Ransomware, crescono i rischi – e anche i costi per assicurarsi

Lunedì 5 luglio un attacco ransomware, definito come il più grande mai sferrato finora, avrebbe colpito un numero di aziende compreso fra le 800 e le 1.500. In seguito all’attacco, una delle più importanti catene di supermercati svedese, Coop, è stata costretta chiudere 800 punti vendita. La violazione dei computer, messa a segno dal noto gruppo criminale REvil, si è accompagnata alle consuete pretese di riscatto. Solo se i criminali ricevono quanto richiesto i legittimi proprietari possono riprendere il controllo delle proprie reti informatiche ed evitare ulteriori danni economici. Colonial Pipeline, la cui rete di oleodotti Usa era stata bersagliata da un altro attacco ransomware lo scorso maggio, ha ammesso di aver versato di 4,3 milioni di dollari agli hacker che ne avevano paralizzate le attività. Ora, Colonial Pipeline si aspetta di incassare quella cifra dalla propria assicurazione sui rischi informatici. Si tratta di uno schema destinato a ripetersi e contro il quale le compagnie assicurative hanno già iniziato a cautelarsi.

Già a fine 2020 i premi assicurativi richiesti ad almeno metà delle imprese sono lievitati fra il 10 e il 30%, secondo un sondaggio citato dal Government Accountability Office statunitense riportato dal Washington Post. Nei casi più eclatanti, il prezzo di queste polizze sarebbe aumentato del 50%, secondo il fondatore della insurtech Coalition, Joshua Motta. Ancora prima dei grossi attacchi avvenuti quest’anno, infatti, le estorsioni informatiche stavano già dilagando. I riscatti versati ai criminali informatici nel 2020, aveva calcolato la società di ricerca Chainanalysis, sono aumentati del 341% a quota 412 milioni di dollari.

Le nuove misure difensive delle assicurazioni non riguardano solo i costi collegati alla protezione dal cyber risk. A cambiare, in molti casi, sono i requisiti di sicurezza informatica richiesti per vedersi riconosciuta la polizza. Fino a qualche tempo fa, le compagnie assicurative si accontentavano, per la massima parte, di sottoporre alle imprese questionari per l’accertamento della congruità delle misure di cyber sicurezza. Ora gli assicuratori sarebbero passati ad integrare queste dichiarazioni con analisi più approfondite, il cui obiettivo è verificare l’effettiva capacità di difesa degli assicurati. Anche quando la copertura viene accordata, i massimali si possono ridurre a seconda dei controlli cybersecurity messi in campo. Secondo quanto affermato al Wp da Adam Lantrip, responsabile cyber per il broker assicurativo CAC Specialty, tali massimali si sarebbero ridotti, per molte compagnie, da 10 a 5 milioni di dollari per i clienti di medie dimensioni.

Ransomware: le imprese assicurate sono il bersaglio preferito

Le compagnie assicurative hanno tutti i motivi per stringere le maglie: esse stesse sono diventate i bersagli dichiarati di alcuni fra i maggiori gruppi di criminali informatici. Lo scorso marzo un componente anonimo del gruppo REvil, responsabile del più recente attacco e di molti altri, aveva dichiarato che colpire le aziende assicurate “è uno dei bocconi più gustosi”. In un’intervista rilasciata all’analista Dmitry Smilyanets, della società di cybersicurezza Recorded Future, la fonte aveva aggiunto che la strategia consiste nell’hackerare “prima l’assicuratore, per ottenere la sua base di clientela e lavorare in modo mirato a partire da essa”.

DarkSide, l’organizzazione ritenuta responsabile dell’attacco agli oleodotti Colonial Pipeline, prima di criptare i sistemi nei quali si infiltra, andrebbe alla ricerca delle informazioni sulla copertura assicurativa del bersaglio per poi adeguare ad essa l’entità del riscatto.

Le motivazioni alla base di questa condotta sono sia etiche sia funzionali. In ultima istanza, estorcere soldi alle assicurazioni è ritenuto più rispettabile. Allo stesso tempo, l’impresa avrà meno reticenze nel pagare il riscatto richiesto, se è assicurata.

Il ruolo delle polizze nel loop delle estorsioni

Le stesse compagnie assicurative trovano, nella gran parte dei casi, più conveniente pagare la somma del riscatto ottenuto dai criminali, piuttosto che il risarcimento dei danni conseguenti al ripristino di una rete informatica compromessa.

Questo atteggiamento da parte delle assicurazioni ha attirato notevoli critiche, perché incoraggerebbe i gruppi criminali ad espandere le proprie attività, come effettivamente sta avvenendo. Finora, solo il ramo francese della compagnia AXA si è mosso in aperta controtendenza, annunciando che i riscatti richiesti in Francia non saranno più coperti dalle polizze sul cyber risk. Tale decisione resterà valida “finché le autorità francesi non avranno chiarito la propria posizione in merito al fatto che sia permesso o meno, per le assicurazioni, pagare i riscatti”, ha dichiarato AXA France, che però resta pronta a risarcire i danni correlati agli attacchi informatici.

Finché non sarà riempito questo vuoto normativo, non solo in Francia ma ovunque, la responsabilità di spezzare il circolo vizioso delle estorsioni ransomware ricadrà sulle scelte delle singole compagnie assicurative.