Ci sono tre certezze nella vita: la morte, le tasse e ora il ransomware. Si prevede che entro il 2031 il ransomware attaccherà un’azienda, un cliente o un dispositivo ogni due secondi, costando alle vittime circa 265 miliardi di dollari all’anno, secondo Cybersecurity Ventures. Proprio il mese scorso un attacco ransomware ha colpito il Los Angeles Unified School District, il secondo più grande degli Stati Uniti. Gli hacker hanno chiesto un riscatto e hanno fatto trapelare oltre 500 GB di dati rubati. Quindi, se il ransomware è inevitabile, non vorreste delle assicurazioni contro i ransomware? Per ogni evenienza? Dopo tutto, chi non vorrebbe un pagamento garantito se e quando accadrà il peggio?
Ma attenzione al fornitore. Come per la maggior parte delle polizze, “si applicano termini e condizioni”.
Termini e condizioni reali delle principali polizze di protezione e sicurezza dei dati
È incredibile cosa promettano alcune aziende solo per convincere le organizzazioni ad acquistare i loro prodotti. Se e quando avrete bisogno di presentare una richiesta di polizza, preparatevi quindi a leggere le clausole più dettagliate.
Queste polizze NON
- coprono qualsiasi malware introdotto da terzi nei sistemi interni di un’azienda attraverso una violazione della sicurezza del sistema. Ad esempio, se un hacker di un Paese straniero violasse la sicurezza dell’azienda e introducesse un malware, l’evento non sarebbe coperto;
- coprono qualsiasi malware introdotto nei sistemi aziendali interni dal personale attraverso una violazione della sicurezza del sistema, come, ad esempio, potrebbe accadere attraverso alcuni tipi di phishing. A questo proposito, vale la pena ricordare che secondo la Cybersecurity and Infrastructure Security Agency (CISA) il 90% di tutti i cyberattacchi inizia con il phishing.
E se ancora queste esclusioni dalle assicurazioni contro i ransomware non vi spaventano, ecco qualcosa che potrebbe farlo. Di seguito solo un esempio delle decine di condizioni aggiuntive che le aziende devono soddisfare per esercitare le polizze:
- iscriversi a un controllo mensile dello stato di salute dell’azienda e seguire tutte le istruzioni, anche se onerose o costose. In caso contrario, nessun rimborso;
- scaricare continuamente tutte le nuove versioni e le patch. In caso contrario, nessun rimborso;
- essere obbligate a seguire sia le regole del documento di “security hardening”, che cambia frequentemente, sia le “attuali” best practice del settore in materia di protezione delle credenziali di accesso, un’area che gli aggressori di phishing prendono regolarmente di mira. Occorre, inoltre, tener presente che la definizione di queste “best practice” è aperta all’interpretazione e lasciata alla soggettività del fornitore. Se l’azienda non rispetta al 100% le best practice, non ha diritto a nessun rimborso;
- pagare un servizio di consulenza non rimborsabile per il Customer Experience Manager. In caso contrario, nessun rimborso;
- accettare di essere oggetto di un caso di studio pubblico sulla violazione subita dall’azienda. In caso contrario, nessun rimborso;
- chiedere il permesso al fornitore prima di iniziare a sostenere i costi per riprendersi dall’attacco. In caso contrario, le spese non saranno coperte.
Ancora più ingannevole è il fatto che i rappresentanti di queste società inducano le aziende a credere che le polizze offrano un rimborso che va da 5 a 10 milioni di dollari. Leggendo le clausole in calce, appare che l’importo è una mera frazione di quanto pagato in origine ai fornitori. Inoltre, anche se in qualche modo l’azienda riuscisse a dimostrare di aver soddisfatto la moltitudine di condizioni e requisiti, questo la qualificherebbe solo per il rimborso delle spese effettive e approvate precedentemente di data recovery, restoration o re-creation dopo averle sostenute. Infine, come se non bastasse, i pagamenti legati al ransomware non sono rimborsabili.
Più danni che benefici
Si potrebbe pensare che, in fondo, la sottoscrizione di queste polizze non possa danneggiare l’azienda. Sbagliato. Le polizze vincolano l’organizzazione, in quanto la loro sottoscrizione limita le azioni possibili a un unico ed esclusivo rimedio previsto dai fornitori e li mette in condizione di incolpare l’azienda stessa di aver causato il problema grazie a una moltitudine di clausole di salvaguardia. In fin dei conti, assicurazioni contro i ransomware come queste sono poco più che limitazioni di responsabilità che vanno a vantaggio dei fornitori e non delle aziende clienti.
di Lynn Lucas, Chief Marketing Officer di Cohesity