Dopo essere caduta vittima di un attacco ransomware, la compagnia assicurativa statunitense CNA Hardy ha pagato un riscatto di 40 milioni di dollari. Considerato anche l'attacco ad AXA, è evidente che questo non sia un buon momento per le compagnie assicurative. Tuttavia ci sono molti aspetti della vicenda di CNA che hanno attirato critiche.

Il primo è il pagamento del riscatto. A prescindere dalla cifra stratosferica, il solo fatto che sia accaduto non è un buon esempio da parte di una compagnia assicurativa. Come ribadito in occasione dell'attacco contro AXA, pagare i riscatti ai gruppi ransomware è sbagliato perché così facendo si incentivano e supportano finanziariamente queste azioni criminali. Nessuno meglio di una compagnia assicurativa dovrebbe saperlo, e sapere che spesso gli attaccanti non sono di parola.

La seconda questione è più sottile ma più spinosa. Come la maggior parte delle aziende che assicurano terzi contro il rischio informatico, anche CNA propone ai clienti la sottoscrizione di servizi di cyber security atti a garantire che le reti assicurate siano ben protette mediante soluzioni di detection, response e remediation di alto livello. Nel caso specifico di CNA, il servizio si chiama CyberPrep ed è realizzato "in collaborazione con i principali specialisti di sicurezza informatica". Non era installato nelle reti interne del fornitore o non è efficiente come promesso?
La terza questione è ancora più grave. Spesso, fra le conseguenze di un attacco, c'è il danno d'immagine, che si verifica nel momento in cui i dati sottratti dai cyber criminali vengono resi pubblici. Stando a quanto riferisce a Bloomberg un anonimo bene informato, CNA avrebbe cercato di coprire un data leak. La gola profonda sostiene che l'attacco, oltre a bloccare l'operatività dei dipendenti, abbia anche comportato il furto di dati sensibili, nonostante le fonti ufficiali lo abbiano escluso. Forse per "coprire" il problema, due settimane dopo l'attacco è stato deciso il pagamento di un riscatto tanto alto.

Ransomware e riscatti

Come accennato sopra, non è un buon momento per le compagnie assicurative. L'anno pandemico sta fortemente spingendo verso una resa dei conti fra difensori e attaccanti. Le compagnie assicurative sono strette nel mezzo, con la liquidazione degli indennizzi alle vittime di ransomware, e devono prendere una posizione. I criminali informatici hanno abusato oltre ogni limite accettabile della pandemia. Dal punto di vista morale, attaccando ospedali e centri di ricerca. Dal punto di vista finanziario, rendendo le richieste di riscatto sempre più insostenibili.

È chiaro che il meccanismo perverso che si è innescato debba essere fermato. Il problema è come. Assicurare alla giustizia tutte le persone coinvolte nei cyber attacchi è una sfida che le forze dell'ordine devono combattere per contratto, ma che è praticamente impossibile da vincere. Occorre quindi adottare dei diversivi.

Uno è indebolire il sistema chiudendo i rubinetti finanziari del cybercrime, mediante il blocco del pagamento dei riscatti. Non avrà influenza sui gruppi APT, che sono finanziati da stati-nazione, ma lascerà a bocca asciutta i gruppi motivati finanziariamente. È la posizione delle aziende di cyber security, e dovrebbe essere la posizione delle compagnie assicurative. In quest'ottica AXA ha fatto la scelta giusta, pagandola a caro prezzo, mentre CNA ha dato un esempio fortemente negativo.


Come spesso accade, poi, manca il supporto fattivo del legislatore. Ossia manca una legge, invocata da molti ma mai realizzata, che inquadri come reato il pagamento dei riscatti a seguito di attacchi ransomware. Riscatti che, per essere onesti, sempre più spesso servono non a ripristinare l'operatività delle aziende vittime, quanto a nascondere una mancanza di adeguata protezione dei dati e di compliance alle normative vigenti.

La security non può e non deve funzionare così. Come si è accettato universalmente il fatto che per guidare l'automobile occorre la patente, bisogna accettare che la cyber security deve partire con un'analisi del rischio ben fatta, essere sviluppata implementando soluzioni atte a proteggere a dovere l'infrastruttura, gli endpoint e i dati. Il tutto in maniera compliance alle normative. E deve comprendere piani di disaster recovery adeguati. Come ha pubblicizzato CNA prima dell'attacco, "sviluppare un piano di violazione e sapere quali misure adottare in caso di attacco può aiutare a salvare un'azienda". Peccato che non l'abbia fatto.