presentazione coraggio e paganini sole 24 ore milano (20.10.15)

Cyber risk e assicurazioni

Avv. Giulio Coraggio - Partner - DLA Piper Studio Legale

Ing. Pierluigi Paganini - Chief Information Security Officer Bit4id

Annual Assicurazioni - Milano, 27 ottobre 2015

Un fenomeno di enormi dimensioni e un’opportunità per il settore assicurativo

Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 2

There are two types of companies: those who have been hacked,

and those who don’t yet know they have been hackedJohn Chambers

Executive Chairman Cisco SystemsWorld Economic Forum 2015

3

Una singola falla può essere sfruttata per compromettere un sistema,

un’azienda, uno stato

• Sony Pictures Hack• J P Morgan Chase – informazioni relative

a 83 milioni di account compromesse• OPM hack – Compromessi dati di oltre

21 milioni di governativi• Kaspersky Lab Hackerata• Hacking Team - 400GB Dati Rubati

Siamo tutti potenziali obiettivi


• Il numero di attacchi informatici è in costante e rapido aumento.

• Livello degli attacchi è sempre più sofisticato.

• Internet of Things, mobile, Cloud stanno ampliando in maniera drammatica la nostra superficie di attacco.

• Piccole e medie imprese sono obiettivi privilegiati del crimine informatico.

• Critici aspetti di protezione delle infrastrutture critiche (i.e. Impianti energetici, sistemi telecomunicazione, sistemi bancari) Attacchi informatici: non chiediamoci se ci

colpiranno, ma quando!

Cosa sta accadendo nel cyber spazio?


5

Governi, Cyber criminali e hacktivist minacciano le nostre organizzazioni pubbliche e private

Quali attori nel cyber spazio?


World Economic Forum

• Il 2015 si differenzia nettamente dal passato per l'aumento dei rischi relativi alla componente tecnologica.

• Gli attacchi informatici sono classificati come eventi ad elevato impatto economico ed alta probabilità di occorrenza.

Attacchi informatici … eventi ad elevato rischio

The Global Risks Landscape 2015


• Rischio Tecnologico relativo ad attacchi informatici direttamente collegato a rischi di altra natura.

• Rischio Geopolitico (Interruzione funzioni critiche di governo, attacco terroristico)

• Rischio Economico (Crollo dei mercati e delle istituzioni finanziarie)

• Rischio Tecnologico (distruzione delle infrastrutture critiche)

Correlazione dei rischi

World Economic Forum


Costi in continua crescita

Nella stima dei costi relativi ad attacco informatico ai propri danni una azienda deve valutare una serie di fattori tra cui:•La perdita della proprietà intellettuale e di dati sensibili.•Costi di mancata opportunità, tra cui l’interruzione del servizio.•Danno all'immagine del marchio ed alla reputazione aziendale.•Sanzioni, risarcimenti ai clienti, o compensazioni contrattuali (per i ritardi, ecc.)•Costo di contromisure.•Costo per la mitigazione degli attacchi.•Perdita competitività.•Perdita di posti di lavoro.

Effetti di un attacco informatico


Costo della criminalità informatica di 750 miliardi di euro all'anno (Interpol). 150K posti di lavoro persi in Europa. Il 10% degli europei sono sicuri di aver subito frodi online. Una azienda su sei è stata vittima di un attacco informatico negli ultimi dodici mesi (Grant Thornton). Gli attacchi informatici sono costati alle imprese $ 315bn negli ultimi 12 mesi (International Business Report (IBR) Grant

Thornton). Rischio di attacchi informatici in rapida crescita; impatto sull’economia globale stimato in circa 445 miliardi di euro annui.

Le stime fornite sono la punta dell’iceberg

Una stima dei costi


Impatto economico del cybercrime


Costo per violazione di dati in crescita. In Italia abbiamo un costo per record di $146 nel

2015. Rischio di attacchi informatici è in rapida crescita,

l’impatto sull’economia globale è stimato in circa 445 miliardi di euro annui.

In Italia il settore finanziario è quello che subisce il maggior costo per record ($142)

Costi in continua crescita … e io pago2015 Cost of Data Breach Study: Global Analysis

(Ponemon Institute – IBM)

Aziende e violazioni dei dati


Azione nel cyber spazio … effetto sul contesto economico reale

• 1:07 p.m. L’account Twitter ufficiale della Associated Press viene hackerato.

• 1:07 p.m. Un Tweet annuncia due esplosioni alla Casa Bianca.

• 1:08 p.m. L’indice Dow Jones va in picchiata perdendo circa 150 punti, Prima di stabilizzarsi alle 1:10 p.m.

• Alle 1:13 p.m. la situazione ritorna normale

Tre minuti e un falso tweet hanno cancellato $136 bilioni di dollari in equity market value," (Bloomberg News' Nikolaj Gammeltoft).

Potenziali effetti – Case Study

23 Aprile 2013



Le società sono già protette tramite le loro polizze assicurative?

Il 52% dei CEO ritiene di avere una copertura assicurativa da cyber rischio…

Ma solo il 10% ha la copertura!!!

Limiti di polizze assicurative “tradizionali”


Quali danni possono essere causati?


Un cyber attacco è diverso dagli altri rischi…


Ha bisogno di un intervento immediato!

Il ruolo del legale in caso di attacco cyber…



Risposta ad un incidente

Telefonata alla hot line DLA Piper da parte dell’assicurato…


Cliente con fatturato annuo di EUR 30 miliardi, sito con 12.000 prodotti, 500 milioni di visitatori all’anno…

Perdita dei dati identificativi, di

fatturazione e di contatto dei clienti…

Timeline – risposta all’incidente


• 8.00 – 25 maggio • L’assicurato scopre la vulnerabilità del proprio sito• Perdita di dati da 20.000 client in 36 Paesi

• 18.45 – 26 maggio• L’assicurato chiama la hotline di DLA Piper attiva 7x7 – 365 giorni

all’anno• 20.00 – 26 maggio

• La prima conference call con il team di DLA Piper e il team di risk management dell’assicurato

• Viene concordato l’action plan• 12.00 – 27 maggio

• Conference call con il team legale e IT di DLA Piper team, il team di risk management dell’assicurato e il team esterno di IT forensic

Grazie!


Avv. Giulio Coraggio Partner – DLA Piper

[email protected]

CyberTrak

Breach Incident ResponseData Protection

Laws of the World

Data Privacy ScoreBox

Ing. Pierluigi PaganiniChief Information Security Officer Bit4id

[email protected]