Riuscire a definire controlli periodici per ridurre la probabilità o la gravità di un evento ransomware con il rischio di interrompere le attività, è un punto al centro dell’attenzione degli assicuratori.
Implicazioni principali- I clienti hanno segnalato un miglioramento complessivo nell’implementazione dei controlli nel 2022 rispetto al 2021
- Le violazioni di dati ransomware sono diminuite del 16% dal terzo trimestre 2022 al quarto trimestre 2022, ma i dati del mercato assicurativo relativi all’informatica e ad errori ed omissioni (E&O) mostrano un aumento nel primo trimestre 2023.
- In tutte le regioni, il livello di Business Continuity Management (BCM) dei clienti è rimasto invariato tra il 2020 e il 2022 e si colloca ad un livello basilare.
Il rischio operativo, definito come il rischio di perdite causate da un’interruzione delle operazioni di un’organizzazione o dalle mancanze derivanti da persone, processi o tecnologie, è una delle principali preoccupazioni dei team di sicurezza globali e degli assicuratori. In questo contesto, il ransomware e le truffe di phishing continuano a rappresentare un rischio significativo. Mentre le violazioni di dati ransomware sono diminuite del 16% dal terzo trimestre 2022 al quarto trimestre 20221, i dati del mercato assicurativo cyber e Errors & Omissions (E&O) evidenziano che nel primo trimestre 2023 c’è stata un’impennata di ransomware con un aumento della frequenza del 49%.
Anche il phishing e lo spear phishing sono aumentati in modo significativo all’inizio del 2023, secondo il team di cybersicurezza di Aon. Queste tecniche oramai sofisticate rendono più facile per gli aggressori mascherarsi e più difficile per le vittime discernere tra ciò che è legittimo e illegittimo.
Le organizzazioni devono allora prepararsi ad affrontare lo scenario più critico. Ad esempio, cosa succede se la rete aziendale si blocca completamente? Come sarà sostenuta e mantenuta l’attività dell’azienda? L’azienda dispone di un modello di resilienza in grado di gestire questo processo? Come farà l’azienda a mantenere i clienti integri, anche a costo di perdere opportunità di business? Queste domande sono fondamentali nella pianificazione della continuità operativa (Business Continuity Planning – BCP) e nella gestione della continuità operativa (Business Continuity Management – BCM). I dati CyQu di Aon hanno rivelato che, in tutte le regioni, il livello di Business Continuity Management dei clienti è rimasto invariato tra il 2020 e il 2022 e si colloca a un livello base. È necessario invece concentrarsi sulla pianificazione di scenari di interruzioni operative. Se da un lato quindi è imperativo stratificare i controlli tecnici sull’azienda per prevenire il ransomware, dall’altro è altrettanto importante prepararsi alle interruzioni nelle operazioni aziendali.
Gli assicuratori e il mercato si aspettano sempre più questo livello di pianificazione del rischio operativo. Sebbene le condizioni di mercato per l’assicurazione in ambito cybersecurity e E&O si siano stabilizzate e la nuova capacità sostanziale unita alle sinistralità più basse abbiano contribuito a diminuire i tassi nel settore informatico e E&O all’inizio del 2023, il processo di sottoscrizione rimane rigoroso. Al centro dell’attenzione degli assicuratori ci sono i controlli critici per ridurre la probabilità o la gravità di un evento ransomware con il potenziale di interrompere le operazioni. Questi controlli prioritari includono la gestione degli accessi, la resilienza aziendale e la gestione della sicurezza dei dati.
Risultati dei dati sui Controlli supplementari per la segnalazione del rischio ramsonware: Report dei clienti di AonI clienti hanno segnalato un miglioramento aggregato nell’implementazione dei controlli fondamentali nel 2022 rispetto al 2021 per quanto riguarda i controlli prioritari da parte degli assicuratori. Negli Stati Uniti, i settori che hanno registrato i progressi più significativi nei controlli fondamentali di sicurezza IT sono stati l’edilizia (+10%), l’industria manifatturiera (+9%) e il settore finanziario e assicurativo (+7%). Per rimanere competitive a livello globale, le aziende manifatturiere si stanno orientando verso processi di IoT (Internet of Things) più digitalizzati e integrati, sia all’interno delle fabbriche che all’esterno delle loro Supply Chain,5 il che è correlato a questa dedizione alla maturità del rischio operativo. Il settore dell’edilizia è simile. Molte aziende hanno iniziato a utilizzare le tecnologie IoT per migliorare la sicurezza sul posto di lavoro e gestire i progressi. Questa digitalizzazione espande la superficie di attacco. I team del settore edile si sono anche spostati dai flussi di lavoro cartacei al cloud, introducendo nuove vulnerabilità e offrendo un’ottima opportunità per ransomware e truffe di phishing. Nell’area EMEA e nel Regno Unito, i dati del 2022 hanno mostrato che i settori manifatturiero ed edile sono meno sofisticati in termini di maturità dei controlli IT fondamentali, in particolare l’edilizia evidenzia mancanze in più della metà di questi controlli.
Le organizzazioni si sono concentrate sul rafforzamento dei controlli essenziali di backup nel 2022, con il 61% dei controlli implementati nel 2022 rispetto al 55% nel 2021. Tuttavia, guardando i dati in modo più dettagliato, si nota un divario. Quasi il 90% delle aziende negli Stati Uniti ha dichiarato di non archiviare i backup nel cloud, e il 70% non archivia i backup esternamente o non dispone di backup immutabili. La sicurezza dei backup rimane una delle principali preoccupazioni, e giustamente. Il ransomware si è evoluto per attaccare i backup stessi, mettendo i dati in maggior rischio. I backup sono fondamentali per le aziende che dipendono dalla sicurezza dei dati di cui sono responsabili: i backup infatti forniscono una copia pulita e recente dei dati che permette un recupero rapido e una protezione efficiente.
La resilienza aziendale ha continuato a rappresentare una delle principali preoccupazioni per i clienti nel 2022. Gli assicuratori sono passati da semplici domande standard, come ad esempio chiedere se l’organizzazione dispone di backup, a chiedere quanto si sia resilienti. Le aziende devono dimostrare che il processo aziendale può sostenere l’impatto di un attacco cyber. I clienti nei settori manifatturiero (67% rispetto al 59% nel 2021) e dell’edilizia (66% rispetto al 55% nel 2021) hanno registrato i miglioramenti più significativi nei controlli critici legati alla resilienza. Esaminando le differenze tenendo in considerazione le dimensioni dell’azienda, le piccole e medie imprese hanno segnalato una mancanza rilevante di controlli sulla resilienza aziendale più frequentemente rispetto alle aziende e alle società globali. Tuttavia, questa tendenza si è invertita per la sicurezza degli endpoint, dove gli strumenti di rilevamento e risposta non coprono tutti gli endpoint tecnologici delle aziende e delle multinazionali. Allarmante è il fatto che oltre la metà di tutte le organizzazioni intervistate ha segnalato la mancanza di simulazioni come parte della pianificazione della continuità aziendale, e più di un terzo ha segnalato una mancanza di pianificazione della risposta agli incidenti.
Comments