Presentazione coraggio e paganini sole 24 ore milano (20.10.15)
1. Cyber risk e assicurazioni
Avv. Giulio Coraggio - Partner - DLA Piper Studio Legale
Ing. Pierluigi Paganini - Chief Information Security Officer Bit4id
Annual Assicurazioni - Milano, 27 ottobre 2015
Un fenomeno di enormi dimensioni e
un’opportunità per il settore assicurativo
2. Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 2
There are two types of companies:
those who have been hacked,
and those who don’t yet know they have been hacked
John Chambers
Executive Chairman Cisco Systems
World Economic Forum 2015
3. 3
Una singola falla può essere sfruttata
per compromettere un sistema,
un’azienda, uno stato
• Sony Pictures Hack
• J P Morgan Chase – informazioni relative
a 83 milioni di account compromesse
• OPM hack – Compromessi dati di oltre 21
milioni di governativi
• Kaspersky Lab Hackerata
• Hacking Team - 400GB Dati Rubati
Siamo tutti potenziali obiettivi
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 3
4. • Il numero di attacchi informatici è in
costante e rapido aumento.
• Livello degli attacchi è sempre più
sofisticato.
• Internet of Things, mobile, Cloud stanno
ampliando in maniera drammatica la
nostra superficie di attacco.
• Piccole e medie imprese sono obiettivi
privilegiati del crimine informatico.
• Critici aspetti di protezione delle
infrastrutture critiche (i.e. Impianti
energetici, sistemi telecomunicazione,
sistemi bancari)
Attacchi informatici: non chiediamoci se ci
colpiranno, ma quando!
Cosa sta accadendo nel cyber spazio?
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 4
5. 5
Governi, Cyber criminali e hacktivist minacciano le
nostre organizzazioni pubbliche e private
Quali attori nel cyber spazio?
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 5
6. World Economic Forum
• Il 2015 si differenzia
nettamente dal passato per
l'aumento dei rischi relativi alla
componente tecnologica.
• Gli attacchi informatici sono
classificati come eventi ad
elevato impatto economico ed
alta probabilità di occorrenza.
Attacchi informatici … eventi
ad elevato rischio
The Global Risks Landscape 2015
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 6
7. • Rischio Tecnologico relativo ad
attacchi informatici direttamente
collegato a rischi di altra natura.
• Rischio Geopolitico
(Interruzione funzioni critiche di
governo, attacco terroristico)
• Rischio Economico (Crollo dei
mercati e delle istituzioni
finanziarie)
• Rischio Tecnologico
(distruzione delle infrastrutture
critiche)
Correlazione dei rischi
World Economic Forum
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 7
8. Costi in continua crescita
Nella stima dei costi relativi ad attacco
informatico ai propri danni una azienda deve
valutare una serie di fattori tra cui:
•La perdita della proprietà intellettuale e di dati
sensibili.
•Costi di mancata opportunità, tra cui
l’interruzione del servizio.
•Danno all'immagine del marchio ed alla
reputazione aziendale.
•Sanzioni, risarcimenti ai clienti, o
compensazioni contrattuali (per i ritardi, ecc.)
•Costo di contromisure.
•Costo per la mitigazione degli attacchi.
•Perdita competitività.
•Perdita di posti di lavoro.
Effetti di un attacco informatico
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 8
9. Costo della criminalità informatica di 750 miliardi di euro all'anno (Interpol).
150K posti di lavoro persi in Europa.
Il 10% degli europei sono sicuri di aver subito frodi online.
Una azienda su sei è stata vittima di un attacco informatico negli ultimi dodici mesi (Grant
Thornton).
Gli attacchi informatici sono costati alle imprese $ 315bn negli ultimi 12 mesi (International
Business Report (IBR) Grant Thornton).
Rischio di attacchi informatici in rapida crescita; impatto sull’economia globale stimato in
circa 445 miliardi di euro annui.
Le stime fornite sono la punta
dell’iceberg
Una stima dei costi
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 9
10. Impatto economico del cybercrime
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 10
11. Costo per violazione di dati in crescita.
In Italia abbiamo un costo per record
di $146 nel 2015.
Rischio di attacchi informatici è in
rapida crescita, l’impatto sull’economia
globale è stimato in circa 445 miliardi
di euro annui.
In Italia il settore finanziario è quello
che subisce il maggior costo per
record ($142)
Costi in continua crescita …
e io pago2015 Cost of Data Breach Study: Global Analysis
(Ponemon Institute – IBM)
Aziende e violazioni dei dati
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 11
12. Azione nel cyber spazio … effetto sul
contesto economico reale
• 1:07 p.m. L’account Twitter ufficiale
della Associated Press viene
hackerato.
• 1:07 p.m. Un Tweet annuncia due
esplosioni alla Casa Bianca.
• 1:08 p.m. L’indice Dow Jones va in
picchiata perdendo circa 150 punti,
Prima di stabilizzarsi alle 1:10 p.m.
• Alle 1:13 p.m. la situazione ritorna
normale
Tre minuti e un falso tweet hanno cancellato $136 bilioni di dollari in
equity market value," (Bloomberg News' Nikolaj Gammeltoft).
Potenziali effetti – Case Study
23 Aprile 2013
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 12
13. Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 13
Le società sono già protette tramite le
loro polizze assicurative?
Il 52% dei CEO ritiene di avere una copertura
assicurativa da cyber rischio…
Ma solo il 10% ha la copertura!!!
14. Limiti di polizze assicurative “tradizionali”
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 14
15. Quali danni possono essere causati?
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 15
16. Un cyber attacco è diverso dagli altri rischi…
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 16
Ha bisogno di un
intervento immediato!
17. Il ruolo del legale in caso di attacco cyber…
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 17
19. Telefonata alla hot line DLA Piper da parte
dell’assicurato…
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 19
Cliente con fatturato annuo di EUR 30
miliardi, sito con 12.000 prodotti, 500
milioni di visitatori all’anno…
Perdita dei dati identificativi,
di fatturazione e di contatto
dei clienti…
20. Timeline – risposta all’incidente
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 20
• 8.00 – 25 maggio
• L’assicurato scopre la vulnerabilità del proprio sito
• Perdita di dati da 20.000 client in 36 Paesi
• 18.45 – 26 maggio
• L’assicurato chiama la hotline di DLA Piper attiva 7x7 – 365 giorni
all’anno
• 20.00 – 26 maggio
• La prima conference call con il team di DLA Piper e il team di risk
management dell’assicurato
• Viene concordato l’action plan
• 12.00 – 27 maggio
• Conference call con il team legale e IT di DLA Piper team, il team di
risk management dell’assicurato e il team esterno di IT forensic
24. Grazie!
Annual Assicurazioni, 28 ottobre 2015Cyber risk e assicurazioni 24
Avv. Giulio Coraggio
Partner – DLA Piper
giulio.coraggio@dlapiper.com
CyberTrak
Breach Incident Response
Data Protection
Laws of the World
Data Privacy
ScoreBox
Ing. Pierluigi Paganini
Chief Information Security Officer Bit4id
ppa@bit4id.com