cyber risk, sicurezza

Attacchi cyber, cambiamenti climatici, fake news : XX° convegno ANRA

Attacchi cyber, cambiamenti climatici, fake news: alcuni dei temi al centro del ventesimo convegno annuale Anra (Associazione Nazionale Risk Manager e Responsabili Assicurazioni Aziendali ). Tenutosi ieri a Milano con oltre 600 partecipanti, è stato aperto dal Presidente Alessandro De Felice, che ha presentato i dati dello studio realizzato da Protiviti e Anra sulla diffusione dell’enterprise risk management (ERM) nelle aziende.

ERM, l’Italia esempio virtuoso

Secondo De Felice, “sono molte le organizzazioni che hanno introdotto programmi di Erm, ma sono ancora poche quelle che hanno saputo integrarlo efficacemente con i processi chiave. La ricerca ha analizzato il livello di maturità di 63 imprese nei diversi ambiti dell’Erm quali risk governance, risk appetite, risk culture, valutazione delle opzioni strategiche, pianificazione e budgeting, strategy&business execution, e ha coinvolto aziende di tutto il mondo, con headquarters in Italia (35%), Regno Unito (21%), Africa (11%), Stati Uniti e Canada (10%) e in altri Stati europei (17%) e del mondo (6%).

Gli impatti della digital transformation
Durante la mattinata, dopo i keynote speech di Paolo De Castro, parlamentare europeo, primo vice presidente della commissione Agricoltura e sviluppo rurale UE e docente dell’Università degli Studi di Bologna e di Paolo Gallo, amministratore delegato Italgas, si è cercato di fare il punto sulle innovazioni e le criticità del settore tecnologico in relazione con la gestione del rischio, con le due tavole rotonde: “IoT e nuovi modelli di gestione d’impresa” e “Cyber risk e imprese italiane, a che punto siamo?”.
Non si possono ignorare gli impatti sui modelli di business della trasformazione digitale, come sottolineato da Antonio Catalano, responsabile digital transformation di Tenova, in quanto le innovazioni introdotte dall’Industry 4.0 rappresentano senza dubbio delle opportunità di crescita, ma possono comportare rischi per quelle aziende che le implementano senza prima un’accurata analisi. Sulla stessa linea Carlo Causio, chief risk officer di Telespazio, che ripercorrendo la storia dello sviluppo dei sistemi IoT ha dato anche diversi spunti sui loro utilizzi futuri nel micro (ad esempio domotica e smart industry) e macro (come smart city, smart agrifood).
Il pericolo della cyber-criminalità

Un altro tema fondamentale è stato quello della tutela contro le attività cybercriminali in Italia, il cui costo è pari a circa 10 miliardi di euro e in continua crescita: ad oggi, come evidenziato da Paolo Borghesi, Ciso e business continuity manager di Nexi, più d’una compagnia ha adottato standard, tecnologie e coperture diverse contro i cyber attacchi, permettendo di stimarne i costi d’impatto in termini reputazionali, operativi, legali ed economici, ma allo stesso tempo sia il mercato sia il settore assicurativo stesso dimostrano ancora una consapevolezza e una maturità non sufficienti, a volte lacunosi, ed è dunque fondamentale promuovere un approccio risk-based al tema.

img_7354

Grande interesse ha suscitato il keynote speech di Massimo Tammaro, ex comandante Frecce Tricolori ed ex responsabile Erm di Ferrari, che portando la sua esperienza di gestione del rischio maturata in due aree di assoluta eccellenza italiana ha esortato tutti i partecipanti all’azione: “Un errore assolutamente da evitare è quello di dire ‘questo non succederà’. Bisogna saper cogliere i segnali del mercato per adattarsi ed agire – e non reagire – rapidamente. In un mondo come quello attuale, sempre più veloce e disruptive, l’apertura mentale e la capacità di valutare scenari futuri diventano doti indispensabili, non solo per i risk manager”.
Il meteo in un clima che cambia
“Nessuna impresa è un’isola: come affrontare i cambiamenti climatici” è stata la terza tavola rotonda della giornata, che ha tracciato un profilo delle strategie attuate dalle aziende per gestire gli impatti dei cambiamenti climatici sul proprio business, e indagato come si possa costruire un’efficace resilienza di fronte a un fenomeno dalle manifestazioni imprevedibili e che riguarda tutte le realtà, anche quei settori in cui il coinvolgimento non è sentito perché non appare così immediato. Serena Giacomin, meteorologa del centro Epson Meteo e presidente dell’Italian Climate Network, ha focalizzato l’attenzione sugli aspetti scientifici e ambientali di quanto sta avvenendo, fino ad arrivare a descrivere gli scenari futuri: è compito proprio del risk manager preparare l’azienda al futuro, esaminando i rischi fisici e da transizione, cercando nuove opportunità, e aiutando le imprese a strutturare piani industriali e business model adatti ai nuovi scenari, come ha spiegato Fabrizio Tucci, chief risk officer del gruppo Iren, portando l’esperienza di un settore, quello dell’energy & utilities, particolarmente esposto.
Quando il falso sembra vero
In chiusura, una riflessione sul tema delle fake news e del loro proliferare incontrollato nel terreno del pluralismo informativo generato da Internet, con la tavola rotonda La comunicazione corporate nell’era delle fake news, che ha analizzato in particolare le conseguenze per le imprese di una gestione assente o poco efficace della comunicazione, dal punto di vista sia reputazionale sia economico.

De Felice, ha infine chiuso il convegno citando le parole di Ray Bradbury: vivere nel rischio significa saltare da uno strapiombo e costruirsi le ali mentre si precipita”. Per il presidente di Anra, è “una metafora efficace che racconta il cuore della nostra professione: affiancare chi sceglie di non restare a guardare le occasioni dall’alto ma di coglierle, affrontando un coraggioso salto nel vuoto – perché questo significa, oggi, fare impresa – con la consapevolezza che il nostro lavoro può trasformare questa caduta in un volo. È il motivo per cui abbiamo scelto una metafora come titolo di questo convegno: Sulle ali del risk management”.

FONTE : ANRA (Associazione Nazionale Risk Manager e Responsabili Assicurazioni Aziendali)

gol-ott19

cyber risk

Banche: Cyber attacco da record a Capital One: rubati i dati di 106 milioni di clienti

Una delle violazioni più grandi ai danni di un servizio finanziario. L’hackeraggio rivelato da Capital One, banca con base in Virginia e nota per l’attività nel settore delle carte di credito, potrebbe entrare nella storia. Secondo le ultime ricostruzioni, il data breach — avvenuto tra il 12 marzo e il 17 luglio — interessa oltre 106 milioni di clienti tra Stati Uniti e Canada. Gli investigatori ritengono che siano stati sottratti anche migliaia di account previdenziali e bancari. Dietro il furto ci sarebbe una giovane hacker. L’Fbi ha arrestato una donna di Seattle, Paige Thompson, ingegnere software di 33 anni che in passato ha lavorato per Amazon Web Service. A incastrarla dei post online. L’Fbi ha notato Thompson per la sua audacia nel definirsi una hacker. Gli agenti federali hanno seguito le sue tracce sul web e sono riusciti a identificarla come l’autrice dei post su Twitter e Slack in cui descriveva l’attacco a Capital One.

L’accusa per la donna è di frode informatica e rischia fino a 5 anni di carcere. Sarebbe riuscita a sfruttare una «vulnerabilità di configurazione» nella strutture informatiche dell’azienda. Il presidente della banca, Richard Fairbank, si è scusato con i suoi clienti, dicendosi «grato che la responsabile sia stata catturata», ma anche «profondamente dispiaciuto per quanto è accaduto». Dopo il furto di dati la società è calata a Wall Street: i titoli hanno perso il 6,11 per cento. Capital One prevede che il pirataggio costerà alla compagnia tra i 100 e i 150 milioni di dollari. Ma gli analisti ritengono che il conto sarà più salato considerati i 700 milioni di dollari che Equifax, agenzia di valutazione del credito, ha patteggiato con le autorità americane per il cyber attacco del 2017 che ha coinvolto 143 milioni di clienti.

Corriere della Sera  31/07/2019 -Diana Cavalcoli clicca quiimg_7354

cyber risk

USA :La Louisiana dichiara lo stato di emergenza per la cybersecurity

 

Una serie di attacchi ransomware ai sistemi dei distretti scolastici induce il governatore a dichiarare il primo stato di emergenza di sicurezza informatica dello stato.

La Louisiana non è estranea alle dichiarazioni di emergenza, ma non ne ha mai avuto una per un’emergenza di sicurezza informatica – fino a questa settimana. Una serie di attacchi ai distretti scolastici intorno allo stato ha portato il Governatore John Bel Edwards a rilasciare la dichiarazione che porta nuove risorse e coordinamento a livello statale a quella che era stata una raccolta di eventi di sicurezza informatica locali.

Con l’emissione della dichiarazione formale, il governatore consente di far valere le risorse statali della Guardia Nazionale della Louisiana, della Polizia di Stato della Louisiana, dell’Ufficio dei Servizi tecnologici della Louisiana e della Louisiana State University, guidate dall’Ufficio di sicurezza nazionale e dalla preparazione alle emergenze sforzi di difesa, analisi e bonifica. Queste risorse statali si uniranno alle risorse federali che sono già state informate, nonché ai team di sicurezza informatica locali, per affrontare gli attacchi.

Non è la prima volta che viene emessa una dichiarazione di emergenza statale per attacchi informatici; nel 2016, il governatore del Colorado John Hickenlooper ha dichiarato lo stato di emergenza a causa di attacchi al dipartimento dei trasporti di quello stato.  Per leggere la notizia completa clicca qui

Source:CyberheistNewscyber

cyber risk

Ennesimo attacco hacker ad azienda Emiliano Romagnola con danni da “Interruzione attivita’”: come assicurarsi con Golinucci

L’odierna notizia del recente attacco hacker con richiesta di riscatto (3,5 milioni di euro) a danni importante azienda Emiliano romagnola, e della concreta perdita in termini di “interruzione attivita’” pone in primo piano la copertura assicurativa “cyber risk” che se studiata bene offre risarcimento a tutta una serie di danni, come la “Business Interruption”. GOLINUCCI srl, specializzata nelle polizze “cyber risk” confronta 10 compagnie per trovare la soluzione adeguata all’azienda. http://www.golinucci.it/cr1 o struttura sanitaria http://www.golinucci.it/cr2 .

Da notizia Ansa:

Pesante attacco informatico, con richiesta di ‘riscatto’ in Bitcoin, a inizio giugno a un’importante azienda bolognese. Lo ha rivelato oggi la stessa Bonfiglioli Riduttori, specializzata nella componentistica meccanica di precisione, vittima di un attacco di tipo ‘ransomware’, da virus che tengono in ostaggio dispositivi o dati chiedendo in cambio del ‘rilascio’ il pagamento di ingenti somme di denaro.

L’attacco a Bonfiglioli è stato sferrato a inizio giugno con un ‘cryptolocker’, un virus che ha criptato alcuni file chiave per l’azienda chiedendo, per renderli nuovamente accessibili, il pagamento di un riscatto di 350 Bitcoin, pari a circa 2.400.000 euro (un valore valido fino al 12 giugno e salito a 3.500.000 dopo l’annuncio di Libra, la moneta virtuale di Facebook).

Continua la lettura articolo ansa:

http://www.ansa.it/emiliaromagna/notizie/2019/07/02/cyber-attacco-ad-azienda-bolognese_69ca42c7-460a-4989-8e0d-d0d573473980.html

da “Il Resto del Carlino” :

“Abbiamo istituito una task force con esperti interni, agenti della Polizia postale e consulenti esterni. Solo la notte successiva siamo riusciti a domare la diffusione del malware. Non nascondere l’incidente ha comunque accelerato la soluzione”, spiega Enrico Andrini, responsabile It and digital di Bonfiglioli Riduttori. “Eravamo già protetti, ma abbiamo investito un milione di euro per acquistare due antivirus e nuovi software”, conclude Bonfiglioli. continua la lettura

cyber risk, sicurezza

CYBER RISKS : una simulazione dei loro effetti e disastri nel mondo reale

Con la crescita dell’economia DIGITALE, è necessario conoscere quali sono le minacce (“CYBER RISK”) che l’anno scorso hanno coinvolto 2 italiani su 3, alle prese con con un crimine informatico: il 55% si è trovato un device infettato da virus o altre minacce, al 41% è stato notificato che le proprie informazioni sensibili sono state compromesse a seguito di una violazione di dati, il 40% ha risposto a una email fasulla fornendo informazioni personali o finanziarie (Fonte :Symantec)

Il filmato , tradotto dal video dell’assicuratore specializzato in “Cyber Risk” HISCOX, mette a fuoco come si traducono nella vita reale e quotidiana gli attacchi informatici ai danni dell’Azienda, della sua reputazione e le perdite di affari che ne conseguono.

Ecco una serie di frodi online che si possono prevenire con apposite misure di sicurezza ed assicurare, con polizze speciali, e dare tranquillità alle aziende.

Malware

Gli hacker hanno inviato una e-mail di phishing con un allegato  un documento di testo fasullo a un membro del team di account all’interno di una piccola azienda di commercialisti. All’apertura dello allegato, è stato installato automaticamente un pezzo di software per la registrazione delle chiavi che consentiva agli hacker di raccogliere dati di accesso cruciali e quindi accedere al portale bancario dell’azienda con le credenziali di uno dei loro utenti.L’assicurato è stato contattato dalla banca dopo che gli hacker avevano avviato diversi bonifici bancari e lotti ACH dal conto dell’assicurato a conti situati in Nigeria. Dopo aver verificato con l’utente le cui credenziali erano state utilizzate per istruire le transazioni, l’azienda ha incaricato una società di informatica forense per stabilire cosa era successo e
rimuovere il malware dal sistema. Dopo essere riuscito a richiamare alcuni dei bonifici bancari, l’azienda è rimasta con 164.000 sterline persi in furti di fondi elettronici e costi di 15.000 sterline per il lavoro di informatica forense.

Phishing
Il controllore finanziario di un piccolo studio legale ricevette una telefonata da qualcuno che pretendeva di provenire dalla banca della compagnia, avvisando che alcuni bonifici sospetti erano stati segnalati sul conto commerciale. Il chiamante ha insistito sul fatto che l’azienda potrebbe aver già rubato dei fondi dal suo conto e si è trovata in pericolo immediato che tutti i fondi rimanenti siano stati svuotati a meno che non abbiano bloccato il conto, per il quale la banca avrebbe dovuto dirgli la password e il PIN codice.
Non volendo essere la causa di ulteriori perdite, il controllore finanziario ha confermato il codice pin e la password al chiamante, che ha poi confermato che il blocco era stato applicato con successo e che sarebbero stati nuovamente in contatto una volta risolta la situazione.Dopo aver chiamato la banca il giorno successivo per il check-in, il controllore finanziario è stato informato che la banca non era stata effettivamente in contatto e che 89.991 sterline erano state collegate a tre conti all’estero in nove transazioni separate.Ormai era troppo tardi per ricordare le transazioni e apparentemente erano state autorizzate, nessun rimborso era stato offerto dalla banca.

Hacking telefonico
Una società di broker assicurativo ha recentemente installato un nuovo sistema telefonico VOIP (web hosted) nei propri uffici per ridurre i costi delle chiamate. I truffatori sono riusciti a utilizzare un pezzo di software per decifrare la password della rete telefonica e hanno programmato il sistema telefonico per effettuare ripetutamente chiamate a un numero a tariffa premium di loro proprietà.
Un mese dopo, l’azienda è stata contattata dal proprio fornitore di rete telefonica per confermare di aver accumulato £ 25.000 di chiamate. Nonostante confermino di essere state le vittime dell’hacking, la compagnia telefonica ha insistito sul pagamento del conto in sospeso.


Ransomware
Il titolare di uno studio medico privato ha acceso il suo computer il lunedì mattina per essere accolto con un messaggio che dichiarava che ogni singolo record dei pazienti sulla rete era stato crittografato e che una somma di £ 30.000 doveva essere pagata in bitcoin in cambio della chiave di decodifica.
L’assicurato ha contattato una società di informatica legale che ha confermato che il livello di crittografia significava che sarebbe stato quasi impossibile accedere ai dati senza la chiave di crittografia e che l’unica altra alternativa era cancellare la rete del ransomware e cio’ poteva portare a cancellare tutti i file di dati. Era trascorso una settimana dall’ultimo backup del software, il che significava che i dati critici del paziente sarebbero andati persi – e quindi il riscatto era stato pagato. Forensics è stato poi ingaggiato per rimuovere qualsiasi malware rimanente dalla rete al costo di £ 10.000. Costo del sinistro £ 40.000.


CEO Fraud
Un indirizzo e-mail fraudolento e quasi identico per l’amministratore delegato di un imprenditore edile di medie dimensioni è stato creato da truffatori che lo hanno utilizzato per istruire un individuo nel reparto contabilità a effettuare un bonifico bancario di £ 50.000 a un nuovo fornitore di materiali. L’e-mail dichiarava che il nuovo fornitore veniva utilizzato per reperire materiali aggiuntivi per un lavoro cruciale e che il pagamento doveva essere effettuato con urgenza per garantire la consegna delle merci.
L’e-mail è stata inviata mentre il manager era in vacanza in modo tale che non fosse possibile effettuare alcuna verifica faccia a faccia. Il conto a cui erano stati trasferiti i fondi in realtà apparteneva ai truffatori che erano in grado di recuperare il denaro prima che la transazione potesse essere richiamata.I cinesi sfruttano i commercianti di armi informatiche per diffondere malware.

 

Per conoscere maggiori dettagli sulle “adeguate misure di sicurezza” di cui all’art. 32 del GDPR, sui corsi di formazione per i dipendenti relativi alla protezione privacy come richiesti da Regolamento Europeo sul Trattamento dei Dati EU 679/2016 e quali assicurazioni coprono l’azienda dai cyber-risks , GOLINUCCI srl è a vostra disposizione . email dpo@golinucci.it , telefono 0547 22351.

https://www.golinucci.it/prodotti-e-servizi/per-le-aziende/cyber-risk

https://www.golinucci.it/prodotti-e-servizi/sicurezza-e-privacy/gdpr-privacy-e-sicurezza

cyber risk

POLIZZA CYBER RISK , UTILE NON SOLO PER “DATA BREACH”

Nel corso del 2018, abbiamo visto entrare in vigore numerosi articoli legislativi sulla violazione dei dati (“data breach”) . Tuttavia, sebbene tutta questa legislazione sia indubbiamente importante di per sé, i broker e i loro clienti non dovrebbero vedere l’assicurazione cyber  esclusivamente per questo scopo. A febbraio, il governo australiano ha promulgato la legge sulla violazione dei dati notificabili. A maggio, abbiamo visto l’introduzione del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). A giugno è entrata in vigore la legge sulla violazione dei dati in Alabama del 2018, il che significa che tutti e 50 gli stati negli Stati Uniti dispongono ora di leggi sulla notifica di violazione dei dati. E novembre  il governo canadese introdurrà i requisiti di notifica e tenuta dei registri come parte della legge sulla privacy digitale.

Con tutte queste leggi che entrano in vigore, è comprensibile che i broker abbiano prestato molta attenzione alla violazione dei dati dei clienti e alle esposizioni alla privacy. Tuttavia, sebbene tutta questa legislazione sia indubbiamente importante di per sé, i broker e i loro clienti non dovrebbero vedere l’assicurazione cyber esclusivamente attraverso questo obiettivo.

Ci sono un paio di ragioni per questo. Per cominciare, molte aziende non raccolgono o trattano i dati dei consumatori, quindi l’argomento secondo cui questa legislazione li riguarda e che dovrebbero acquistare l’assicurazione cyber per attenuare questo rischio non è quello che risuonerà. L’assicurazione CYBER non riguarda solo la copertura delle perdite associate a una violazione dei dati. È molto più ampia di questo e fornisce una copertura per tutta una serie di rischi relativi al cyber, che vanno dal furto di fondi e all’estorsione cibernetica al danno di sistema e all’interruzione dell’attività. In effetti, quasi un terzo dei sinistri cyber sono il risultato del furto di fondi, che rappresenta un rischio significativo per quasi tutte le attività, indipendentemente dalla quantità di dati che detengono.

In secondo luogo, per le organizzazioni che raccolgono o trattano dati dei consumatori e acquistano l’assicurazione cibernetica come parte della loro strategia di gestione del rischio, vi è il rischio di concentrarsi sulle violazioni dei dati escludendo qualsiasi altra cosa. Sfortunatamente, abbiamo visto un certo numero di organizzazioni acquistare i loro limiti di polizza in base al costo stimato di una violazione dei dati per la loro attività (cancellando il numero di record che detengono), e questo può lasciarli tristemente sottovalutati. Ad esempio, abbiamo recentemente affrontato un sinistro in cui un ospedale è caduto vittima di un attacco distruttivo di malware sui loro sistemi e ha incassato $ 7,1 milioni in danni al sistema e costi di interruzione dell’attività, ma avevano solo acquistato un limite di $ 5 milioni perché si erano concentrati principalmente sul impatto di una violazione dei dati sulla loro attività.

Il messaggio chiave, quindi, è che i broker dovrebbero considerare l’intera gamma di rischi informatici che i loro clienti potrebbero dover affrontare quando stanno valutando o acquistando l’assicurazione cibernetica, piuttosto che concentrarsi strettamente sulle violazioni dei dati.CYBER-RISK-ADV