Secondo lo scenario descritto nella nuova ricerca dei Lloyd’s – il mercato assicurativo mondiale per i rischi speciali – e Cyence – azienda leader nella modellazione ed analisi dei rischi cyber – un grande attacco cyber a livello mondiale potrebbe provocare perdite economiche fino a 53 miliardi di dollari, più o meno l’equivalente di una catastrofe naturale come il ciclone Sandy del 2012.
La ricerca rivela il potenziale impatto economico di due scenari ipotetici: una violazione dolosa che blocca l’operatività di un fornitore del servizio cloud e provoca perdite per circa 53 miliardi di dollari; attacchi a sistemi operativi dei computer utilizzati da un gran numero di aziende in tutto il mondo, che potrebbero causare perdite pari a 28,7 miliardi di dollari. Facendo un confronto, si ritiene che Sandy, il secondo ciclone tropicale più costoso della storia, abbia causato perdite economiche tra i 50 ed i 70 miliardi di dollari.
Dai risultati della ricerca risulta anche che, sebbene la domanda di assicurazione cyber stia crescendo, la gran parte di queste perdite al momento non è coperta, lasciando così un gap assicurativo di decine di miliardi di dollari.
Le conseguenze economiche ed assicurative di un crimine cyber stanno aumentando. Nel 2016, si stima che gli attacchi cyber siano costati alle aziende fino a 450 miliardi di dollari l’anno (Graham, 2017).
Il team dei Lloyd’s che si occupa del settore stima che oggi il valore del mercato cyber globale sia tra i 3 ed i 3,5 miliardi di dollari (Stanley, 2017); secondo alcuni analisti, entro il 2020, potrebbe valere circa 7,5 miliardi di dollari (PwC, 2015).
Il rapporto descrive due scenari:
- Scenario 1: Attacco a un fornitore di un servizio cloud. Un gruppo sofisticato di “hacktivists” si propone di causare danni ai fornitori di servizi cloud ed ai loro clienti per attirare l’attenzione sugli impatti ambientali provocati dalle aziende e dall’economia moderna. Il gruppo opera una modifica dolosa ad un “hypervisor” che controlla l’infrastruttura cloud. Ciò causa il blocco dei server basati su cloud dei clienti, provocando l’interruzione generalizzata del servizio e dell’attività.
- Scenario 2: Attacco alla vulnerabilità di massa. Un analista cyber accidentalmente dimentica sul treno la sua borsa che contiene una copia cartacea di un report su una vulnerabilità che interessa tutte le versioni di un sistema operativo in uso presso il 45% del mercato globale. Questo report viene venduto sul mercato nero della rete ed acquistato da un numero indeterminato di criminali non identificati che sviluppano dei sistemi specifici ed iniziano ad attaccare le aziende vulnerabili per ottenere guadagni finanziari.
Queste cifre rappresentano i valori medi di perdite annuali simulate per eventi grandi ed estremi e tengono in considerazione tutte le spese dirette previste. Al contrario, impatti quali danni alla proprietà, lesioni fisiche, oltre a costi indiretti quali la perdita di clienti ed il danno alla reputazione non sono presi in considerazione.
Le perdite economiche potrebbero essere molto più basse o alte della media prevista negli scenari, a causa dell’incertezza circa l’aggregazione cyber. Per esempio le perdite medie nello scenario riguardante il blocco del servizio cloud sono pari a 53 miliardi di dollari per un evento estremo, ma potrebbero aumentare fino a 121 miliardi o abbassarsi fino a 15 miliardi, in base a fattori quali le diverse organizzazioni coinvolte e la durata del blocco del servizio cloud.
Le sfide riguardanti l’accumulo e la modellizzazione del rischio cyber risiedono nella mancanza di dati provenienti da fonti di informazione istituzionali. I dati relativi ai sinistri ed agli incidenti degli anni passati spesso non sono pertinenti a causa della natura mutevole e volatile del rischio. E diversamente dai rischi fisici, il cyber ha processi di accumulo legati all’incremento dell’utilizzo delle reti internet e della tecnologia.