Cyber Risk: 5 attacchi realmente successi. Ecco perché assicurarsi.

Aziende produttive, società di consulenza, enti no profit: sono questi i settori ad oggi più esposti al cyber risk. Le cause più frequenti? Al primo posto l’errore del dipendente.

Alla nuova famiglia di trojan bancari recentemente scoperta in Italia dal CERT (Computer Emergency Response Team), in grado di svuotare completamente il conto corrente, si aggiungono altri tipi di attacchi cyber che fanno letteralmente tremare i polsi a dirigenti, manager, liberi professionisti.

Le domande più frequenti che si pongono sono le seguenti:

  • Possiamo fidarci completamente del nostro responsabile IT?
  • Chi ha accesso ai locali IT?
  • Siamo sicuri che i cellulari dei nostri dipendenti siano adeguatamente protetti?
  • Quali dati possono essere utilizzati dai dipendenti, e quali no?
  • In caso di attacco cyber, chi gestisce il piano di emergenza?

5 recenti attacchi portati a segno.

Proponiamo nella carrellata qui di seguito 5 casi realmente successi. I sinistri, verificatisi sia in Europa che nel resto del mondo, sono costati cari ad aziende, organizzazioni no-profit, consulenti d’impresa.

1.Errore del dipendente. Danno: Eur 186.000

L’impiegato di una società di HR spedisce per errore un file contenente centinaia di dati personali di numerosi dipendenti e clienti. L’azienda é chiamata a rispondere di violazione della normativa della privacy.

Elenco dei danni e delle spese:

  1. costi di difesa nei confronti dell’Autorità Garante locale
  2. spese di notifica del sinistro a ciascuno dei soggetti presenti nell’elenco
  3. costi di difesa legale
  4. spese interne per la formazione dei dipendenti e di prevenzione.

È dall’interno dell’azienda che proviene la maggior parte di queste intrusioni, anche a causa di dipendenti infedeli. Con l’espressione “cyber risk ” infatti ci si riferisce sia ad incidenti di natura informatica e tecnologica che all’errore umano, sempre più frequente.

2.Collasso del sistema informatico. Danno: Eur 144.000

Il centro dati che ospita la pagina web di un importate azienda di e-commerce è letteralmente inondato di traffico da rallentare e spegnersi improvvisamente. Il sito internet dell’azienda è inaccessibile al pubblico per un periodo di 6 ore prima di tornare funzionante.

Elenco dei danni e delle spese:

  1. Spese per la riparazione del sistema informatico
  2. Costi per ripagare i fornitori rimasti privi di ordini
  3. perdita profitti durante il periodo di spegnimento della pagina web
  4. spese legali.

3.Errore del dipendente. Danno: Eur 50.000

L’impiegato di un’azienda produttrice di componentistica per l’automotive clicca su un link apparso per email sul proprio monitor. In un attimo tutte le informazioni vengono crittografate. La richiesta di riscatto, per ottenere la password e il recupero delle informazioni, è pari a 10.000,00 euro, da pagarsi in bitcoin in 48 ore.

Elenco dei danni e delle spese.

  1. costi di investigazione intorno alla effettiva veridicità della minaccia
  2. spese di consulenza legale
  3. costi per il ripristino del sistema informatico e formazione del personale.

Rimandiamo al punto 1: un semplice errore umano può costare carissimo all’impresa, anche in termini di clienti persi e reputazione danneggiata!

4.Violazione sistema IT. Danno: Eur 180.000

Il sistema di gestione di più di 2500 associati di un ente no-profit è violato da un attacco hacker. L’elenco contiene nomi, indirizzi emails, numeri di carta di identità e dati finanziari. Un tecnico IT, incaricato a risolvere l’improvviso rallentamento del funzionamento dei computers dell’organizzazione, scopre la presenza di utente non autorizzato al suo interno.

Elenco dei danni e delle spese:

  1. Spese di notificazione del furto digitale a ciascuno dei soci e creazione di un HUB on line per la gestione delle lamentele
  2. Costi di recupero della reputazione e credibilità nei confronti degli associati (su stampa, mail, sul web)
  3. Ripristino del sistema informatico
  4. Spese legali.

5.Estorsione. Danno: Eur 240.000

Il sistema informatico di un importante studio di consulenza fiscale e legale è hackerato. Le informazioni passate nelle mani dei malintenzionati riguardano: brevetti industriali, bozze intorno a fusioni societarie, lista delle parti offese in un’importante class action.

Lo Studio riceve poco dopo una richiesta di estorsione pari a 25.000,00 Euro. La compagnia assicuratrice, immediatamente coinvolta nel sinistro, assegna un proprio esperto per capire se la richiesta criminale sia fondata o meno.

Elenco dei danni e delle spese.

  1. Pagamento della richiesta di estorsione
  2. Spese legali per il contenimento dei danni reputazionali
  3. Costi per l’apertura di un call center e gestione delle richieste di risarcimento
  4. indennizzo di tutte le parti lese. 

Il computer più sicuro? È quello spento.

È questa la frase attribuita ad un esperto di sicurezza statunitense: il pc deve essere in primis scollegato da ogni presa elettrica e poi chiuso in cassaforte!

Un buon sistema IT, in grado di proteggere la nostra azienda da un attacco informatico, rappresenta di sicuro un ottimo investimento in termini di prevenzione. Tuttavia, visto che la sicurezza assoluta non esiste, si suggerisce di comprare una polizza cyber per la nostra azienda e attività professionale.

In sintesi, ecco alcune delle principali voci assicurate da questa assicurazione:

  1. danni patrimoniali di terzi (fornitori, clienti o partners, nei confronti dei quali siamo responsabili)
  2. danno reputazionale
  3. estorsione
  4. sanzioni derivanti dalla mancata osservazione degli obblighi di legge in materia di conservazione di dati sensibili
  5. danni da furto di informazioni confidenziali (vedi ad es. proprietà intellettuale)
  6. perdite di fatturato
  7. costi di investigazione e spese legali
  8. fermo di produzione e costi di ripristino del funzionamento del sistema informatico.

Conto salato anche per CFO, manager, amministratori.

In caso di danno, La Proprietà può decidere di rifarsi sul patrimonio personale dell’amministratore che non ha implementato le necessarie misure informatiche a protezione di hardware e software in azienda. Le ripercussioni dei danni cyber su chi ha in mano la gestione d’impresa sono molto serie e sono state trattate in questo mio articolo.

Send this to a friend