UN’ANALISI DELLE CATEGORIE DI EVENTI CYBER BASATA SULLA TIPOLOGIA DI DANNO
“Analysis of Cyber Incident Categories Based on Losses”
Jay P. KESAN, Linfeng ZHANG
Il mercato delle assicurazioni cyber ha attraversato un lungo periodo di sviluppo, ma è da considerare ancora nella sua fase iniziale. A causa della mancanza di comprensione dei rischi informatici – che è un termine spesso vagamente definito – e dei loro impatti, molte aziende esitano ad acquistare prodotti di assicurazione cyber e hanno difficoltà a scegliere coperture che soddisfino le loro esigenze. Le indagini suggeriscono, inoltre, che gli assicuratori devono affrontare problemi specifici con il pricing e la sottoscrizione delle polizze informatiche.
Il paper si concentra sulla relazione tra le cause degli incidenti (o scenari) e le cause dirette dei danni (o pericoli), come perdite finanziarie e costi o responsabilità derivanti da azioni legali. Una migliore comprensione dei rischi può aiutare i potenziali assicurati a scegliere le coperture informatiche più adeguate e, allo stesso tempo, aiutare gli assicuratori a valutare i tipi di sinistri che originano dalle loro polizze.
A tale scopo, vengono utilizzati metodi di clustering per classificare gli scenari in base alla frequenza di occorrenza e alla struttura di dipendenza dei rischi correlati.
Si rileva che scenari cyber simili, spesso non adeguatamente distinti, possono portare a perdite molto differenti. Ad esempio, le violazioni di dati (“data breaches”) possono causare distinte tipologie di perdite a seconda dell'intento di chi effettua la violazione.
Inoltre, sebbene alcuni scenari come violazioni di dati ed errori IT comportino impatti simili, questi pericoli sono correlati in modo diverso. I risultati suggeriscono anche che gli incidenti informatici possono essere suddivisi in 6 categorie, il che può spiegare circa il 90% della casualità negli eventi.
Il contributo degli Autori nel campo dell'assicurazione informatica consiste nella proposta di un metodo pratico per distinguere e raggruppare gli incidenti informatici in base ai loro esiti, in modo che, negli studi futuri, i diversi tipi di incidenti possano essere definiti più chiaramente e i loro impatti possano essere meglio compresi sia dagli assicuratori sia dagli assicurati.