Presentazione coraggio e paganini sole 24 ore milano (20.10.15)

Post on 23-Feb-2017

506 views 0 download

Transcript of Presentazione coraggio e paganini sole 24 ore milano (20.10.15)

Cyber risk e assicurazioni

Avv. Giulio Coraggio - Partner - DLA Piper Studio Legale

Ing. Pierluigi Paganini - Chief Information Security Officer Bit4id

Annual Assicurazioni - Milano, 27 ottobre 2015

Un fenomeno di enormi dimensioni e un’opportunità per il settore assicurativo

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 2

There are two types of companies: those who have been hacked,

and those who don’t yet know they have been hackedJohn Chambers

Executive Chairman Cisco SystemsWorld Economic Forum 2015

3

Una singola falla può essere sfruttata per compromettere un sistema,

un’azienda, uno stato

• Sony Pictures Hack• J P Morgan Chase – informazioni relative

a 83 milioni di account compromesse• OPM hack – Compromessi dati di oltre

21 milioni di governativi• Kaspersky Lab Hackerata• Hacking Team - 400GB Dati Rubati

Siamo tutti potenziali obiettivi

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 3

• Il numero di attacchi informatici è in costante e rapido aumento.

• Livello degli attacchi è sempre più sofisticato.

• Internet of Things, mobile, Cloud stanno ampliando in maniera drammatica la nostra superficie di attacco.

• Piccole e medie imprese sono obiettivi privilegiati del crimine informatico.

• Critici aspetti di protezione delle infrastrutture critiche (i.e. Impianti energetici, sistemi telecomunicazione, sistemi bancari) Attacchi informatici: non chiediamoci se ci

colpiranno, ma quando!

Cosa sta accadendo nel cyber spazio?

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 4

5

Governi, Cyber criminali e hacktivist minacciano le nostre organizzazioni pubbliche e private

Quali attori nel cyber spazio?

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 5

World Economic Forum

• Il 2015 si differenzia nettamente dal passato per l'aumento dei rischi relativi alla componente tecnologica.

• Gli attacchi informatici sono classificati come eventi ad elevato impatto economico ed alta probabilità di occorrenza.

Attacchi informatici … eventi ad elevato rischio

The Global Risks Landscape 2015

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 6

• Rischio Tecnologico relativo ad attacchi informatici direttamente collegato a rischi di altra natura.

• Rischio Geopolitico (Interruzione funzioni critiche di governo, attacco terroristico)

• Rischio Economico (Crollo dei mercati e delle istituzioni finanziarie)

• Rischio Tecnologico (distruzione delle infrastrutture critiche)

Correlazione dei rischi

World Economic Forum

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 7

Costi in continua crescita

Nella stima dei costi relativi ad attacco informatico ai propri danni una azienda deve valutare una serie di fattori tra cui:•La perdita della proprietà intellettuale e di dati sensibili.•Costi di mancata opportunità, tra cui l’interruzione del servizio.•Danno all'immagine del marchio ed alla reputazione aziendale.•Sanzioni, risarcimenti ai clienti, o compensazioni contrattuali (per i ritardi, ecc.)•Costo di contromisure.•Costo per la mitigazione degli attacchi.•Perdita competitività.•Perdita di posti di lavoro.

Effetti di un attacco informatico

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 8

Costo della criminalità informatica di 750 miliardi di euro all'anno (Interpol). 150K posti di lavoro persi in Europa. Il 10% degli europei sono sicuri di aver subito frodi online. Una azienda su sei è stata vittima di un attacco informatico negli ultimi dodici mesi (Grant Thornton). Gli attacchi informatici sono costati alle imprese $ 315bn negli ultimi 12 mesi (International Business Report (IBR) Grant

Thornton). Rischio di attacchi informatici in rapida crescita; impatto sull’economia globale stimato in circa 445 miliardi di euro annui.

Le stime fornite sono la punta dell’iceberg

Una stima dei costi

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 9

Impatto economico del cybercrime

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 10

Costo per violazione di dati in crescita. In Italia abbiamo un costo per record di $146 nel

2015. Rischio di attacchi informatici è in rapida crescita,

l’impatto sull’economia globale è stimato in circa 445 miliardi di euro annui.

In Italia il settore finanziario è quello che subisce il maggior costo per record ($142)

Costi in continua crescita … e io pago2015 Cost of Data Breach Study: Global Analysis

(Ponemon Institute – IBM)

Aziende e violazioni dei dati

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 11

Azione nel cyber spazio … effetto sul contesto economico reale

• 1:07 p.m. L’account Twitter ufficiale della Associated Press viene hackerato.

• 1:07 p.m. Un Tweet annuncia due esplosioni alla Casa Bianca.

• 1:08 p.m. L’indice Dow Jones va in picchiata perdendo circa 150 punti, Prima di stabilizzarsi alle 1:10 p.m.

• Alle 1:13 p.m. la situazione ritorna normale

Tre minuti e un falso tweet hanno cancellato $136 bilioni di dollari in equity market value," (Bloomberg News' Nikolaj Gammeltoft).

Potenziali effetti – Case Study

23 Aprile 2013

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 12

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 13

Le società sono già protette tramite le loro polizze assicurative?

Il 52% dei CEO ritiene di avere una copertura assicurativa da cyber rischio…

Ma solo il 10% ha la copertura!!!

Limiti di polizze assicurative “tradizionali”

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 14

Quali danni possono essere causati?

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 15

Un cyber attacco è diverso dagli altri rischi…

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 16

Ha bisogno di un intervento immediato!

Il ruolo del legale in caso di attacco cyber…

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 17

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 18

Risposta ad un incidente

Telefonata alla hot line DLA Piper da parte dell’assicurato…

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 19

Cliente con fatturato annuo di EUR 30 miliardi, sito con 12.000 prodotti, 500 milioni di visitatori all’anno…

Perdita dei dati identificativi, di

fatturazione e di contatto dei clienti…

Timeline – risposta all’incidente

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 20

• 8.00 – 25 maggio • L’assicurato scopre la vulnerabilità del proprio sito• Perdita di dati da 20.000 client in 36 Paesi

• 18.45 – 26 maggio• L’assicurato chiama la hotline di DLA Piper attiva 7x7 – 365 giorni

all’anno• 20.00 – 26 maggio

• La prima conference call con il team di DLA Piper e il team di risk management dell’assicurato

• Viene concordato l’action plan• 12.00 – 27 maggio

• Conference call con il team legale e IT di DLA Piper team, il team di risk management dell’assicurato e il team esterno di IT forensic

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 21

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 22

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 23

Grazie!

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 24

Avv. Giulio Coraggio Partner – DLA Piper

giulio.coraggio@dlapiper.com

CyberTrak

Breach Incident ResponseData Protection

Laws of the World

Data Privacy ScoreBox

Ing. Pierluigi PaganiniChief Information Security Officer Bit4id

ppa@bit4id.com