Il rischio cyber è diventato una priorità per le aziende di ogni dimensione, dopo le ondate di attacchi ransomware degli ultimi anni.
Assicurare il rischio cyber, però, richiede competenze specialistiche per la valutazione delle misure in essere in azienda, per lavorare in primis sulla prevenzione e sul monitoraggio del rischio.
Ne abbiamo parlato con Massimiliano Rijllo, co-fondatore e CEO di Coinnect, società specializzata proprio in valutazione, mitigazione e risposta del rischio cyber per il settore assicurativo.
AG. Massimiliano, che cosa è Coinnect? Come nasce e da chi è stata fondata?
MR. Coinnect è una startup che opera nel settore Cyber Insurtech, fondata da me e da Emanuele Gagliano.
Ci conosciamo da molti anni, dai tempi dell’Università, in cui è nata per entrambi la passione della sicurezza informatica. Abbiamo avuto esperienze in grandi aziende internazionali, anche se in ambiti diversi.
Emanuele Gagliano più sullo sviluppo software, io più nello specifico della cyber security. Dopo avere lavorato in realtà come Vodafone Automotive, IBM, Trend Micro, ci siamo ritrovati dal punto di vista professionali per fondare questa azienda.
Coinnect si occupa appunto di offrire servizi e soluzioni in ambito Cyber Insurtech, proponendo un nuovo paradigma: mettere insieme servizi tecnici a supporto delle compagnie assicurative che affrontano la sfida della cyber insurance.
AG. Coinnect non si rivolge quindi al cliente finale, ma fornisce servizi alle compagnie assicurative. Ci spieghi meglio come funziona e che cosa offrite, in concreto?
MR. All’inizio del nostro percorso ci siamo accorti che c’era una forte domanda nel settore assicurativo per quanto riguarda i “sinistri informatici”, incidenti di sicurezza e attacchi informatici in cui le aziende colpite, coperte da polizza, si rivolgono alla compagnia per avere supporto.
Per i player del settore, si trattava di una nuova sfida rispetto ai sinistri tradizionali. C’era quindi bisogno di partner con la capacità di offrire supporto nella gestione di questi sinistri e per ridurne l’impatto sia per il cliente finale sia per la compagnia.
In una prima fase, quindi, abbiamo principalmente fatto “incident response”, supportando i clienti in caso di attacco, soprattutto ransomware.
E così ci siamo accorti che il mercato della cyber insurance si trovava, e si trova ancora, in una situazione di forte crescita della domanda da parte delle imprese e di impennata di attacchi e di sinistri, che rende complesso valutare in modo appropriato questo rischio.
E c’è l’esigenza di proporre ai clienti soluzioni che consentano di mitigare proattivamente il rischio informatico: l’obiettivo, dal punto di vista assicurativo, è ridurre il più possibile il numero di sinistri.
Col tempo abbiamo sviluppato alcune soluzioni, in particolare una piattaforma software che consente di valutare tecnicamente il rischio cyber e di mitigarlo proattivamente con dei servizi tecnici integrati, che proponiamo in collaborazione con il settore assicurativo.
E da qui ci siamo specializzati nell’ambito preciso del supporto a compagnie, broker e tutti coloro che lavorano nel mercato della cybersecurity con servizi a valore aggiunto per il cliente finale, ma che permettono di ridurre il rischio di sicurezza.
AG. C’è quindi una mancanza di consapevolezza, tra le imprese, sul rischio informatico?
MR. Sì, assolutamente, soprattutto tra le PMI. Le grandi aziende hanno sicuramente una maggiore sensibilità, con team interni dedicati, e sono quindi almeno più consapevoli. Non necessariamente più sicure, però: perché gestire la sicurezza informatica in una grande impresa non è banale.
Tornando alle PMI: manca specializzazione in ambito sicurezza. Le risorse che seguono l’IT fanno tante, davvero tante cose diverse e si preoccupano della gestione quotidiana. Difficilmente ci sono figure interne specializzate in cyber security.
C’è anche uno skill gap, una mancanza di competenze sul mercato, per cui si fatica comunque a trovare personale in questo ambito.
Gli eventi negativi degli ultimi anni, e parlo degli attacchi ransomware, hanno aumentato un po’ la consapevolezza. Venti anni fa il rischio cyber era ancora molto teorico, con pochi casi concreti di grandi sinistri.
Oggi incontriamo spesso persone con un’esperienza diretta di attacchi ransomware, con danni notevoli legati all’interruzione del business, alla perdita di informazioni sensibili etc. A volte parliamo di danni multimilionari.
AG. La criminalità informatica è ormai organizzata come una vera e propria industria. E il quadro è complicato dalla cosiddetta cyber guerra, con confini sempre più labili tra le azioni dei criminali e quelle guidate dagli Stati. Come evolverà il profilo delle minacce nel prossimo futuro?
MR. Inizio dalla prima considerazione: sì, la criminalità informatica è sempre più organizzata. Le attività dei singoli attivisti sono ormai un fenomeno trascurabile, rispetto a quelle di gruppi organizzati.
La maggioranza degli attacchi ha finalità economica, tipicamente in forma di ransomware: nella nostra esperienza, l’85% degli incidenti informatici ricade in questa categoria.
Il ransomware è un attacco informatico che consiste nella crittatura dei dati dell’azienda colpita, a cui segue una richiesta di riscatto per la restituzione dei dati.
A questo spesso si aggiunge la double extortion, in cui i criminali minacciano di pubblicare i dati, quindi oltre al furto si aggiunge la diffusione di elementi sensibili dell’azienda e questo rappresenta un ulteriore strumento di pressione per costringere l’azienda attaccata a pagare.
C’è un dibattito anche etico sul pagare o meno il riscatto. Evidentemente, la cosa migliore sarebbe non pagare. Ci sono però aziende che non hanno altre possibilità se non piegarsi al ricatto.
I gruppi che conducono queste operazioni sono molto organizzati, si riconoscono sotto nomi come fossero delle crew. Coinnect, con la sua piattaforma software, ne monitora circa 50-60 a livello internazionale.
Estraiamo dal dark web dati sulla loro attività ed elaboriamo degli indici statistici per comprendere il livello di minaccia a cui è esposto un potenziale prospect da assicurare. Il report di inizio 2023 è scaricabile dal nostro sito web e contiene statistiche molto dettagliate sugli attacchi ransomware a livello europeo e internazionale.
AG. Alcune aziende non hanno alternative, se non pagare. Un recente attacco ransomware ha riguardato una realtà del settore sanitario, con la divulgazione di informazioni molto sensibili su moltissimi cittadini. Ci sono settori più esposti e informazioni più preziose di altre?
MR. Il ransomware si sta evolvendo anche come tipo di target. Fino a qualche anno fa venivano colpite soprattutto le grandi aziende, oggi gli attacchi si stanno spostando verso le PMI.
Soprattutto le aziende manifatturiere, che possono sembrarci meno esposte perché più legate alla produzione e meno digitalizzate, sono in realtà particolarmente bersagliate.
Ci sono sicuramente dati più preziosi dal punto di vista del ransomware. I dati sanitari, che citavi poco fa, costituiscono un forte strumento di pressione: pensiamo all’impatto della pubblicazione dei dati sanitari dei propri pazienti.
Poi ci sono i dati finanziari. Recentemente abbiamo gestito alcuni casi che coinvolgevano proprio questa tipologia di informazione, estremamente confidenziale.
Bisogna anche interrogarsi su quanto questi attacchi siano legati solo a finalità economiche, e quanto invece siano collegati a questioni di geopolitica.
Ad esempio: quando vengono colpite pubbliche amministrazioni locali o centrali, sappiamo che per ragioni etiche e organizzative è davvero difficile che un riscatto possa essere pagato. E allora perché vengono attaccate? Forse per motivazioni di cyberwar.
E sappiamo che la maggior parte dei gruppi ransomware operano da Paesi definiti “ostili”: è chiaro che ci troviamo in uno spazio grigio e di non facile interpretazione, dove ciò che appare non necessariamente è.
AG. Abbiamo visto quanto siano importanti le competenze. Alle aziende del settore assicurativo “conviene” sempre cercarle esternamente, oppure stanno emergendo nuovi modelli ibridi, proprio dal mondo startup?
MR. Il cyber insurtech è estremamente dinamico, con novità quotidiane, in cui servono persone specializzate che seguono la tematica.
L’innovazione su aspetti così specifici, in un’azienda molto grande e strutturata, è una grande sfida. Nella cyber security, le realtà più innovative sono a volte startup di piccole dimensioni, molto snelle.
Quando un’azienda diventa troppo grande, può anche diventare più lenta nell’innovazione.
A livello internazionale, soprattutto negli Stati Uniti, è normale che i grandi gruppi assicurativi si affidino a terze parti specializzate. E stanno nascendo anche alcune realtà ibride, che uniscono la cyber insurance alle competenze tecniche, per offrire dei prodotti combinati integrati.
Queste realtà stanno mantenendo la velocità di innovazione tipica di una startup, anche quando si sono strutturate. Il paradigma che combina i servizi tecnici per la riduzione del rischio alla copertura assicurativa secondo noi sarà di successo, perché piace al mercato.
