Quali possono essere le consequenze di un cyber attacco a livello mondiale? Se lo è chiesto uno dei gruppi assicurativi più importanti al mondo, i Lloyd’s, dandosi una risposta sicuramente allarmante: più del ciclone Sandy, il secondo ciclone tropicale più costoso della storia, che ha causato perdite economiche tra i 50 ed i 70 miliardi di dollari.
La ricerca dei Lloyd’s realizzata in collaborazione con Cyence - azienda leader nella modellazione ed analisi dei rischi cyber - ipotizza il potenziale impatto economico di due scenari ipotetici: una violazione dolosa che blocca l’operatività di un fornitore del servizio cloud e provoca perdite per circa 53 miliardi di dollari; attacchi a sistemi operativi dei computer utilizzati da un gran numero di aziende in tutto il mondo, che potrebbero causare perdite pari a 28,7 miliardi di dollari. Facendo un confronto, si ritiene che Sandy, il secondo ciclone tropicale più costoso della storia, abbia causato perdite economiche tra i 50 ed i 70 miliardi di dollari.
Non solo, dai risultati della ricerca emerge anche che sebbene la domanda di assicurazione contro i rischi cyber stia crescendo, gran parte dei possibili danni che questi attachi potrebbero causare al momento non è coperta, lasciando così un gap assicurativo valuitatgo in decine di miliardi di dollari.
Questo è quanto ha dichiarato Inga Beale, CEO dei Lloyd’s: «Questo Report offre una rappresentazione reale dell’entità dei danni che un attacco cyber potrebbe causare all’economia globale. Come le peggiori catastrofi naturali, gli eventi cyber possono provocare conseguenze gravi ad aziende ed economie, dar origine a sinistri multipli ed aumentare considerevolmente il costo dei sinistri per gli assicuratori. I sottoscrittori devono considerare le coperture cyber in questo modo ed assicurare che il calcolo dei premi tenga conto della reale minaccia cyber.
Abbiamo presentato questi scenari per aiutare i sottoscrittori a comprendere meglio le esposizioni al rischio cyber così da migliorare la gestione di dette esposizioni relative al proprio portafoglio e la valutazione e quotazione dei rischi, oltre a definire limiti adeguati ed espandere con fiducia la propria attività in questo settore innovativo ed in via di rapido sviluppo.»
Per quanto riguarda lo scenario relativo all’interruzione del servizio cloud descritto nel Report, le perdite economiche medie vanno dai 4,6 miliardi di dollari per un grande evento, fino a 53 miliardi di dollari per un evento estremo. Si tratta di un valore medio per lo scenario e, a causa dell’incertezza riguardante possibili aggregazioni di perdite cyber, questa cifra potrebbe raggiungere persino i 121 miliardi di dollari o abbassarsi a 15 miliardi di dollari.
Trevor Maynard, Head of Innovation dei Lloyd’s, ha poi aggiunto: «I risultati di questa ricerca evidenziano come le perdite economiche legate ad eventi cyber abbiano il potenziale di provocare danni estremi come quelli causati dai maggiori uragani. Gli assicuratori potrebbero trarre beneficio dal considerare in questi termini la copertura cyber e indicare in modo esplicito l’indennità a copertura di catastrofi legate a eventi cyber collegati. Per raggiungere questo obiettivo, la raccolta di dati e la loro qualità sono un fattore molto importante, in particolar modo perché i rischi cyber sono in continua evoluzione.»
Ecco un esempio delle possibili ipotesi dscritte nello studio con le relative conseguenze.
Scenario 1: Attacco a un fornitore di un servizio cloud.
Un gruppo sofisticato di “hacktivists” si propone di causare danni ai fornitori di servizi cloud ed ai loro clienti per attirare l’attenzione sugli impatti ambientali provocati dalle aziende e dall’economia moderna. Il gruppo opera una modifica dolosa ad un “hypervisor” che controlla l’infrastruttura cloud. Ciò causa il blocco dei server basati su cloud dei clienti, provocando l’interruzione generalizzata del servizio e dell’attività.
Scenario 2: Attacco alla vulnerabilità di massa.
Un analista cyber accidentalmente dimentica sul treno la sua borsa che contiene una copia cartacea di un report su una vulnerabilità che interessa tutte le versioni di un sistema operativo in uso presso il 45% del mercato globale. Questo report viene venduto sul mercato nero della rete ed acquistato da un numero indeterminato di criminali non identificati che sviluppano dei sistemi specifici ed iniziano ad attaccare le aziende vulnerabili per ottenere guadagni finanziari.
Le cifre elencate in precedenza rappresentano i valori medi di perdite annuali simulate per eventi grandi ed estremi e tengono in considerazione tutte le spese dirette previste. Al contrario, impatti quali danni alla proprietà, lesioni fisiche, oltre a costi indiretti quali la perdita di clienti ed il danno alla reputazione non sono presi in considerazione.
Le perdite economiche potrebbero essere molto più basse o alte della media prevista negli scenari, a causa dell’incertezza circa l’aggregazione cyber. Per esempio le perdite medie nello scenario riguardante il blocco del servizio cloud sono pari a 53 miliardi di dollari per un evento estremo, ma potrebbero aumentare fino a 121 miliardi o abbassarsi fino a 15 miliardi, in base a fattori quali le diverse organizzazioni coinvolte e la durata del blocco del servizio cloud.
Le sfide riguardanti l’accumulo e la modellizzazione del rischio cyber risiedono nella mancanza di dati provenienti da fonti di informazione istituzionali. I dati relativi ai sinistri ed agli incidenti degli anni passati spesso non sono pertinenti a causa della natura mutevole e volatile del rischio. E diversamente dai rischi fisici, il cyber ha processi di accumulo legati all’incremento dell’utilizzo delle reti internet e della tecnologia.