quando il cybercrime attacca i processi produttivi industriali

RICCARDO SCALICI Information Technology & Cyber Risks
RAFFAELLA PALUMBO Machinery Breakdown Risks
CAROLINA FANARI
Professional Liability Risks
QUANDO IL CYBERCRIME ATTACCA I
PROCESSI PRODUTTIVI INDUSTRIALI
RISCHI INFORMATICI: QUALI COPERTUREASSICURATIVEATUTELADELL'AZIENDA 26marzo 2015
AGENDA:
1.I SISTEMI DI CONTROLLO INDUSTRIALE (ICS)
E DIFFERENZE CON SISTEMI TRADIZIONALI
2. RISCHI ASSOCIATI A ICS
3. DANNI INFORMATICI E DANNI AI MACCHINARI
5. COME MITIGARE I DANNI
4. TRASFERIMENTO DEL RISCHIO
PREMESSA
Con il motore di ricerca SHODAN è possibile
individuare quanti sistemi di fabbrica sono al
momento della ricerca connessi con Internet:
alla data del 21/5/2014 il numero mondiale
dei sistemi industriali connessi a INTERNET
era:
14.000
Ci sono allora dei reali rischi connessi con questi collegamenti?
Vediamo in approfondimento gli aspetti principali di questa
problematica.
3
Sistemi di controllo industriale (ICS) 1/2
– E’ un termine usato per indicare la categoria delle molte applicazioni
e utilizzi dell’informatica nell’industria per ottenere i controlli, la gestione
e il comando di impianti, macchinari e processi produttivi.
– E’ un concetto che abbraccia tutti i sistemi digitali che interagiscono
direttamente con il “mondo fisico “ della Fabbrica .
questi sistemi sono principalmente composti da :
– Componenti che interagiscono con il mondo fisico :
– sensori (che raccolgono informazioni come temperatura,
pressione, umidità, velocità, etc…) e
– Attuatori che eseguono azioni (su pompe, cilindri, valvole,
segnalatori luminosi, sistemi di emergenza, etc…)
– Processi di Controllo, componenti che gestiscono gli attuatori in
relazione alle informazioni rilasciate dai sensori che vengono
elaborate da un software proprietario.
4
Sistemi di controllo industriale (ICS) 2/2
Campi di applicazione:
– Infrastrutture critiche: condotte oil & gas, griglie di linee di trasmissione
elettriche, linee ferroviarie, pilotaggio automatico, linee delle catene di
montaggio continue.
– Processi di controllo: alimentari, farmaceutici, chimico, raffinerie, etcc
…
– Produzione: produzione robotizzata, automatismi, linee di montaggio,
etc.
– Deposito: silos, sistemi di sollevamento, depositi automatici /spedizioni,
etc…
5
ICS elementi chiave: sistemi di controllo e acquisizione
dei dati (SCADA)
Yesterday
Today
Nel passato erano indispensabili almeno 100 tecnici per il funzionamento di
una centrale elettrica, oggi 4 (di cui 2 per la manutenzione giornaliera), con i
computer fuori uso l’impianto è ora fuori controllo.
•
•
SCADA sono i sistemi utilizzati per controllare, monitorare le infrastrutture
critiche di una installazione di qualsiasi tipo e dimensione.
DCS, Distributed Control Systems, concettualmente simile è utilizzata
per gestire e controllare i processi industriali in un sistema di produzione di
tipo geocentrico.
6
ICS : integrazione con e su EIS (Enterprise Information Systems)
•
Pianificazione reportistica
finanziaria
•
Piano di Business & Logistica di
fabbrica Plano di Produzione
.Schedulazione e management
operativo
•
Operazioni di manifattura &
Controllo Distribuzione della
produzione , patching Production,
schewdulazione dettagliata,
Reliability Assurance,...
•
Supervisore (SCADA or DCS)
•
Controllo di processo (PLCs…)
(nei Robot, reti di macchinari,
catene continue)
Sensori, attuatori (sui macchinari)
•
amministrazione
ERP Enterprise
Resource Planning
sistema di gestione Produzione
SCADA/DCS
Processi di
controllo
ProcessI
di Controllo
Processi di
controllo
Perchè ICS sono differenti dai tradizionali sistemi IT
Sistemi ICS
•
•
fine anni 1990 :
Distribuiti
come
“scatole
nere
”
pesantemente dipendenti dai distributori o
dal supporto degli integratori di sistemi
Funzionano tramite protocollli di controllo
proprietari : “sicurezza da oscuramento”
•
sistemi isolati dal contesto.
•
Uso di hardware e software dedicati
La sicurezza ICS era concentrata in :
•
Affidabilità
•
Prestazioni
•
Sicurezza fisica
•
Sicurezza = protezione delle maestranze
e dei beni fisici necessari al business
Dopo
=>
i sistemi ICS convergono verso
I tradizionali sistemi informativi :
•
•
•
•
Uso di protocolli standard.
Architetture aperte interconnesse con I sistemi
generali aziendali e internet.
Piattaforme standard che incorporano
Software commerciale di pronto utilizzo.
SONO ORA COLLEGATI (anche se
indirettamente) A INTERNET
La trasformazione implica la comparsa
di un ―nuovo― requisito di sicurezza :
―Cyber Security is required‖
8
AGENDA:
1. I SISTEMI DI CONTROLLO INDUSTRIALE (ICS)
E DIFFERENZE CON SISTEMI TRADIZIONALI
2. RISCHI ASSOCIATI A ICS
3. DANNI INFORMATICI E DANNI AI MACCHINARI
5. COME MITIGARE I DANNI
4. TRASFERIMENTO DEL RISCHIO
Information Technology & BCM
Le nuove minacce
1) Apt (advanced persistent Threat) =>Stuxnet worm, =>Duqu
2) % di Rischio più elevato dell’interruzione di servizio delle reti interne
(perché coinvolte massicciamente nei processi aziendali chiave la cui conformazione può non
sopportare più il volume dei dati da trattare nei picchi di lavoro, e la richiesta di risparmio può
spingere i gestori a ridurre, anche se temporaneamente, gli ―appesantimenti‖ relativi alle
protezioni) .
3) ―Bastano 3 righe di codice‖ (conferenza McAfee 2011) e 3 minuti per
alterare il funzionamento di apparati elettromeccanici (pompe,motori,ect..)
e non c’è attività che non sia stata raggiunta dalla diffusione di strumenti apparati e dispositivi
intelligenti(chip),microcodici e sistemi operativi embedded.
4) Aumento del nr degli attacchi informatici e della loro complessità.
La
necessità di grandi e costanti investimenti è difficilmente alla portata di aziende di piccole e medie
dimensioni quali sono quelle italiane. (Simone Battiferri resp. top client di Telecom Italia-Zerouno
Febbr.2012)
5) Fattore umano concorrente ad ampliare le criticità dell’aumento
dell’accesso alla rete e del Cloud computing (Rodolfo Falcone- Check Point /
Zerouno 2/2012).
LA CRITICITA’ dei sistemi ICS
Cosa succede nel caso di intrusione :
•
si può istituire un comando non autorizzato
per controllare il macchinario
•
Spedire false informazioni al sistema di
controllo e l’operatore può effettuare
comandi inappropriati
•
•
•
Confondere il sistema di controllo delle
operazioni tramite il ritardo o il blocco del
flusso delle informazioni che pervengono dal
network di controllo generale;
Cambiare il software del sistema di controllo
per modificare i parametri di allarme o altre
elementi di configurazione ,e
Rendere le risorse di sistema inaffidabili
con la propagazione di software malevoli (per
esempio virus, worm , Trojan horse) tramite
la presa di controllo del network.
Impatto potenziale :
•
Perdita di affidabilità e di capacità produttiva.
•
Qualità inferiore dei prodotti.
•
Invio di informazioni sensibili a destinazioni
non autorizzate.
• Guasti macchine imprevedibili.
•
Prodotti con caratteristiche difformi dai requisiti
stabiliti per legge ,o da normative di settore , o
dai contratti con I fornitori
•
Compromissione dell’immagine aziendale etc.
•
Danni fisici alle maestranze e/o da
prodotti.
•
Danni alla salute pubblica (inquinamenti),
11
Evoluzione delle vulnerabilita’ ICS : prima e dopo Stuxnet
12
TREND Di GRAVI INCIDENTI IN FABBRICA (WW)
(2014 fonte SIEMENS)
2010 : nr 41 / 2011 : nr 188 / 2012 : nr 198 / 2013 : nr 204 / 2014 : nr ?
Cause più frequenti / e gravi :
1) accessi remoti non protetti adeguatamente
(da sconosciuti).
 2) attacchi on-line (ethical , criminalità web, competitor,..)
 3) idem ,ma fatti da esperti (spionaggio industriale, di stato, e simili).
 4) DDoS come preparazione a estorsioni o ricatti.
 5) Errori umani , sabotaggi.
 6) introduzioni di codici dannosi.
 7) accesso senza diritti alle risorse di sistema.
 8) attacchi a componenti di rete.
13
Ma quanto mi costi?
Il cyber crime un volume d’affari, sottostimato, di 12 miliardi di dollari
annui e il costo in Europa della criminalità informatica, inoltre, è calcolato
in oltre 750 miliardi di euro all’anno tra perdite dirette, perdite di
tempo, perdita di opportunità di business e di spese per riparare i
danni. A questo vanno aggiunti i danni di immagine (reputazionali) che
hanno effetti che durano per un tempo di gran lunga superiore.
Gli strumenti utilizzati nel cyber space non sono fisici, ma i loro effetti
sono imprevedibili e pericolosi. Uno di questi è proprio la difficoltà di
prevedere quando l’attacco informatico lanciato avrà successo, come si
diffonde e come può evolversi nel tempo.
Lo strumento informatico ha in sé molteplici effetti collaterali, potrebbe
colpire in modo imprevedibile altri sistemi o reti che non sono considerati
bersagli, addirittura l’attaccante stesso. Laddove è più diffusa la gestione
telematica delle aziende si insidiano le maggiori vulnerabilità in tema di
cyber security.
14
AGENDA:
1. I SISTEMI DI CONTROLLO INDUSTRIALE (ICS)
E DIFFERENZE CON SISTEMI TRADIZIONALI
2. RISCHI ASSOCIATI A ICS
3. DANNI INFORMATICI E DANNI AI MACCHINARI
5. COME MITIGARE I DANNI
4. TRASFERIMENTO DEL RISCHIO
Dall’informatica al Guasto macchina…il passo è breve
16
Esempi di danni prodotti da CYBERCRIME su ICS 1/3
Sabotaggio : rivalsa di impiegato licenziato scontento.
Maroochy Shire Sewage Spill – 2000 per un periodo di 2 mesi
l’impiegato licenziato ha utilizzato una radiotrasmittente per effettuare da
remoto oltre 46 interruzioni di funzionamento in un impianto di
desalinizzazione dell’acqua di mare.
Egli ha alterato i dati della stazione di pompaggio, causando
malfunzionamenti nelle normali operazioni, causando un riversamento
di 264.000 galloni di acque reflue in un fiume di una parco nazionale.
Spese notevoli di contenimento e disinquinamento delle sponde di
un fiume lungo chilometri (I controlli sono ancora in corso).
17
Esempi di danni prodotti da CYBERCRIME su ICS 2/3
Incidenti su sistemi SCADA :
San Bruno, CA – 2010 esplosione in gasdotto uccide 8 lavoratori
e ne ferisce gravemente 60, distrugge 37 abitazioni.
Esplosione causata da eccessiva pressione del gas
nel condotto provocata da:
malfunzionamento del sistema SCADA
(controllo pressione e altri parametri incluso allarmi preventivi e
apertura valvole si sicurezza a monte del luogo ove stavano
lavorando gli operai e tecnici)
18
IRAN e le centrifughe danneggiate
19
Esempi di danni prodotti da CYBERCRIME su ICS 3/3
Cyber attack – Advanced Persistent Threat
Iran—2010 Stuxnet –
Alterando il software Siemens contenuto nei PLC and Scada
systems che controllavano il funzionamento automatico dei
macchinari di produzione, infettando :
 100,000 computers , e
 22 fabbriche di produzione,
 distrutto per guasti, oltre 1000 macchine centrifughe .
(il 10 % del totale) nel periodo tra Novembre 2009 e la fine di
Gennaio 2010.
20
ICS Cyber Incidents
Incidenti da errori di sistema (errori umani ? o altro) .
Incidente durante un ―penetration test‖ –- 2002
Una utility del gas naturale consulta un’ organizzazione di consulenza
sulla sicurezza per effettuare dei test di penetrazione nella propria rete
corporate.
La consulente si avventura con prudenza nella parte della rete che era
direttamente connessa con il sistema SCADA.
L’esecuzione del test di penetrazione bloccava il sistema SCADA e la
committente non fu più in grado di mandare il gas compresso nel gasdotto
per 4 ore.
Il risultato fu un danno economico da interruzione di servizio sofferto
dai clienti della Utility.
21
Attacco Cyber causa danno materiale:
il caso dell’acciaieria in Germania
22
…e in Italia?
 Norton Cybercrime Report (settembre 2012): danni ai
consumatori nel 2011:
€ 85.000.000,00
 Ponemon Institute: costo medio aziendale di una violazione dati
nel 2011:
€ 1.384,798.00
cause di danni
carenza di gestione del
sistema 39%
errori del sistema 33%
attacchi hacker 28%
26/03/2015
23
Un po’ di numeri…
sulle preoccupazioni
delle aziende
italiane…
 Danno dell’immagine: 65%
 Violazione di leggi:
64%
 Perdita di denaro a seguito di
estorsione/frode
60%
 Interruzioni di servizio: 59%
 Perdita di dati di clienti: 58%
26/03/2015
Fonte: UNICRI
24
Tabella riassuntiva dei trend relativi alle principali
minacce cyber
Fonte: Trend Landscape
Report, ENISA, 2013
25
AGENDA:
1. I SISTEMI DI CONTROLLO INDUSTRIALE (ICS)
E DIFFERENZE CON SISTEMI TRADIZIONALI
2. RISCHI ASSOCIATI A ICS
3. DANNI INFORMATICI E DANNI AI MACCHINARI
5. COME MITIGARE I DANNI
4. TRASFERIMENTO DEL RISCHIO
guida sulla ICS security 1/2
Comprensione del contesto / sfide
– Quante località, siti, sistemi e assets costituiscono il perimetro del
contesto ?
– Qual è il contributo del sistema/i nella creazione del valore, o dei servizi
chiave ?
– Qual è il business, o il processo critico dei sistemi e dei siti ?
– La produzione di Business dipende, è basata sul funzionamento dei
sistemi ?
– Ci sono delle implicazioni per la sicurezza umana e per l’inquinamento
ambientale, o altri tipi di normativa in applicazioni a leggi /regolamenti, da
rispettare ?
– Ci sono dei vincoli /costrizioni / limitazioni inerenti i sistemi ?
– Quali sono gli scenari di rischio e i loro potenziali impatti sull’attività
economica ?
IN POCHE PAROLE UNA VERA RISK ANALYSIS
27
guida sulla ICS security 2/2
Minacce tipiche
Le loro sorgenti
•
Distribuited Denial of Service (DDoS)
•
Hackers (ethical/cybercrime)
•
Worms, viruses.
•
Attacchi interni , (infedeltà/frode)
•
Advanced Persistent Threat (APT).
•
Staff scontento (infedeltà/sabotaggio)
•
Unauthorized access (Cybercrime).
•
Cyber Criminals (cybercrime/frode)
•
Attacchi ai componenti di rete (man in the
midle).
•
Azioni non autorizzate (cybercrime)
•
•
Dipendenza da contratti (errori incidenti)
Attacchi a dispositivi IT standard(COTS).
•
•
Concorrenti (spionaggio/sabotaggio).
Human errors.
•
“man-in-the-middle”(su codici non criptati)
•
Attivisti e protestatari (spionaggio/sabotaggio)
•
•
Terroristi (idem)
Accidental physical event.
Esempi di impatto
•
Danno a maestranze, all’ambiente, o alla fabbrica
•
Non-compliance con regolamenti, normative.
•
Arresto forzato delle operazioni di produzione.
•
Guasti a macchinario di fabbrica.
•
Riduzione dell’efficenza delle operazioni di produzione
effetto :
1) Spese Impreviste
2) perdite di profitto
28
«Parola» DI SIEMENS
(convegno di Parma 21/5/2014)
 Industrial Security :
 « La corporate security è una catena forte come il suo più
debole anello »
 Leggerezza/incuria/volontarietà del personale.
 Procedure interne (Policies & guidelines) inefficaci.
 Telecomunicazioni interne (wi-fi , radio, etc..)
 Smartphones , Laptops , Tablets.
 PC workstations.
 Infrastruttura di rete.
 Memorie di massa removibili.
 Computer center. (EDP,CED, TELECOM,etc..)
La sicurezza
29
Sicurezza ICS : segmentazione del Network
30
Cyber security : controllo del rischio
Comprensione
del contesto
Individuazione
delle minacce
Comprensione
delle
vulnerabilità
Calcolo degli
impatti
Definizione dei rischi
Classificazione
assets,e
targhet
Analisi dei
potenziali danni
Policy &
standards
stabilire governance di gruppo
Proteggere
miglioramenti
Individuazione asset
critici
individuare
aggiornamenti
Aggiornamenti di Risk analysis
Definire security plan
Reagire
priorità
difendere
revisione
Aggiornamenti del piano di Policy & Security
31
Le origini delle debolezze di sicurezza ICS 1/2
•
La “distanza culturale” tra il team operativo sui macchinari e l’IT team.
– Vecchia mentalità: “se sta funzionando, per favore non toccarlo”
– La richiesta di alta affidabilità necessita di frequenti aggiornamenti
e i sistemi produttivi contrappongono maggiori difficoltà
per l’attuazione degli aggiornamenti, con nuove versioni
più sicure (es. Facebook è aggiornata 2 volte al dì).
– ICS hanno “aspettativa di vita” molto maggiore dei sistemi IT tradizionali.
– Le regole e normative nel campo industriale comportano che ogni nuova
“release” venga ricertificata (non c’è differenza tra modifiche delle operazioni
del macchinario e modifiche nella “robustezza dei codici”)
32
Le origini delle debolezze di sicurezza ICS 2/2
•
Mantenere la sicurezza ICS allacciata a sistemi datati è una sfida continua.
•
Spesso ICS gira su processori di limitate capacità, che significa che molti
SW di sicurezza ICS non possono essere caricati (per es. un programma
antivirus):
– Non ci sono sw per autenticare gli operatori, oppure i codici sono
di dimensione insufficiente.
– Spesso ICS richiede manutenzione e diagnosi da remoto, utilizzando
link di accesso remoto, come anche le operazioni di manutenzione,
tutto tramite l’utilizzo di collegamenti di accesso spesso insicuri .
– Il Risk management è estremamente difficoltoso in questa area,
perchè ogni miglioramento al rischio comporta alti costi e non
ci sono affidabili statistiche per ipotizzare nel modo migliore
cosa può succedere (scenari).
33
Elementi ICS da esaminare con attenzione 1/2
• La gestione della sicurezza ICS e di IT dovrebbe essere
considerata con un approccio olistico .
– Specifici controlli e procedure per ICS
•
Come l’organizzazione ha definito le necessità di sicurezza ICS.
– Gestione della configurazione (del software),
– Gestione delle Patch ,
– Antivirus,
– Segmentazione di rete e sicurezza ,
– Credenziali di gestione separate tra ICS e enterprise IT,
– Incidenti e Change management.
34
CREAZIONE DI UN SECURITY HUB SIEMENS MONDIALE
 • Mantenimento ed espansione del Security Network
 • Coordinamento Incidents a livello mondo
 • Realizzazione di Alerts e contromisure
 • Cooperazione con…enti di certificazione industriale , etc…
 • CERT locali
 • Strutture governative
 • Enti normatori e di standardizzazione
 • Gestione aspetti di Import/export
È NATO nel 2011 ICS CERT (ICS CYBER EMERGENCY RESPONSE TEAM):
 100 ingegneri di Siemens dedicati alle emergenze WW 24/24hx7
http://www.siemens.com/industrialsecurity
26/03/2015
35
36
I benchmarks di sicurezza per l’automazione industriale
 Certificazione Achilles, Livello 1
 􀂃
Viene conseguita con il superamento del solo CRT(Communication Robustness Test).
Certificazione Achilles, Livello 2
􀂃 In aggiunta al Livello 1, ogni protocollo di comunicazione viene testato in
dettaglio
􀂃 Equivale al CRT (Communication Robustness Test) di ISCI
􀂃 Siemens CERT è accreditato per certificare al Livello 2 di Achilles
􀂃 Siemens è stato il primo automation dealer a conseguire la certificazione
Achilles per i propri prodotti.
􀂃
􀂃
􀂃
ISA Secure Certification
Functional Security Assessment (FSA)
Software Development Security Assessment (SDSA)
Communication Robustness Testing (CRT): Achilles Level
37
Anche GE invia Alert alle aziende
GE ha pubblicato lo scorso
gennaio una T.I.L. che
segnala alle aziende loro
clienti la possibilità che i
sistemi ICS e SCADA
possano subire minacce
cibernetiche e chiede che
vengano rispettati
determinati tempi di reazione
ai fini della «compliance»
38
….
Ma…. cosa dice la legge
39
COMPLIANCE
 D.lgs. 231/2001: adeguatezza e effettiva applicazione dei controlli IT a
presidio dei reati (art. 24)
 Art. 24 bis (introdotto con la legge 48/08): responsabilità amministrativa
anche per Delitti informatici e trattamento illecito di dati
 D.lgs. 231/2001: Adeguatezza misure di sicurezza (art 31)
 Legge 48/08: ratifica della Convenzione di Bruxelles del 2001. Modifiche al
codice penale: Reati informatici artt. 491 – 615 ter e seguenti C.P
 Protezione dati personali D.lgs. 196/03: art. 31 – Rischi che incombono sul
trattamento dei dati personali: accesso non autorizzato, distruzione o
perdita, anche accidentale dei dati trattamento non consentito o non
conforme alle finalità di raccolta =>misure di sicurezza idonee
40
E che obblighi abbiamo
…e la conservazione della prova
 Nell’ambito della responsabilità di adottare misure minime di sicurezza (art. 6
D.lgs. 231/01 di cui sopra), un’azienda deve catturare, processare, preservare
e analizzare le informazioni ottenute da una risorsa informatica per determinare
la fonte di un attacco a quelle risorse.
 Per poter utilizzare una “prova informatica” in tribunale devo poter dimostrare la
sua integrità dall’origine.
 Perché?
 Il 60% delle frodi aziendali coinvolge dipendenti interni
 Il 65% delle frodi viene scoperto per caso
 Nel 78% dei casi si tratta di dipendenti autorizzati
41
Attenzione alla responsabilità organizzativa
La mera facoltà si trasforma in “sostanziale ed
irrinunciabile” obbligo in tema di adozione del modello
di organizzazione, gestione e controllo, da parte
dell’organo dirigente dell’ente, secondo una recente
sentenza con la quale è stata riconosciuta la
responsabilità civile di un amministratore executive nei
confronti della società ex art. 2392 c.c. per non aver
assolto l’onere (dovere) di attivare il Consiglio di
Amministrazione a valutare l’adozione di un adeguato
modello di prevenzione del rischio in presenza di reati
che l’adozione del modello avrebbe potuto impedire.
Fonte: Sentenza n. 1774/2008 del Tribunale di Milano
42
…..O al contrario
Tribunale
di
Milano:
prima
sentenza
di
assoluzione di una società dalla responsabilità
amministrativa (D.Lgs. 231/01) per aver adottato
un idoneo modello organizzativo.
Responsabilità
amministrativa
dell’Ente: il modello organizzativo
può
rappresentare
una
reale
esimente
Tribunale di Milano - Sentenza 17 novembre 2009 43
AGENDA:
1. I SISTEMI DI CONTROLLO INDUSTRIALE (ICS)
E DIFFERENZE CON SISTEMI TRADIZIONALI
2. RISCHI ASSOCIATI A ICS
3. DANNI INFORMATICI E DANNI AI MACCHINARI
5. COME MITIGARE I DANNI
4. TRASFERIMENTO DEL RISCHIO
Le assicurazioni “possono” assumersi
una parte dei rischi
 Qualunque sia l’evento, gli effetti sono sempre
l’alterazione, la perdita , modifica o la sottrazione dei
dati (programmi e informazioni) ,oppure l’alterazione
di processi;
 I danni possono essere sia materiali (es. il
danneggiamento di una macchina automatica) sia
immateriali (es. perdita di dati necessari al
funzionamento del processo);
 Essi possono avere impatto sui conti dell’azienda per
le conseguenze che direttamente comportano,
oppure indirettamente, per la necessità di dover
interrompere.parzialmente/interamente.l’operativi
tà della produzione industriale) ;
 Possono poi riguardare l’azienda colpita oppure terze
parti rispetto alle quali poi si è chiamati a rispondere;
Interna
Evento
 E di quelli di responsabilità per i danni che possono
essere arrecati a terzi compreso le spese legali
connesse.
Volontaria
Accidentale
Effetti
esterna
Infedeltà
Prevenzione
Cultura
Hacker
Cyber criminal
Spyonage
Errore nel SW
Istruzioni errate
Falle nei
controlli
Virus
Malware
Alterazione di processi
di produzione industriale
 Le assicurazioni possono intervenire a protezione dei
danni materiali e immateriali diretti (ripristino dei
sistemi danneggiati, gestione della crisi, spese extra,
estorsione);
 Di quelli indiretti causati dalla perdita di opportunità
(perdita di ricavo/profitto) derivante dalla
sospensione o malfunzionamento di una o più fasi
del processo produttivo ;
origine
Natura
Guasti macchine/alterazioni dei Dati
Distruzione dei prodotti difettosi
Danni
Ritiro sul mercato prodotti difettosi
PERDITE DI PROFITTO
Perdite di mercato (reputazione).
Dipendenti/terzi (Responsabilità Civili)
45
OGGI
All’interno di una All’interno di una polizza
copertura All risks «cyber» o informatica,
l’indennizzo al danno
tradizionale,
materiale
al
qualsiasi danno
«e-risk» è escluso
macchinario da virus è
esclusa, così come non
è coperto il prodotto che
viene
conseguentemente
danneggiato
46
DOMANI
Un unico prodotto
assicurativo a tutela dei
rischi legati al mondo
dell’informatica
E che vi tuteli anche dal
fermo della macchina e
dalle conseguenze che
ne possono derivare
(perdita di profitto,
danno alle merci in
lavorazione)
47
MAPPA DELLE COPERTURE ASSICURATIVE
Rischio
informatico
Danno
immateriale
Danno materiale
(guasto
macchine)
Responsabilità
civile
Frode
informatica
Perdita di
profitto
Danno di
immagine
48
TRASFERIMENTO DEL RISCHIO ALL’ASSICURATORE
Massimo Danno Probabile
(Valore €)
Risk analysis
fatturato
Sottolimiti €
Spese
impreviste
Interruzione
di
trasmissione
Perdita di
profitto
Computer
forensics
Brand
protection
Merci in
lavorazione
49
Si
possono
assicurare
le
conseguenze dirette, materiali ed
immateriali e le Perdite di
Profitto (BI) conseguenti a virus,
infedeltà dei dipendenti, crash dei
sistemi,
attacco
informatico
(intrusione, DoS ecc..), sabotaggio
oppure, anche le SPESE EXTRA
sorgenti anche da un errore
umano (es. cambio di release) ;
I danni diretti ai macchinari sono
direttamente connessi ad un
evento identificato come «danno
immateriale»
provocato
dalla
modifica illecita delle corrette
istruzioni
registrate
nelle
macchine.
malware Cybercrime
Computer forensics
infedeltà
virus
ICT/ICS
Systems
scoppio
Guasti
macchine
Errore umano
informatica
Guasti
macchine
Malfunzionamento
Collo di bottiglia
Danni a merci in lavorazione
Alterazione
istruzioni
Perdita di
Profitto
50