Secondo gli specialisti di disaster recovery di Databarracks, le polizze assicurative cyber che pagano gli assicurati che subiscono un attacco ransomware, non fanno altro che finanziare i criminali informatici andando a generare un circolo vizioso che finisce per alimentare sempre nuovi attacchi. Databarracks sta cercando di convincere gli assicuratori ad approcciare in maniera diversa il problema, puntando alla riparazione dei danni subiti, invece di provvedere a pagare i riscatti.
L’amministratore delegato Peter Groucutt ha affermato che pagare un riscatto può essere una soluzione rapida e utile nell’immediato, ma è perdente sul lungo periodo perché non fa altro che riconoscere autorevolezza agli hacker, mentre l’obiettivo dovrebbe invece essere quello di scoraggiare le organizzazioni dall’idea che pagare il riscatto possa essere l’unica soluzione al problema. “La situazione dei ransomware non cambierà se lo status quo rimarrà immutato: in questa situazione gli unici vincitori sono i cyber criminali e le compagnie di assicurazioni. Infatti, gli hacker sono fiduciosi del successo dei loro metodi di attacco e ogni successo sarà il trampolino di una serie di ulteriori attacchi. Insomma, sarebbe meglio se le aziende scoraggiassero la strategia del pagamento dei riscatti. Quando un’impresa è oggetto di attacco ransomware, la sua unica preoccupazione è quella di recuperare il prima possibile i dati, in modo da ridurre al minimo i tempi di inattività e le perdite. Quando una compagnia esamina una singola richiesta di indennizzo ha lo stesso obiettivo: ridurre al minimo i tempi di inattività e la sua ulteriore esposizione a ulteriori indennizzi per business interruption. Con questa dinamica gli assicuratori consiglieranno e faciliteranno sempre il pagamento del riscatto richiesto come opzione dal costo più basso. Ciò significa che l’interesse personale individuale va a danneggiare la collettività. Le compagnie dovrebbero invece evitare il pagamento dei riscatti. Ciò può avvenire in due modi: attraverso una regolamentazione che impedisca questo tipo di pagamenti. In secondo luogo, il settore assicurativo dovrebbe decidere autonomamente di escludere l’opzione pagamento anche in assenza di intervento normativo.
Il cyber è ancora un mercato assicurativo relativamente immaturo, senza dati storici sulle perdite. Il rapido aumento di numero e del valore degli attacchi potrebbe spingere gli assicuratori a considerare questo segmento di business poso redditizio. Per affrontare il problema dei ransomware, Groucutt ha alcuni suggerimenti per gli assicuratori: “In primo luogo, come per altri tipi di copertura, le compagnie di assicurazione dovrebbero effettuare check di cyber hygiene sulle apparecchiature dei clienti prima di stipulare un contratto. Per le organizzazioni più piccole ciò potrebbe significare avere la certificazione Cyber Essentials e per le organizzazioni più grandi, una valutazione più approfondita delle difese informatiche e delle disposizioni di backup e ripristino. In secondo luogo, gli assicuratori dovrebbero rielaborare il loro approccio quando si verifica un incidente. Piuttosto che pagare per coprire il costo di un riscatto, dovrebbero enfatizzare le attività di riparazione, in modo da agire aiutando il cliente a risolvere il problema attraverso una efficace risposta agli incidenti IT, servizi di assistenza forense IT e l’assistenza per ripristinare i dati”.