CYBERCRIME: GUIDELINES DELL’ASSOCIAZIONE DEGLI ASSICURATORI DANNI USA IN MATERIA DI RANSOMWARE
“APCIA Announces Strong Cyber Extortion/Ransomware Guiding Principles” (PRESS RELEASE - 01.-July-2021)
APCIA – AMERICAN PROPERTY/CASUALTY INSURANCE ASSOCIATION
https://www.apci.org/
APCIA - Link alla PRESS RELEASE (01.07.2021)
All’inizio di luglio, il Board of Directors dell’Associazione delle imprese assicuratrici danni statunitensi (APCIA) ha pubblicato il testo dei “Cyber Extortion/Ransomware Guiding Principles”, destinati a favorire lo sviluppo di iniziative per affrontare il problema e contenerne le gravi conseguenze sul sistema economico e sociale.
Di seguito, il contenuto dei principali Guiding Principles:
la partnership quale strumento per aumentare la resilienza informatica.
Il settore assicurativo, la comunità imprenditoriale e il Governo hanno interessi comuni nel sostenere una maggiore sicurezza informatica e nel ridurre il fenomeno criminoso del ransomware. Servono azioni concertate per combatterlo, sostenere la cybersecurity, reagire agli attacchi e perseguire i responsabili;
l'assicurazione rappresenta un aspetto importante di un necessario, più ampio progetto per aumentare la resilienza informatica.
I cyber insurers hanno già provveduto a investire in tecnologie progettate per aiutare gli assicurati (del settore pubblico e privato) a proteggersi dalle minacce ransomware;
è necessario che il sistema pubblico e quello privato uniscano i loro sforzi tesi a identificare i principali driver degli incidenti ransomware e delle minacce informatiche.
La condivisione di tali attività può aumentare l’efficacia di misure tempestive di rilevamento, risposta e deterrenza;
le leggi, le regole e le linee guida devono essere praticabili, basate sul rischio, chiare, trasparenti e applicate in modo coerente.
I rischi informatici rappresentano una minaccia in continua evoluzione; i prodotti assicurativi sono progettati per gestire tale dinamicità e le esigenze della clientela. Tuttavia, sottolinea APCIA, una soluzione esclusivamente “insurance-focused” (che, ad esempio, modifichi i testi di polizza o il processo di sottoscrizione quale mezzo per gestire i rischi ransomware) svaluterebbe la cyber insurance e potrebbe “ingessare” l'innovazione e l'offerta di prodotto;
fatto salvo il rispetto delle normative vigenti, gli assicuratori dovrebbero essere autorizzati a fornire indennizzi per il pagamento del riscatto da parte degli assicurati in caso di estorsione informatica.
L'assicurazione – osserva APCIA - costituisce un'importante risorsa di recupero economico per le vittime di attacchi ransomware; i divieti di indennizzo presentano potenziali conseguenze indesiderate (ad esempio, il venir meno di una significativa risorsa per la gestione del rischio);
il ruolo dell'assicurazione deve essere bilanciato con l'obbligo, da parte delle aziende, di identificare e attuare misure di sicurezza risk-based, posto che l'assicurazione - da sola - non può essere considerata la soluzione al problema ransomware; dovrebbe invece essere riconosciuta come uno strumento utile per creare consapevolezza del rischio e incoraggiare l'adozione di solide misure di sicurezza a sostegno della resilienza informatica;
allo strumento assicurativo è necessario affiancare un approccio olistico, concentrato sui driver principali del comportamento criminale, utilizzando l’expertise proveniente da tutte le parti interessate alla risoluzione del problema.