Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Risk, Internet of Things
e scenari di rischio cyber diffuso
Milano, 15 Marzo 2016
Alessia Venuto e Simone Radaelli
AIG Financial Lines Major Loss Adjuster Europe
Cesare Burei – docente Cyber Risk Cineas
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Risk
Ovvero
“Il mondo digitale si divide in due:
chi ha perso i dati e chi li perderà”
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
“Fra tutte le conquiste tecnologiche conseguite dall'uomo in epoca moderna,
il computer sembra l'invenzione più rivoluzionaria,
destinata com'è a modificare radicalmente la nostra esistenza.
I futuri ladri cercheranno di farla in barba ai computer.
Anzi, è quello che già fanno.
Rubando i codici o ricorrendo ai più vari imbrogli, di cui lo stupido computer non
si accorge, alcuni delinquenti riescono a far finire enormi somme di danaro
in mani non autorizzate.
Naturalmente, il computer può venire dotato di programmi sempre più
sofisticati con i quali ovviare alle manipolazioni che vengono via via scoperte,
ma ogni volta l'uomo si ingegnerà a inventare qualche trucco
ancora più elaborato.
E, con ogni probabilità, ci riuscirà.”
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Isaac Asimov
“Crimini e misfatti al computer”
1983
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
1965 Commercializzazione del “Programma 101 Olivetti”
1969 Nascita Arpanet
1974 standard TCP/IP, uso del nome “Internet”
1976 fondazione di Apple
1977 presentazione di Apple II
1973 -1977 diffusione delle BBS
8/1981 (1986 in Italia) Presentato il PC IBM con sistema operativo DOS
1/1984 Commercializzato il Macintosh 128K
11/1985 Presentato Windows 1.0
10/1992 Attivazione rete GSM in Italia
1991/1993 Rilascio Arpanet a livello civile, pubblicazione specifiche HTTP di Tim Berners Lee
1995 Presentato Windows 95
1998 Nascita di Vmware
2000 Rapida diffusione delle linee terrestri digitali (ISDN) e asicrone (ADSL)
2000 Nascita dei tablet PC con Windows XP
2004 nascita dello standard NFC
1/2007 Presentazione dell'iPhone, primo “smartphone”.
2007 investimento di Intel in VMware e sua diffusione
10/2008 Arriva Android con HTC Dream
1/2010 Presentazione iPad
2012 Inizio diffusione dei servizi in cloud
2014 introduzione smartwatch e smartband
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
2016 IoT
Estensione di internet al mondo
degli oggetti e dei luoghi concreti
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
2020 IoE?
Investimenti stimati
Da 40 a 70Mld di dollari.
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
2020 IoE?
Investimenti stimati
Da 40 a 70Mld di dollari.
All’anno.
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Device
apparecchio (meccanico od elettronico)
che svolge una determinata funzione
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Visualizing Akamai
http://goo.gl/SwBxCh
State of the Internet
https://goo.gl/AOpaUc
Internet Dashboard
https://goo.gl/Wol9Uu
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Risk
Sicurezza/Riservatezza
Integrità/Affidabilità
Disponibilità
Iso 27001/2 (2005-2007)
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Risk
Sicurezza/Riservatezza
Integrità/Affidabilità
Disponibilità
Interazione/Rischio correlato
Gestione dell’incidente
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
IL WEB.. non tutto è come sembra
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
…e la piccola vulnerabilità può trasformarsi in catastrofe!
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Chi sono gli attori?
EVGENIY MIKHAILOVICH BOGACHEV
FBI Reward: 3.000.000 USD
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Consulenza per analisi
Tempo uomo per disaster recovery
Reimputazione manuale dati
Costi di (tardiva) protezione
Costi per riparazione danni
COSTI PER CYBER CRIME/CYBER LOSS
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
DANNI PER CYBER CRIME/CYBER LOSS
Fermo attività - Mancate vendite
Perdita quote di mercato
Danno all’immagine aziendale
Spese legali di difesa
Illecito trasferimento di fondi
Sanzioni
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Unica soluzione?
No.
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Risk Overview
Claim Examples
Fattispecie Ricorrenti
Coperture assicurative
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Risk Overview
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claim Activity
Cause dei sinistri (dal NetDiligence Claims Study 2013)
Hacker - Esterne (21% degli eventi)
Furto/perdita dei PC (21% degli eventi)
Malware/virus (19% degli eventi)
Errore umano - mancanza di attenzione - impiegato negligente (75% degli eventi)
Tipi di dati maggiormente esposti (dal NetDiligence Claims Study 2013)
PII - informazioni personali identificabili (33% degli eventi)
PHI - informazioni sanitarie protette (27% degli eventi)
Informazioni su credit/debit cards (19% degli eventi)
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Aumento dei volumi di sinistri
Un sinistro alla fine del 2013, 10 nel 2014
EMEA
2014 due violazioni per "business day" riportate ad AIG
2013 una violazione riportata ogni "business day"
Dal 2011 al 2013 è aumentata del 154 %
USA
Frequenza: volumi sinistri
Alcuni dati: le 10 principali minacce contro la sicurezza e la privacy (FERMA) 2013
Malware (72%) Administrative errors (48%)
Incidents caused by third parties suppliers
(34%)
Malicious activity by employees
(31%)
Attacks against web (“DoS”)
(30%)
Theft or loss of mobile devices
(28%)
Internal hacker (26%)
Terrorism (25%)
Phishing attack (22%)
Infiltration using mobile devices
(20%)
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claims Activity
Settori colpiti (NetDiligence Claims Study 2013)
Sanità (29% degli
eventi)
Servizi finanziari
(15% degli eventi)
altri
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
COSTI MEDI
Gestione dell'evento USD 346.000 (da NetDiligence Claims Study 2013)
Costo per record
da USD 5.22 (da NetDiligence Claims Study 2013)
a USD 188 (Ponemon Cyber Study – 2013)
Rischi delle banche derivanti da un attacco informatico e danni conseguenti
Blocco o interruzione dei sistemi ICT
Danno diretto
Danno a terzi: violazione dei conti, mediante appropriazione credenziali clienti e accesso non autorizzato per scopi fraudolenti
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Obblighi di prevenzione delle banche
Adozione di sistemi di autenticazione al fine di evitare accessi non autorizzati
Adozione di sistemi di avviso alla clientela sulle transazioni effettuate
Monitoraggio di eventuali anomalie delle transazioni e relativo blocco delle stesse
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Fattispecie Ricorrenti
Fattispecie ricorrenti
Danneggiamento
Hacking/Cracking
Denial of service attack
Virus dissemination
Cyber terrorismo
Raccolta abusiva di dati
Phishing
Furto di identità
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Furto di identità
Condotta illecita attuata attraverso un occultamento della propria identità mediante l'utilizzo indebito di atti concernenti l'identità e il reddito di un altro soggetto.
Conseguenze:
Sottrazione di denaro (90% dei casi)
Danno alla reputazione
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Fattispecie ricorrenti
Phishing
Predisposizione di tecniche idonee a carpire fraudolentemente dati personali sensibili (user ID e password) al fine di accedere ai conti correnti di terzi
Viene inviato ad un numero elevato di utenti della rete un messaggio di posta elettronica contenente un link che rinvia ad una pagina web clone di quella dell'istituto di credito
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Fattispecie ricorrenti
Le fasi del phishing
Planning
Si decide chi colpire, quali tecniche usare, cosa sottrarre e
per quali scopi
Setup
Si configurano i meccanismi per sferrare l’attacco e si raccolgono i
contatti e le informazioni sulle vittime (per il tramite di siti che
contengano grandi quantità di dati personali)
Attack
Si instaura il contatto con le potenziali vittime mediante diversi strumenti informatici o telematici,
solitamente mediante email truffaldina
Collection – vengono sottratte e raccolte le varie credenziali di
accesso
Fraud
Si commerciano, vendono o si usano direttamente le credenziali
per scopi fraudolenti
Post attack
Si cancellano le tracce dell’apparato predisposto per il
phishing
Fattispecie ricorrenti
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
L'hacker altera il funzionamento di un server DNS portando più utenti a visitare inavvertitamente il sito fittizio, al fine di: installare virus sul pc dell'utente o raccogliere informazioni personali e finanziarie allo scopo di perpetrare furti di
identità
Installazione da parte dell'hacker sul computer della vittima di un virus in grado di reindirizzare il traffico verso un sito web fittizio
Modalità:
Manipolazione degli indirizzi di DNS (domain name server) con l'obiettivo di indirizzare la vittima verso un server web clone appositamente attrezzato per carpire i dati personali di un terzo
Pharming
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Fattispecie ricorrenti
Man in the browser (MITB)
Forma di minaccia informatica relativa a:
MITM: intercettazione attiva delle comunicazioni, al fine di controllare l'intera comunicazione
MITB: intercettazione attiva delle comunicazioni volta a danneggiare gli istituti di credito ed i loro clienti, mediante inoltro alla banca di richieste di operazioni solo apparentemente provenienti dal cliente
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Fattispecie ricorrenti
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claim Examples
AIG in EMEA ha visto in uguale numero
Difetti di sicurezza
Difetti di sicurezza che originano da DoS, hacking, malware
Attacchi da indirizzi IP russi e cinesi
Attacchi mirati da parte di hackers che violano i legacy systems
Difetti di sistema
Errori da parte di dipendenti
Difetti dei software
Normalmente consistenti in violazione di informazioni personali o societarie
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claim Examples
Uno studio legale invia per errore documentazione ad un terzo
Il terzo conferma per iscritto che avrebbe distrutto i dati ricevuti
La corrispondenza inviata conteneva limitate informazioni confidenziali
Il Cliente è stato informato e non ha avanzato una richiesta di risarcimento
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claim Examples
Assicurato : Studio Legale
Evento Errore umano Invio di documentazione
Sospettato un ex dipendente
IT director riceve una sua riproduzione con un cappio ed un link ad un’ URL che mostrava i dati dei clienti
Si trattava di dati non attuali
Coinvolta la polizia francese
L’evento appariva connesso ad un precedente incidente – problematiche relative a non disclosure/limite aggregato
Claim Examples
Assicurato : Società di viaggi
Evento Hacker / Extorsion Dicembre 2014
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
L’assicurato subisce un blocco del servizio
Riceve minaccia di far saltare il sistema
Incaricati esperti
Il colpevole non è stato identificato ma il servizio è stato ripristinato
Polizza ha coperto parzialmente le spese legali
BI coverage non impegnata perché il waiting time non è stato superato
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Evento Cyber Extortion Blocco del servizio
Claim Examples
Assicurato : società multinazionale
Claim Examples
Assicurato : banca multinazionale
Evento Impiegato disonesto Sottrazione 2M records
Assicurato è una banca multinazionale
Il senior financial analyst, della divisione prestiti, ha scaricato più di 2 milioni di records
Venduti 20.000 profili ogni settimana per USD 500 ciascuno
Notifica richiesta per più di 10 milioni di persone
42 class actions
Danno totale subito dall’ assicurato USD 40 milioni
La polizza ha coperto l'intero massimale pari a USD 20 milioni
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claim Examples
Assicurato : grosso rivenditore USA
Evento Malware Sottrazione records
Violazione del dicembre 2013
Danno scoperto dai servizi segreti
Malware scoperto su 43.750 POS
Su un periodo di 20 giorni, malware ha sottratto informazioni in merito alle carte di credito e debito (inclusi i PIN) di 40 milioni di clienti
E’ stato successivamente scoperto che gli hackers hanno violato il database, accedendo ad informazioni personali di ulteriori 70 milioni di clienti
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato subisce un denial of service attack da un indirizzo IP russo
Sito fuori uso per circa 1 ora
Dopo il ripristino un cliente effettuando il log-in vede i dettagli degli altri clienti e pubblica gli screen shot su Twitter
Dati rimossi dall’assicurato (a seguito di negoziazione con il cliente)
Indirizzo IP russo bloccato
Solo 2 records compromessi
No richieste
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Claim Examples
Assicurato : società multinazionale
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato: Istituto creditizio che offre prestiti a individui sulla base di affidabilita’ desunta da online data. Focalizzata su emerging markets
Evento 2014 : cinque emails inviate da un soggetto ignoto che minaccia di rendere pubbliche informazioni sui clienti
dell’istituto creditizio
Informazioni sottratte dai
server aziendali
data breach: 8 nazioni coinvolte
Analisi di quanto
successo
Richieste danni da terzi
Coordinamento interventi in diverse
nazioni
Verifica sistemi con
esperto
Individuazione obblighi di
notfica
Claim Examples
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato: “Multinational development company” che ha sviluppato un «Entertainment app» per bambini.
Evento
sui social media è stata riportata una bufala relativa all’asserito controllo della APP da parte di un soggetto con il fine di spiare i bambini attraverso le telecamere poste sui
telefoni - ottenere informazioni sugli indirizzi di casa e scuola
App Assicurata è stata accusata di
essere uno strumento che
agevolava azioni di pedofilia
Sostenuti costi relativi all’ingaggio di un “crisis
consultant
Costo inizialmente reclamato di Eur
650.000
Seguito negoziazioni il sinistro è stato definito in EUR 300,000
Claim Examples
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato: ente che fornisce assistenza in partnership anche con società governative USA . Assistenza medica e travel assistance
Evento 17 al 21 agosto :
Breach nei sistemi Attacco ripetuto il 29 settembre
Forensic support
Monitoring services
Hacker arrestato
Notifica agli interessati
Credit monitoring
ID theft insurance
286,000 records trattati
Gestisce 12.000
chiamate al giorno
Medical care, case management,
assistance a più di 500,000 militari
USA in 207 nazioni
government linked email addresses
Claim Examples
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
T. Corporation. Seconda azienda in USA di vendita al dettaglio (S&P Index 500). 40 milioni di clienti, 1800 stores
Gennaio 2014: T. Corp.annuncia sottrazione da parte di hackers di dati personali (inclusi nomi, indirizzi mail, numeri telefono) e informazioni su carte di credito di oltre 40 millioni di clienti.
Molte di queste informazioni su carte di credito sono state vendute dagli hackers al black market.
Class actions da parte dei clienti : nel Marzo 2015 T. Corp. ha definito la class action promossa da diversi clienti riconoscendo un importo di 10 MUSD
Azione da parte di azionisti contro D&Os e contro l’Azienda
Spesa di 61 MUSD per implementare anti-breach technology dopo l’attacco.
Perdita di profitto - 46 % nel trimestre successivo all’evento.
Claim Examples
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato: online «fashion retailing services» di abbigliamento e accessori con sede in UK
Denial of “service attack“/“network interruption“/“cyber extortion“
Il primo attacco ha causato una sospensione del servizio di alcune ore
Incaricati “extortion specialists“/“legal panel“/società di consulenza
I soggetti responsabili non sono stati individuati ma “network“ ripristinato
La sospensione del servizio ha superato il “Waiting hour period“ di 10 ore
Sinistro definito mediante il pagamento di GBP 152.000: pari ad una percentuale dei costi degli specialisti incaricati + parte dei costi per prevenire futuri attacchi
Claim Examples
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato: società con centrale telefonica per uso privato (c.d.Private Branch Xchange)
Nel 2015 la sede in UK ha subito un attacco hacker durante il week end di Pasqua
Gli hacker hanno effettuato una serie di telefonate nei confronti di numeri a pagamento “premium rate telephone numbers“
Il fornitore del servizio ha prontamente bloccato le telefonate effettuate da quella sede, informando l’assicurato
Ulteriori due attacchi hacker con medesime modalità e nei confronti del medesimo numero e relativo blocco delle telefonate
Effettuate circa 1.090 telefonate
Sinistro definito per l’importo di GBP 20.000 pari ai costi delle telefonate
Claim Examples
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Assicurato: W. società che gestisce catena di hotels e resorts (7400 hotels in 66 Nazioni)
2008 -2010 Hackers sottraggono dati di carte di credito di oltre 600.000 clienti
Claim Examples
2012 Azione da FTC per mancata adozione misure di sicurezza
2012 Azionisti richiedono formalmente alla società di intentare una causa di responsabilità contro gli Amministratori per violazioni in tema di sicurezza dei dati.
Il Board, dopo aver incaricato uno Studio legale e dopo diversi meetings, sulla base delle conclusioni, non ha promosso la domanda di responsabilità.
2014: Azionisti hanno avviato derivative action verso i membri del board che avevano respinto la richiesta.
2014, La Corte ha respinto l’azione rilevando che la decisione del board era stata emessa dopo adeguati accertamenti e indagini (incarico a legale esterno, diversi meetings per discutere delle vicenda, analisi IT).
Costi di difesa + Security upgrades costs + Consulente esterno nominato per rivedere IT security
W. ha chiesto ai propri providers impegni precisi in termini di standard
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Ospedale USA– Ransomware attack
2015 Hackers mandano offline computer e server dell’ospedale per una settimana
Claim Examples
Medici costretti a ricorrere a comunicazioni e gestione via carta
Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.
Richiesta di 40 bitcoins = circa 17.000USD La rete Bitcoin consente il possesso e il trasferimento anonimo delle monete
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Coperture assicurative
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Insurance - D&O
Responsabilità per risk management e sistemi di controllo interni
Assicurare la protezione dei dati aziendali e assicurare che le informazioni e i dati personali siano preservati
Casistiche di responsabilità degli Amministratori
Fonte:Cyber risks: notes on a D&O perspective; RPC,
Nov.2014
Verificare il rischio
aziendale (risk
assessment) relativo ai
dati
Sicurezza IT sia adeguata
Piano di risposta in
caso di data breach
Staff training Risk
assessment dei providers
Cyber risks insurance
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
In base a quanto previsto dal Codice sulla privacy, gli amministratori delle società devono individuare le modalità di trattamento e protezione dei dati personali.
Il collegio sindacale, nonché i singoli sindaci individualmente, devono vigilare sulla conformità dell'operato degli amministratori alle prescrizioni del Codice sulla privacy.
In caso di violazione della tutela sulla privacy, il soggetto leso può 1) rivolgersi al Garante della privacy proponendo apposito ricorso, reclamo o segnalazione, 2) può proporre ricorso direttamente al Tribunale ordinario, dimostrando l'effettiva esistenza del danno subito e del nesso di casualità
Amministratori e sindaci (in solido) possono essere chiamati al risarcimento del danno derivante dalla violazione della normativa sulla privacy
«Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.»
«E’ risarcibile anche il danno non patrimoniale»
Cyber Insurance - D&O
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Insurance / 1- Triggers di Polizza
1) Violazione Dati Personali (Breach of personal information) Accesso non autorizzato o la trasmissione non autorizzata di Dati Personali per i quali la Società Assicurata è responsabile
2) Difetti di Sicurezza (Security Failure) Intrusione per difetto di sicurezza del Sistema Informatico che causa distruzione, alterazione, corruzione, danneggiamento o cancellazione di Dati di Terzi archiviati su qualsiasi Sistema Informatico della Società Assicurata - Rivelazione di dati dovuta a furto o alla perdita di hardware da parte di un dipendente della Società Assicurata
3) Difetti di Sistema (System failure) Incluso atto od omissione negligente da parte di un dipendente (esclusa manutenzione o l’aggiornamento di un Servizio Cloud o dispositivi elettronici di Terzi)
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Insurance / Garanzie dirette
i.Response Advisor (Consulente di Reazione) per i Servizi Legali
ii) IT Services (Esperto Informatico) - Servizi di pronto intervento informatico
iii) Consulente di Crisi
iv) Ripristino dei Dati (Data Restoration)
v) Tutela della Reputazione (Reputational Protection)
vi) Costi di Comunicazione (Notification Costs)
vii) Monitoraggio del Profilo Creditizio e dell’Identità
Copertura delle spese relative a
B - Istruttoria Privacy
A - Gestione degli eventi
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Cyber Insurance /
Garanzie
Studio legale indicato in polizza – consulenza alla Società assicurata; coordina gli altri
soggetti, segue adempimenti in tema di obbligo di comunicazione aAutorità
Amministrative competenti, a soggetti interessati, monitora reclami presentati
i.) Response Advisor - Consulente di Reazione
A - Gestione degli eventi
ii.) Esperto Informatico - IT Services
accertare se verificatosi Difetto di Sicurezza o Difetto di Sistema, le modalità con cui si
è verificato e se è ancora in corso; rilevare se vi sia stata una Violazione di Dati
Personali o una Violazione di Dati Societari e stabilire l’entità dei Dati Personali o dei Dati
Societari eventualmente compromessi; contenere gli effetti dell’attacco, etc
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
iii.) Consulente di Crisi (Crisis consultant)
• Specialista interviene fornendo servizi di pubbliche relazioni o comunicazione
per mitigare o evitare i potenziali effetti negativi o i danni reputazionali di un Evento
di Risonanza Pubblica (es. formulazione e la gestione di una strategia di
comunicazione)
A - Gestione degli eventi
iv.) Ripristino dei dati (Data Restoration)
spese relative ai casi di Difetto di Sicurezza o Difetto di Sistema per ripristino o
ricreare dati non leggibili/corrotti, etc.
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
v.) Costi di comunicazione:
• spese relative per le comunicazioni ai Soggetti Interessati e/o a qualsiasi Autorità Amministrativa competente in caso Violazione di Dati Personali o Violazione di Dati Societari
vi.) Monitoraggio del Profilo Creditizio e dell’Identità:
• servizi di monitoraggio del profilo creditizio e del furto d’identità, volti a rilevare possibili usi impropri di Dati Personali in caso di Violazione di Dati Personali
A - Gestione degli eventi
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Garanzie B - Istruttoria Privacy:
Costi di Difesa relativi a Istruttorie di un’Autorità Amministrativa
Azione, indagine, richiesta o controllo formale o ufficiale da parte di un’Autorità
Amministrativa nei confronti di un Assicurato ai sensi della Legislazione
Privacy,
Escluse richieste o azioni che interessino l’intera industria e non relativa ad una sola
impresa
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Violazioni di Dati Personali o Violazioni di Dati Societari da parte dell’Assicurato
Difetti di Sicurezza
Omessa comunicazione ai Soggetti Interessati di una Violazione di Dati Personali in conformità agli obblighi della Legislazione Privacy.
Responsabilità della Società Assicurata per violazioni di obblighi quale Detentore dei Dati relativi al trattamento per conto della Società Assicurata dei Dati Personali e/o dei Dati Societari (di cui la Società Assicurata sia responsabile)
Copertura per danni a terzi e costi di difesa dell’Assicurato in caso di Richieste di Risarcimento da parte di Terzi riconducibili a
Garanzie C - Liability
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Decisioni, sentenze emesse contro l’Assicurato;
somme di denaro che l’Assicurato deve pagare in seguito a transazione
(autorizzata dalla Compagnia) in relazione ad una Richiesta di Risarcimento. Esclusi: risarcimenti che non hanno funzione compensativa
Danni coperti
Garanzie C - Liability
Costi di Difesa
gli onorari, i costi e le spese ragionevoli e necessari che l’Assicurato sostiene, con il
preventivo consenso scritto dell’Assicuratore, in relazione all’indagine, alla risposta,
alla difesa, in relazione ad una Richiesta di Risarcimento (o istruttoria di una Autorità
Amministrativa).
Esclusi: remunerazione dell’Assicurato, del Fornitore Esterno di Servizi o del Detentore dei Dati, il
costo del tempo da essi impiegato o altri costi o spese generali dell’Assicurato, del Fornitore Esterno di Servizi o
del Detentore dei Dati
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Garanzie aggiuntive NETWORK INTERRUPTION
Garanzie aggiuntive EXTORTION
Copertura in caso di interruzione dei sistemi informatici per difetto
di sicurezza
- Costi per ridurre la durata del blocco e spese per assicurare
continuità aziendale
- Lucro cessante (NB «Waiting hour period»)
Rimborso delle somme pagate dall’assicurato a soggetti terzi
per prevenire o porre fine a una minaccia alla sicurezza dei
sistemi informatici inclusi gli onorari professionali di consulenti
esterni incaricati di indagare sulla fondatezza della minaccia
Garanzie Opzionali
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2015 AIG Europe Limited - All rights reserved
Danni alla Persona o a Cose (perdita o
distruzione di beni materiali, diversi da
Dati).
Responsabilità Contrattuale
(es.qualsiasi garanzia, dichiarazione, impegno, clausola contrattuale o
responsabilità)
Condotte intenzionali
Sinistri riconducibili a guerra, invasione, eccetto terrorismo
Informatico
Guasto elettrico o meccanico delle
infrastrutture, diverse dal Sistema Informatico
della Società Assicurata
Cyber Insurance /Principali esclusioni
Workshop AIG - Insurance Academy - per AIG Europe Ltd a.a. 2016
Copyright © 2016 AIG Europe Limited - All rights reserved
American International Group, Inc. (AIG) é una compagnia di assicurazione leader mondiale con clienti in oltre 100 paesi e giurisdizioni. Le compagnie del
gruppo AIG servono clienti commerciali, istituzionali e individuali attraverso uno dei più estesi network assicurativi al mondo nel ramo Danni. Negli Stati
Uniti le compagnie del gruppo offrono inoltre servizi assicurativi nei rami Vita e Previdenza. Le azioni ordinarie di AIG sono quotate sulle Borse valori di
New York e di Tokyo.
Ulteriori informazioni su AIG sono disponibili su www.aig.com |
Youtube www.youtube.com/aig | Twitter @AIGemea |
LinkedIn http://www.linkedin.com/company/aig |
AIG è il nome commerciale delle imprese di assicurazione che fanno capo ad American International Group, Inc. E che operano in tutto il mondo nei rami
Danni, Vita e Previdenza e Assicurazione generale. Per ulteriori informazioni, visitate il nostro sito web all’indirizzo www.aig.com. I prodotti e i servizi
assicurativi sono emessi o prestati da società controllate o collegate di American International Group, Inc. In alcuni paesi, determinati prodotti e servizi
potrebbero non essere disponibili; la copertura assicurativa è soggetta ai termini e alle condizioni della polizza o del contratto di assicurazione. Prodotti e
servizi non assicurativi potranno essere forniti da soggetti terzi indipendenti. I prodotti assicurativi potranno essere distribuiti attraverso società collegate o
non collegate. In Europa la principale impresa che eroga le coperture assicurative è AIG Europe Limited.
Whilst every effort has been taken to ensure the accuracy of the information in these pages, we make no representation and/or warranty express or implied
that the financial information and/or information is correct, complete or up to date. The financial information and/or information is subject to change at any
time without notice. You should not take (or refrain from taking) any action in reliance on the financial information and or information and we will not be
liable for any loss or damage of any kind (including, without limitation, damage for loss of business or loss of profits) arising directly or indirectly as a result
of such action or any decision taken.
AIG is the marketing name for the worldwide property-casualty, life and retirement, and general insurance operations of American International Group, Inc.
Products and services are written or provided by subsidiaries or affiliates of American International Group, Inc. Not all products and services are available in
every jurisdiction, and insurance coverage is governed by actual policy language. Certain products and services may be provided by independent third
parties. Insurance products may be distributed through affiliated or unaffiliated entities. Certain property-casualty coverages may be provided by a surplus
lines insurer. Surplus lines insurers do not generally participate in state guaranty funds and insureds are therefore not protected by such funds.
AIG Europe Limited is authorised and regulated by the Financial Services Authority. Registered in England: Company Number 1486260. Registered
Address: The AIG Building, 58 Fenchurch Street, London EC3M 4AB. AI452168