Quando l’assicurazione cyber non basta: la lezione di Hamilton

Quella che segue è una breve storia “educativa” per chi pensa (purtroppo sono più di quanti pensassi) che un’assicurazione contro il rischio di attacchi cyber sia la soluzione del problema. Correva il mese di febbraio del 2024 e la città canadese di Hamilton si trovava improvvisamente in ginocchio. Un attacco ransomware, sofisticato e mirato, aveva compromesso circa l’80% della rete cittadina, bloccando per settimane servizi critici come l’emissione delle licenze commerciali, la pianificazione dei trasporti, la gestione delle tasse. Alcuni sistemi, tra cui i registri dei vigili del fuoco e quelli per la gestione della segnaletica stradale si scoprirà in seguito che risulteranno irrecuperabili. I criminali chiedevano un riscatto di 18,5 milioni di dollari. La città non pagò, giudicando rischioso e poco affidabile il recupero tramite strumenti forniti da criminali. In compenso la spesa per la risposta all’attacco, il ripristino dei sistemi e il supporto di esperti esterni ha raggiunto oggi i 18,3 milioni, di cui 14 milioni solo per consulenze tecniche. E per il futuro la municipalità si aspetta ulteriori costi. Certo l’emergenza è stata gestita nel tempo record di due giorni, ma soprattutto c’era la “grande speranza” perché la città aveva stipulato una polizza specifica per il rischio cyber. Peccato che dopo un anno e mezzo la compagnia assicurativa ha definitivamente respinto la richiesta di risarcimento. Il motivo? Al momento dell’attacco non era stata completamente implementata l’autenticazione a più fattori (MFA), una condizione esplicitamente prevista dalla polizza per la copertura. La città non ha nemmeno pensato di portare la compagnia in tribunale data l’evidenza dei fatti; quindi, ha investito altri milioni di dollari per migliorare la sicurezza dei propri sistemi e poi ha rinnovato la copertura assicurativa. Le polizze cyber sono piuttosto complesse, anche perché le stesse assicurazioni fanno un’enorme fatica a valutare il rischio, ma, e questa è una gigantesca banalità, come sempre quando si parla del digitale, sembra che alle persone sfuggano le logiche più elementari. Se lasciate la porta di casa aperta e vi derubano l’assicurazione rimborsa? Ovviamente no. Se lasciate le chiavi in auto e ve la rubano sarete risarciti? Palesemente no. Se qualcuno preleva dei soldi con la vostra carta da uno sportello utilizzando il PIN, la banca vi restituirà i soldi? Evidentemente no. Allora, per quale arcano mistero, tanti pensano che, se stipulano una polizza cyber senza mettere in sicurezza i sistemi, l’assicurazione pagherà? Chiaramente sono privi di qualsiasi capacità di astrazione.