Il Loss Adjuster nel sinistro cyber

Fin dall’inizio della propria carriera di loss adjuster, ogni professionista si trova di fronte alla necessità di sviluppare un mindset sufficientemente elastico e resiliente, capace di consentire una rapida definizione e applicazione di strategie funzionali a un’efficiente gestione dei claim assicurativi. Tale approccio garantisce adattabilità alla trattazione di sinistri, tracciando conseguentemente un’imprescindibilità di connessione tra il loss adjusting ed il risk management.

Sebbene alcune classi di sinistro affondino la loro dinamica gestionale su una tradizione storicamente consolidata (Property, Liability, Cargo, Marine, etc.), classi più recenti, soggette ad una evoluzione dinamica del rischio nel breve-medio termine, richiedono un ingaggio più virtuoso e sinergie finalizzate alla definizione della strategia più efficiente per ogni specifico caso.
Il sinistro da attacco informatico (cyber), appartiene alla seconda delle suddette categorie. Classificabile, ma impronosticabile allo stesso tempo, il cyber risk è difficilmente mitigabile se non con un’attività precisa di “profilazione”, che veda coinvolti tutti i soggetti della filiera di analisi e trasferimento: risk manager, insurance manager, underwriter e loss adjuster. In tale scenario, la competenza tecnica, professionale, e relazionale del loss adjuster deve esprimere il suo valore aggiunto garantendo il “controllo” del claim assicurativo.
Il controllo del claim passa attraverso una profonda conoscenza della materia e la capacità di pianificare dinamiche strategie operative finalizzate a guidare la gestione del sinistro nella direzione maggiormente utile a una sua corretta trattazione.

La gestione del sinistro cyber richiede solide capacità analitiche e di assessment, poiché l’esposizione a un attacco informatico può variare, anche nel breve-medio termine, in funzione di molteplici fattori diversi tra loro che possono manifestarsi singolarmente o simultaneamente, tra cui:
•    obiettivo dei criminali informatici (lucro, terrorismo, esfiltrazione di informazioni, spionaggio, etc.), variabile secondo trend difficilmente pronosticabili;
•    tecniche di attacco (hacking, phishing, malware, DDOS, ransomware/cryptolocking, man-in-the-middle), semplici o combinate, per attacchi lineari o strutturati;
•    livello di sicurezza informatica dell’azienda;
•    preparazione adeguata del personale aziendale rispetto ai principi di sicurezza informatica, finalizzata alla mitigazione del rischio cyber;
•    fattore umano individuale di percezione del rischio specifico;
•    scarsa o inaccurata segregazione delle reti (con accesso da parte di user a sezioni delle infrastrutture IT che sono vulnerabili nel caso di compromissione dei sistemi);
•    governance aziendale strutturata.

Cosa indebolisce l’azienda

L’esperienza maturata negli ultimi cinque anni di gestione di sinistri cyber, ci ha permesso di poter annotare alcune delle maggiori criticità rilevate in diversi ambiti aziendali (sia Corporate che PMI), e il cui effetto è stato quello di indebolire in maniera sostanziale la sicurezza informatica delle società colpite. Tra queste abbiamo: scarso livello di sicurezza, scarsa percezione del rischio da attacco informatico da parte del personale aziendale, scarso livello di preparazione individuale o accuratezza nell’individuare o fronteggiare una minaccia.
A ciò bisogna necessariamente aggiungere l’insussistenza di adeguate misure di incident response, procedure strutturate di crisis management ed efficaci business continuity plan.
Simili criticità hanno influenzato anche la definizione delle strategie di gestione dei sinistri, mostrando scenari d’indagine non standardizzabili, con impossibilità di intervenire in maniera convenzionale nella gestione.

Crawford & Company ha introdotto nel mercato assicurativo la “Crawford Cyber Solution”, servizio innovativo end-to-end dedicato alla gestione di tale fattispecie di eventi, che combina in maniera integrata le operazioni di incident response e loss adjusting, avvalendosi del supporto di un panel di esperti, qualificato e certificato, con competenze in tutti gli ambiti di interesse del sinistro cyber. Le tempistiche d’intervento richieste devono essere ridotte il più possibile, poiché il fattore tempo gioca un ruolo determinante.
Acquisire informazioni preliminari sulla realtà aziendale con cui si deve interagire, per pianificare il più correttamente possibile l’intervento, verificando:
a)    tipologia di business coinvolto, necessaria alla determinazione dei dati trattati;
b)    struttura manageriale della società;
c)    estensione del mercato operativo, per avere contezza del bacino di potenziali clienti coinvolti nel furto di dati;
d)    eventuale network connesso all’azienda colpita, che potrebbe favorire una diffusione dello scenario di attacco anche ad altri soggetti. 

È inoltre necessario sottoporre all’azienda colpita un adeguato set di domande fondamentali per avere un’immagine affidabile dell’evento, che includa le seguenti informazioni (a titolo esemplificativo):
a)    data e ora dell’attacco;
b)    tipologia di attacco subito;
c)    effetti dell’attacco e/o richieste degli attaccanti;
d)    descrizione dell’architettura informatica aziendale e sistemi di rilevazione/difesa da attacchi informatici;
e)    specifiche di back-up dei dati (offline vs. online);
f)    misure di incident response poste in essere nell’immediatezza dell’attacco, per salvaguardare i sistemi informatici e mitigare il danno derivante dalla violazione.

Controllare gli elementi che incidono sul risarcimento

In sede di acquisizione delle informazioni, guidare l’azienda nella pianificazione delle attività critiche per la determinazione e applicazione del recovery plan diviene un effettivo valore aggiunto. Nel processo di gestione esposto, è fondamentale che il concept del controllo sia espresso anche attraverso l’acquisizione mirata della documentazione funzionale alla risoluzione del caso, quale passaggio cruciale per avere un accertamento completo su tutti gli elementi che possono influenzare la risposta della polizza assicurativa nella determinazione degli eventuali indennizzi, di cui fanno parte:
a)    congruenza delle misure di incident response adottate nella gestione dell’incidente e relativi costi;
b)    corrispondenza dei criteri di progetto dei sistemi informatici aziendali e garanzia della relativa sicurezza informatica, in aderenza alla good practice di settore;
c)    idoneità del recovery plan;
d)    adempimento alle prescrizioni di legge in materia di privacy e trattamento dei dati personali (aderenza al GDPR e a quanto ivi regolamentato).
Passaggio importante è poi quello legato all’attività di analisi del contratto assicurativo e della relativa “proposta”, che contiene l’insieme delle informazioni fornite dall’azienda ai fini della profilazione del rischio da trasferire. Lo studio del documento diviene critico per l’analisi di rispondenza delle informazioni fornite in sede assuntiva, rispetto alla consistenza di quanto accertato in sede d’indagine, per la verifica di coerenza del rischio trasferito. Al termine del percorso di gestione del sinistro, appare di estrema importanza per il risk manager l’acquisizione e lo studio dell’incredibile volume di informazioni derivanti dagli accertamenti condotti.
Beneficio, questo, per il miglioramento dei criteri e tecniche di analisi del rischio, per l’analisi e l’applicazione di tutte le misure corretti-ve necessarie per evitare la ripetizione di incidenti e avere una più funzionale profilazione della sicurezza informatica.