Insurance Trade

Polizze cyber e clausola claims made

Seconda parte - Abbiamo pubblicato nei giorni scorsi la prima parte di questo intervento, che chiarisce vantaggi e svantaggi delle copertura “a richiesta fatta” nel rischio informatico. In questa seconda parte, si dettagliano alcune tipologie di malware che rendono più comprensibile perché i contratti loss occurence sono i meno indicati per difendersi da un attacco

Watermark vert
Esaminiamo tecnicamente le più comuni minacce informatiche esistenti sul mercato, tenendo conto che l’abilità degli hacker (e, verosimilmente, i fondi di entità ignote e Stati nazione dietro tale business multimiliardario) consentono aggiornamenti e perfezionamenti ormai quasi giornalieri.
È notorio che un malware non necessariamente arreca danni tangibili a un computer o a un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall’utente anche per lunghi periodi di tempo (e.g. Regin malware).
Le principali tipologie di malware sono:

  • Bootkit: un programma capace di insediarsi nel boot sector di un pc come, per esempio, l’mbr di Windows, non limitandosi a infettare il sistema ma, addirittura, diventando parte integrante del sistema stesso. Periodo di incubazione medio lungo.
  • CryptoLocker, CTB-Locker, CryptoWall e TeslaCrypt: sono solo alcune delle molte varianti di crypto-malware che vengono re-impacchettati ogni ora con lo scopo di impedirne l’intercettazione e che per questo vengono anche chiamati malware “polimorfici”, cioè mutanti. Tale caratteristica è ottenuta attraverso l’attivazione dal medesimo link, ad intervalli di tempo molto ravvicinati, di file totalmente diversi. Con una frequenza di mutazione/distribuzione così assidua i software antivirus basati su un approccio preventivo tradizionale non sono in grado di bloccare i crypto-malware, che hanno un periodo di incubazione praticamente nullo.
  • Ransomware: sono generalmente dei malware mutanti. La loro mutazione si ottiene attraverso l’attivazione di file totalmente diversi dal medesimo link a intervalli di tempo molto ravvicinati, anche nell’ordine del quarto d’ora. Da questi link vengono scaricati i file che potranno scatenare la crittografia dei dati o, in alternativa, l’attacco di altre tipologie di virus quali dropper, rootkit eccetera. Di fatto, con una frequenza di mutazione e distribuzione così ravvicinata, nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme di identificazione), sarà ragionevolmente in grado di bloccare preventivamente. Hanno inoltre un periodo di incubazione praticamente nullo.L’attivazione del ransomware produce immediatamente gli effetti malevoli e dannosi come il blocco dei file di uso più comune quali Doc, Xls, Mdb, Jpg eccetera e, in più di qualche occasione, anche i file di backup di alcuni dei più comuni sistemi in uso.
  • Regin malware: il 24 novembre 2014 Symantec, la nota società che si occupa di sicurezza, ha pubblicato un rapporto sul malware Regin, un trojan protagonista di campagne massive di spionaggio realizzate ai danni di obiettivi internazionali che includono aziende, enti pubblici e istituti di ricerca.
  • Trojan horse: molto spesso celati sotto dei programmi che offrono utili funzionalità per indurre l’utente ad utilizzarli. Non hanno capacità di replicazione quindi devono essere inviati consapevolmente alla vittima. Contengono svariate istruzioni maligne che possono avere varie funzionalità. Possono avere periodi di incubazione brevi o lunghi a seconda del tipo di malware trasmesso.
  • Virus: per capire cos’è e come funziona un virus informatico dobbiamo prima capire perché si chiama in questo modo. I virus informatici prendono il nome grazie alle analogie con i virus biologici. Un virus informatico attacca determinati tipi di file modificandone totalmente o parzialmente il funzionamento permettendo anche di replicarsi, mentre un virus biologico, invece dei file, modifica le cellule per gli stessi scopi. I virus biologici hanno la capacità di rimanere silenti e quindi di non mostrare alcun sintomo (incubazione), alcuni virus informatici hanno la medesima capacità. I virus informatici non utilizzano internet per la loro diffusione ma devono appoggiarsi per forza di cose ad un programma esistente, infettandolo modificando parte del codice. Il programma infetto deve essere avviato da parte dell’utente. Essi non sono più diffusi come in passato, visto l’avvento di Internet che ha aperto strade verso le attualmente più diffuse forme di malware. 
  • Worm: sono piccolissimi software autoreplicanti, indipendenti, capaci di infettare non solo un singolo file, ma un intero sistema operativo in modo da avviarsi autonomamente. Per la diffusione utilizzano spesso tecniche di ingegneria sociale applicata alle mail e a siti internet poco affidabili, oppure sfruttano dei bug per insediarsi all’interno di un pc senza l’ausilio di un utente esterno. Sono tra i più diffusi attualmente. Il più delle volte si limitano a rallentare il sistema operativo facendolo lavorare inutilmente. Possono avere periodi di incubazione di media durata (qualche mese).
Quasi la metà delle infezioni rilevate hanno interessato privati e piccole imprese e, in particolare, gli attacchi alle società di telecomunicazioni sembrano essere stati progettati per accedere al traffico telefonico. Si tratta di un malware complesso, difficile da rilevare, e il cui sviluppo e funzionamento hanno certamente richiesto un notevole investimento di tempo e risorse. Il malware in discorso cattura le credenziali, monitora il traffico di rete ed acquisisce illegittimamente informazioni sui processi in esecuzione e utilizzo di memoria. Regin è un malware flessibile che consente agli attaccanti di eseguire azioni personalizzate in base a singoli obiettivi decisi di volta in volta. Utilizza tecnologia Stealth per renderlo talora invisibile anche ai più sofisticati software di contrasto. Anche quando è individuato è spesso difficile capire cosa stia facendo e come stia operando. Symantec fu in grado soltanto di analizzare il payload dopo aver decriptato alcuni files campione. Ha periodi di incubazione potenzialmente lunghissimi e comunque modificabili dall’aggressore.

I vantaggio della claims made
Alla luce di tutto quanto sopra esposto, salvo poche eccezioni (Ransomware e CryptoLocker), la maggior parte dei malware in circolazione opera con periodi di incubazione lunghi o potenzialmente molto lunghi. E sono difficilmente individuabili.
Il periodo intercorrente tra l’accesso (l’infection) e il manifestarsi dei sintomi e dei danni è variabile, ma tendenzialmente può anche essere di alcuni mesi e in alcuni casi anche di anni. È quindi interesse dell’assicurato, più che dell’assicuratore, beneficiare di una polizza assicurativa cyber in forma claims made piuttosto che loss occurrence. Ciò considerando soprattutto la difficoltà, in moltissimi casi, di risalire alla data esatta dell’infezione, operazione che potrebbe avere costi di forensic expert talora elevatissimi e ben superiori ai sottolimiti di polizza. Il principio indicato dalle Sezioni Uniti della Cassazione nel 2016 e, recentissimamente, applicato dalla terza sezione civile della Cassazione, mediante richiamo ai principi di meritevolezza della tutela ex art. 1322 secondo comma, C.C., potrebbe pertanto non applicarsi a fattispecie di rischi cibernetici, laddove la tutela opera esattamente in senso contrario.

© RIPRODUZIONE RISERVATA

Articoli correlati

I più visti