è quello che subisce il maggior costo per record ($142)
Costi in continua crescita … e io pago2015 Cost of Data Breach Study: Global Analysis
(Ponemon Institute – IBM)
Aziende e violazioni dei dati
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 11
Azione nel cyber spazio … effetto sul contesto economico reale
• 1:07 p.m. L’account Twitter ufficiale della Associated Press viene hackerato.
• 1:07 p.m. Un Tweet annuncia due esplosioni alla Casa Bianca.
• 1:08 p.m. L’indice Dow Jones va in picchiata perdendo circa 150 punti, Prima di stabilizzarsi alle 1:10 p.m.
• Alle 1:13 p.m. la situazione ritorna normale
Tre minuti e un falso tweet hanno cancellato $136 bilioni di dollari in equity market value," (Bloomberg News' Nikolaj Gammeltoft).
Potenziali effetti – Case Study
23 Aprile 2013
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 12
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 13
Le società sono già protette tramite le loro polizze assicurative?
Il 52% dei CEO ritiene di avere una copertura assicurativa da cyber rischio…
Ma solo il 10% ha la copertura!!!
Limiti di polizze assicurative “tradizionali”
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 14
Quali danni possono essere causati?
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 15
Un cyber attacco è diverso dagli altri rischi…
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 16
Ha bisogno di un intervento immediato!
Il ruolo del legale in caso di attacco cyber…
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 17
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 18
Risposta ad un incidente
Telefonata alla hot line DLA Piper da parte dell’assicurato…
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 19
Cliente con fatturato annuo di EUR 30 miliardi, sito con 12.000 prodotti, 500 milioni di visitatori all’anno…
Perdita dei dati identificativi, di
fatturazione e di contatto dei clienti…
Timeline – risposta all’incidente
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 20
• 8.00 – 25 maggio • L’assicurato scopre la vulnerabilità del proprio sito• Perdita di dati da 20.000 client in 36 Paesi
• 18.45 – 26 maggio• L’assicurato chiama la hotline di DLA Piper attiva 7x7 – 365 giorni
all’anno• 20.00 – 26 maggio
• La prima conference call con il team di DLA Piper e il team di risk management dell’assicurato
• Viene concordato l’action plan• 12.00 – 27 maggio
• Conference call con il team legale e IT di DLA Piper team, il team di risk management dell’assicurato e il team esterno di IT forensic
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 21
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 22
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 23
Grazie!
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 24
Avv. Giulio Coraggio Partner – DLA Piper
giulio.coraggio@dlapiper.com
CyberTrak
Breach Incident ResponseData Protection
Laws of the World
Data Privacy ScoreBox
Ing. Pierluigi PaganiniChief Information Security Officer Bit4id
ppa@bit4id.com