Pandemia ransomware: come gestire il cyber risk?

Una delle conseguenze della crisi innescata dal Covid19 è stato un altro tipo di pandemia, digitale. Come riporta AGCS in un recente studio, negli ultimi due anni il cyber risk ha visto un trend crescente, trainato soprattutto dai ransomware, gli attacchi malware che criptano dati e sistemi con richiesta di pagamento di un riscatto.

L’aumento della frequenza e della gravità degli episodi è determinato da vari fattori: il numero crescente di molteplici modelli di attacco come le campagne di doppia e tripla estorsione, un modello di business criminale definito "ransomware come servizio" e le criptovalute, la recente impennata delle richieste di riscatto e l'aumento degli attacchi alla supply chain.  

In questo contesto gli attori del comparto assicurativo devono supportare le aziende nel comprendere le proprie vulnerabilità, per rafforzare i controlli interni e le misure di difesa, e per individuare soluzioni efficaci di trasferimento dei rischi non altrimenti trattabili.

Come riporta AGCS, l’incremento delle esposizioni è testimoniato da più fonti, e a livello globale. Secondo Accenture l'attività di intrusione informatica a livello globale ha registrato un +125% nella prima metà del 2021 rispetto all'anno precedente. L’FBI riporta nello stesso periodo un aumento del 62% degli attacchi ransomware negli Stati Uniti. Questo andamento dei rischi cyber si rispecchia nell'esperienza dei sinistri di AGCS, che è stata coinvolta in oltre mille incidenti in questo ambito nel 2020, in forte aumento rispetto ai circa 80 del 2016 e con un +50% rispetto al 2019. In generale, le perdite derivanti da incidenti informatici esterni come ransomware o attacchi Distributed Denial of Service (DDoS) rappresentano la maggior parte di tutti i sinistri cyber analizzati da AGCS negli ultimi sei anni.

La crescente dipendenza dalla digitalizzazione, l'aumento del lavoro da remoto durante la pandemia e i vincoli di bilancio lato IT sono alcune delle ragioni per cui le vulnerabilità informatiche si sono intensificate, offrendo innumerevoli punti di accesso che i criminali possono sfruttare. La più ampia adozione di criptovalute come Bitcoin che permettono pagamenti anonimi è un altro fattore chiave nell'aumento degli incidenti.

Nel suo rapporto, AGCS identifica 5 trend nell’ambito del ransomware:

1. Lo sviluppo del " ransomware come servizio" ha reso più facile per i criminali effettuare gli attacchi. I gruppi di hacker come REvil e Darkside vendono o affittano i loro strumenti di hacking a terzi, gestendo questa attività illecita come un business commerciale, al punto da fornire addirittura una serie di servizi di supporto.  
2. Le tattiche di "doppia estorsione" sono in crescita. I criminali combinano la crittografia iniziale di dati o sistemi, o sempre più spesso anche i loro back-up, con una forma secondaria di estorsione, come la minaccia di divulgare dati sensibili o personali. In uno scenario di questo tipo, le aziende colpite devono gestire la possibilità sia di una grande interruzione delle attività sia di un evento di violazione dei dati, situazione che può aumentare significativamente il costo finale del danno. Gli incidenti di "tripla estorsione" possono combinare attacchi DDoS, crittografia dei file e furto di dati e non prendono di mira solo un'azienda, ma potenzialmente anche i suoi clienti e partner commerciali.  
3. Aumentano le vulnerabilità delle supply chain. Sono due le tipologie di attacchi principali: quelli che prendono di mira i fornitori di software/ servizi IT e li usano per diffondere il malware (per esempio, gli attacchi Kaseva o Solarwinds), e quelli che colpiscono le supply chain fisiche o le infrastrutture critiche, come quello che ha interessato Colonial Pipelin. È probabile che i fornitori di servizi diventino obiettivi primari, dato che spesso forniscono soluzioni software a centinaia o migliaia di aziende e quindi offrono ai criminali la possibilità di un maggiore guadagno.
4. Gli importi dei riscatti hanno subito un forte incremento negli ultimi 18 mesi. Secondo Palo Alto Networks  la richiesta media negli Stati Uniti è stata di 5,3 milioni di $ nella prima metà del 2021, con un aumento del 518% rispetto alla media del 2020; la richiesta più alta è stata di 50 milioni di $, contro i 30 milioni dell'anno precedente. L’importo medio pagato agli hacker è circa 10 volte inferiore alla domanda media, ma questa tendenza generale all'aumento è allarmante.
5. Il pagamento del riscatto è un argomento controverso. Le forze dell'ordine in genere consigliano di non pagare le richieste di estorsione per non incentivare ulteriormente gli attacchi. Anche quando un'azienda decide di pagare un riscatto, il danno potrebbe essere già stato fatto perché ripristinare i sistemi e consentire la ripresa dell’attività è un lavoro enorme, anche quando si hanno a disposizione le chiavi di decrittazione.

Quali sono i costi più importanti per le aziende che hanno subito un attacco ransomware? Dall’analisi dei sinistri di AGCS emerge che i costi di interruzione e ripristino dell'attività sono, insieme agli attacchi ransomware, gli elementi principali di un sinistro cyber. Essi rappresentano oltre il 50% del valore complessivo delle quasi 3.000 richieste di risarcimento del settore assicurativo per un valore di circa 750 milioni di € (885 milioni di $) degli ultimi 6 anni. Il costo totale medio del recupero e dei tempi di inattività - in media 23 giorni - di un attacco ransomware è più che raddoppiato nell'ultimo anno, passando da 761.106 $ a 1,85 milioni di $ nel 2021.

Secondo AGCS l’80% degli incidenti ransomware e le relative perdite potevano essere evitate seguendo delle buone pratiche di gestione del rischio. Patch regolari, autenticazione multi-fattore, sicurezza delle informazioni, corsi di formazione e pianificazione della risposta agli incidenti sono essenziali. Le coperture assicurative cyber poi si sono evolute per fornire servizi di risposta agli incidenti e tipicamente includono la disponibilità di un esperto in gestione della crisi, il supporto informatico forense e la consulenza legale. Ci sono poi coperture che includono la formazione sulla sicurezza informatica per i dipendenti e l'assistenza per lo sviluppo di un piano di gestione della crisi.