Zurich Resilience Solutions (ZRS) è un’unità di affari globale del Gruppo Zurich che fornisce servizi di gestione e mitigazione dei rischi alla clientela di Zurich e ad altre imprese in tutto il mondo. Vista la portata dei rischi informatici, ZRS ha ridefinito i suoi sforzi per aiutare le PMI e scoprire le vulnerabilità informatiche. Insieme ai professori dell’ETHZ David Basin e Martin Ochoa e alla studentessa di master Silvia La, è stata avviata una collaborazione per determinare quali controlli di sicurezza informatica offrono la migliore protezione alle piccole e medie imprese in base all’origine e alla frequenza degli attacchi informatici. Zurich ha incrociato e convalidato i controlli individuati nello studio con le informazioni contenute nel questionario per la clientela e con i dati di benchmarking provenienti dalle valutazioni dei clienti e dai sinistri a livello globale. Sebbene ci siano stati tentativi di dare priorità ai controlli in base ai dati sugli attacchi, l’approccio innovativo di questa ricerca consiste nel considerare anche l’analisi delle minacce per includere i tipi di attacchi più probabili.
Il risultato è il modello di priorità di controllo basato sulla tecnica di attacco che, nonostante il nome altisonante, ha un obiettivo semplice. Utilizzato insieme al questionario di valutazione ottimizzato di Zurich, può simulare il rischio informatico dell’impresa in questione. Inoltre, aiuta a decidere quali misure debbano essere prioritarie per gestire il rischio e quale sia il budget necessario a tal fine.
Ciò significa che ZRS può aiutare le PMI a decidere quali servizi utilizzare per rispondere alle specifiche minacce informatiche. Zurich sta preparando l’ulteriore sviluppo dello strumento sotto la guida di Andreas Schmitt, Global Cyber Underwriting Manager, al fine di strutturare in modo ottimale la cyber assicurazione per le PMI.
Lo studio dell’ETHZ ha identificato una serie di controlli specifici che, usati insieme, possono mitigare centinaia di tipi diversi di attacchi informatici. Mentre la sensibilizzazione nei confronti della sicurezza informatica e la governance rimangono il primo livello di difesa, il monitoraggio dei sistemi per tenere il passo con l’evoluzione dei rischi e rilevare le violazioni nel momento in cui si verificano è ai primi posti nell’elenco tecnico, ha spiegato Bilquez. «Se non ci si accorge dell’attacco, le inevitabili conseguenze peggioreranno di ora in ora.»
«Assicuratevi che le impostazioni di protezione siano configurate correttamente, che le patch siano aggiornate e che i punti deboli siano affrontati in modo appropriato», consiglia lo studio. Inoltre, una protezione anti-malware aggiornata aiuta a contrastare questo tipo di minaccia, se i collaboratori fanno accidentalmente clic su un link che scarica un codice dannoso.
«I collaboratori devono poter fare solo ciò che è richiesto in un’applicazione», ha spiegato Bilquez. «I privilegi di amministratore non sono concessi a tutti, come accade in alcuni settori. In questo caso, a un hacker basterebbe hackerare una sola persona per diventare amministratore del sistema e dell’intera infrastruttura IT».
In totale, i ricercatori dell’ETHZ e di Zurich hanno identificato cinque controlli informatici che, insieme, possono mitigare efficacemente il 66 percento degli attacchi informatici più probabili e dieci controlli che, insieme, coprono il 70 percento degli attacchi informatici più probabili. Per le imprese che desiderano saperne di più, possiamo fornire l’elenco dei controlli informatici su richiesta.
I servizi offerti da ZRS, una volta che la minaccia è nota, includono la formazione per garantire che i collaboratori abbiano familiarità con rischi quali il malware e il phishing via e-mail o social media. Un esclusivo «Cyber Escape Game» simula un vero attacco hacker a cui i collaboratori devono rispondere. In questo modo, vengono sensibilizzati alla protezione dell’impresa. L’innovativo e coinvolgente training di sensibilizzazione offre ai collaboratori un’esperienza unica e viene svolto in aggiunta alle raccomandazioni tecniche dello studio ETHZ.
«Possiamo anche guardare nella darknet per vedere se le credenziali dell’impresa sono comparse lì, perché questo potenzialmente creerebbe dei gateway che gli hacker potrebbero sfruttare», spiega Bilquez.
Spesso non è l’impresa stessa a essere responsabile del rischio, ma una catena di fornitura non controllata. ZRS è in grado di valutare e monitorare il rischio derivante dai fornitori terzi per garantire che siano in vigore contratti adeguati e che i dettagli delle loro pratiche di protezione dei dati siano definiti esplicitamente. Le imprese possono verificare in tempo reale il livello di compliance dei loro fornitori terzi attraverso una piattaforma unica e facile da usare.
«Le PMI che non dispongono di un proprio Information Security Officer o di una persona che ricopra un ruolo analogo dovrebbero adottare misure per assegnare queste responsabilità a qualcuno, se possibile», raccomanda Bilquez. «Laddove ciò non sia possibile, i servizi di ZRS potrebbero colmare la lacuna o integrare le iniziative di sicurezza dei dati esistenti», ha aggiunto.
Per le PMI che investono nella protezione informatica, i vantaggi possono essere straordinariamente elevati, ha affermato Bilquez.
«Se identifichiamo le priorità chiave per una PMI, possiamo modellare il rischio per l’impresa», ha spiegato. «Ad esempio, se scopriamo che un’impresa ha un rischio di 20 milioni di dollari in termini di ransomware, un investimento di circa 10’000 dollari per mettere in atto dei controlli può ridurre il rischio di 10 milioni di dollari o più.»
