La sicurezza informatica è appena diventata un problema reale

La sicurezza informatica è stata per anni un problema di “patata bollente”. Le aziende sanno che esistono rischi significativi ma non hanno alcun metodo per calcolare la priorità di bilancio. I media continuano a riportare enormi statistiche sulla criminalità informatica e i membri del consiglio si grattano la testa, chiedendosi su cosa dovrebbero concentrarsi riguardo alla sicurezza informatica. Tuttavia, l’industria non ha capito come inquadrare strategicamente quella conversazione.

I cambiamenti nel mercato assicurativo, l’aumento vertiginoso dell’attività criminale e un contesto normativo ampliato chiariranno presto il valore aziendale della sicurezza informatica perché inizierà a costare denaro reale. Le aziende si proteggono dalla conformità normativa e dal rischio di continuità aziendale esternalizzandolo tramite assicurazioni. Sfortunatamente, gli assicuratori hanno scoperto che il tasso di sinistro nell’assicurazione informatica è stato quasi del 110% in molti casi. Inoltre, dal momento che gli hacker prendono di mira la proprietà intellettuale e le infrastrutture del paese, le autorità di regolamentazione e i legislatori stanno proponendo nuovi requisiti per affrontare l’esposizione al rischio degli Stati Uniti nei mercati pubblici e nelle infrastrutture critiche. Di conseguenza, le aziende si assumeranno direttamente l’onere di aumentare le sanzioni normative derivanti dall’ampliamento dei requisiti di conformità.

Tendenze di mercato e politiche che impongono scelte nelle infrastrutture di sicurezza

Oggi l’assicurazione informatica è un mercato da 14,5 miliardi di dollari. Sfortunatamente, i dati sul rischio informatico sono scarsi e gli attuari non sono stati in grado di quantificarne il valore con successo. Le compagnie assicurative hanno fatto le loro ipotesi migliori senza successo e hanno ipotizzato perdite significative. Di conseguenza, i vettori stanno aumentando le loro tariffe quest’anno del 174%, inasprindo i termini e ampliando le esclusioni. Ad esempio, i Lloyds di Londra hanno appena annunciato che escluderanno dalla loro assicurazione informatica tutti gli atti di guerra dall’attività dello stato-nazione e che la guerra non deve essere dichiarata per qualificarsi. La tempistica di questo cambiamento non potrebbe essere peggiore perché l’FBI e l’MI5 hanno messo in guardia congiuntamente sull’hacking cinese mirato alla proprietà intellettuale degli Stati Uniti nel 2022. Di conseguenza, il costo dell’assicurazione informatica è in rapido aumento, la copertura sta diventando più limitata e i rischi informatici sono in rapido aumento.

Le statistiche dell’FBI mostrano che la criminalità informatica è aumentata di oltre il 300% dall’inizio della pandemia. I criminali informatici stanno diventando più sofisticati e utilizzano i dati rubati per creare elenchi di obiettivi per futuri attacchi a cascata. Questo sottolinea i rischi per le aziende, i loro clienti e fornitori. Ad esempio, gli hacker hanno rubato circa 26 milioni di credenziali di accesso degli utenti tra il 2018 e il 2020, ampliando la loro scia di criminalità. Inoltre, nel 2021 il 34% di tutte le aziende ha subito incidenti di sicurezza che coinvolgono malware, quindi non si tratta più di incidenti isolati. Il costo medio della violazione dei dati per le società quotate negli Stati Uniti nel 2020 è stato di 116 milioni di dollari e l’impatto sulle piccole imprese è molto più grave. Ad esempio, il 60% delle piccole imprese vittime di attacchi informatici cessa l’attività entro sei mesi.

Pensiamo che le nostre aziende si trovino in un luogo sicuro e amichevole, ma una volta connesse a Internet, è come se quelle attività si trovassero in un quartiere desolato con teppisti dietro ogni angolo. Il fatto che non possiamo vedere questi rischi rende difficile per i leader non tecnici interiorizzare il fatto che esistono.

Le agenzie governative e il Congresso stanno iniziando a concentrarsi sui rischi digitali che hanno un impatto sul pubblico. Ad esempio, il Colonial Pipeline, una delle principali fonti di benzina e carburante per aerei per il sud-est degli Stati Uniti, ha subito un attacco ransomware che ha interrotto le operazioni per sei giorni, causando carenze di gas in tutta la sua regione di approvvigionamento e con un impatto su milioni di elettori registrati. Poco dopo questo incidente, il Congresso ha approvato il Cyber ​​​​Incident Reporting for Critical Infrastructure Act del 2022, che richiede regolamenti per la segnalazione di incidenti in categorie ampiamente definite di “infrastrutture critiche”.

Inoltre, la Securities and Exchange Commission (SEC) e la Federal Trade Commission (FTC) entrano in azione proponendo requisiti ampi per la divulgazione di rischi e incidenti, l’uso corretto delle informazioni personali e le limitazioni all’uso dei dati. Gli ampi requisiti governativi costringeranno le aziende a comprendere meglio il loro ambiente digitale e ad espandere la loro visibilità sulle attività online all’interno delle loro organizzazioni. La conformità includerà non solo il modo in cui i dati vengono utilizzati e il modo in cui vengono monitorati gli ambienti, ma richiederà anche la divulgazione pubblica delle relative politiche e procedure e richiederà la segnalazione degli incidenti quasi in tempo reale.

Il regolamento e la diminuzione della copertura assicurativa costringono il consiglio

I costi della sicurezza informatica stanno per aumentare per tutte le aziende negli Stati Uniti. Le aziende dovranno prestare maggiore attenzione alla propria infrastruttura di sicurezza, monitorarla e gestirla e stabilire meccanismi di segnalazione agli organismi di regolamentazione. Invece di fare affidamento sull’assicurazione per differire il rischio, dovranno espandere le proprie capacità interne per gestire e mitigare il rischio e ci saranno conseguenze finanziarie quando questi processi falliscono. Con lo slancio normativo, la supervisione del governo sull’economia digitale diventerà più coinvolta. Si spera che una maggiore consapevolezza del rischio e della sicurezza fornisca minori opportunità per i criminali informatici e Internet diventi un ambiente più sicuro per le aziende. Ciò che questo significa per le aziende, tuttavia, è che la gestione del rischio e la sicurezza informatica dovranno essere meglio comprese dalla C-suite e una priorità che ha un impatto sul business per i consigli di amministrazione.

.

Leave a Comment

Your email address will not be published. Required fields are marked *