Conosciamo il Cyber Insurance MFA Mandate

22/09/2021

La maggior parte delle compagnie assicurative, ora richiede alle organizzazioni di adottare l’MFA per sottoscrivere un’assicurazione Cyber Security.

Nonostante l’aumento della spesa per la sicurezza informatica – quasi 134 miliardi di dollari nello scorso anno – le violazioni dei dati costano alle aziende in media 3,86 milioni di dollari per incidente. Il numero sale alle stelle per coloro che operano in settori fortemente regolamentati e per coloro che si occupano di informazioni sensibili di identificazione personale (PII).

L’ottenimento di un’assicurazione di responsabilità informatica è emersa come una strategia chiave per le aziende per mitigare le perdite e i costi derivanti dagli attacchi informatici. Colonial Pipeline ha già presentato un reclamo alla sua compagnia assicurativa informatica per il riscatto di 4,4 milioni di dollari che ha pagato ai suoi aggressori a maggio. PwC stima che il mercato delle assicurazioni informatiche crescerà fino a raggiungere i 7,5 miliardi di dollari nel prossimo decennio poiché sempre più aziende lo considerano un costo necessario per il proprio business.

Questa rapida crescita, tuttavia, non si è necessariamente tradotta in profitti per i vettori. La portata e i danni dei recenti attacchi, come l’hack di SolarWinds, hanno portato a enormi successi per gli assicuratori informatici. Di conseguenza, le aziende che sottoscrivono o rinnovano polizze possono aspettarsi forti aumenti dei premi, fino al 50% secondo un rapporto di Aon PLC. Possono anche aspettarsi che la maggior parte delle policy richieda l’MFA per qualificarsi per la copertura.

Che cos’è la Cyber Liability Insurance (Assicurazione di Responsabilità Informatica)?

Chiamata più semplicemente assicurazione informatica, copre la responsabilità di un’azienda in caso di violazione dei dati o altri incidenti informatici. Questi tipi di incidenti sono in genere esclusi dalle polizze di responsabilità generale e di proprietà, quindi le organizzazioni che cercano di proteggere i propri dati e risorse richiedono una copertura informatica supplementare o un’assicurazione informatica autonoma.

Ogni polizza assicurativa informatica è diversa e alcune possono differenziare le aree di copertura, ma comunemente affrontano i costi associati a:

  • Interruzione operativa
  • Perdita o distruzione di dati
  • Incident response and investigation
  • Gestione della crisi
  • Pagamenti di ransomware o altre richieste di estorsione
  • Spese legali e difesa

Alcuni possono anche coprire multe e sanzioni associate a GDPR, HIPAA, requisiti di sicurezza informatica del NYDFS e altre normative sulla privacy e sulla sicurezza dei dati.

Comprensione del requisito MFA di assicurazione informatica

La Multi Factor Authentication (MFA) è stata a lungo raccomandata dagli assicuratori informatici come controllo di sicurezza critico data la debolezza intrinseca dei metodi di autenticazione a fattore singolo (es. password). Le organizzazioni con piani per il rinnovo o l’acquisto, tuttavia, stanno scoprendo che la raccomandazione è diventata un mandato.

L’MFA richiede due o più metodi di verifica per consentire agli utenti di accedere a un sistema, dispositivo o applicazione. Nella sua forma più elementare, questo consiste nella password familiare più uno di questi metodi di verifica aggiuntivi:

  • Conoscenza: qualcosa che conosci, come la risposta a una domanda di sicurezza, un PIN o una password monouso.
  • Possesso: qualcosa che hai come un token OTP per smartphone o hardware.
  • Inerenza – Qualcosa che sei, ovvero dati biometrici come un’impronta digitale, un volto o una voce.

L’autenticazione a più fattori rende molto più difficile hackerare un account poiché un utente malintenzionato avrebbe bisogno di più del nome utente e della password, ma anche di controllare il dispositivo utilizzato per l’autenticazione o impersonare i dati biometrici dell’utente, rendendo un attacco più dispendioso in termini di risorse per il malintenzionato.

Perché gli assicuratori richiedono l’MFA?

Fino a poco tempo fa, le aziende potevano ottenere polizze assicurative informatiche senza dover fare i salti mortali. La crescente domanda di assicurazione sulla responsabilità informatica, il numero crescente di richieste di risarcimento e un picco nella gravità delle richieste hanno spinto i sottoscrittori a esaminare più da vicino i controlli di sicurezza di un’organizzazione. La mancanza di adeguate misure di sicurezza informatica può comportare premi più elevati o un rifiuto definitivo.

Il mandato di MFA è una mossa intelligente da parte dei vettori, dato che il mercato delle assicurazioni cyber degli Stati Uniti ha avuto un rapporto di sinistri medio combinato del 103% lo scorso anno, e questo era prima dell’attacco di SolarWinds. Richiedendo l’MFA, gli assicuratori informatici riducono drasticamente la loro esposizione. Il rapporto di indagine sulla violazione dei dati del 2021 di Verizon ha rilevato che le credenziali sono il primo tipo di dato rubato e che le credenziali violate portano al 61% di tutte le violazioni.

Credenziali come password e altri segreti condivisi sono anche il principale vettore di accesso per il ransomware, che lo scorso anno ha rappresentato quasi la metà dei sinistri assicurativi informatici. L’autenticazione a più fattori rende molto più difficile per gli aggressori ottenere l’accesso a un sistema e scatenare ransomware o altri tipi di malware.

Cosa impedisce alle aziende di implementare l’MFA?

Gli esperti di sicurezza hanno battuto per anni il tamburo dell’autenticazione a più fattori, i fornitori di assicurazioni informatiche ora lo richiedono. Allora perché le aziende non hanno implementato l’MFA? I motivi includono:

  • Costo: include eventuali costi hardware come le chiavi di sicurezza, nonché la loro implementazione e gestione continua, inclusi i costi dell’help desk IT quando gli utenti vengono bloccati o hanno altri problemi di accesso.
  • Perdita di produttività: richiedere ai dipendenti di utilizzare un fattore aggiuntivo significa che impiegano più tempo per accedere alle applicazioni e ai sistemi di cui hanno bisogno per svolgere il proprio lavoro. In caso di problemi di accesso, ci sono tempi di inattività e sovraccarico dell’helpdesk fino a quando non viene risolto.
  • Esperienza utente scadente: i lavoratori e i clienti resistono all’adozione di MFA in quanto richiede più passaggi per l’autenticazione.
  • La riduzione del rischio è insufficiente: l’MFA non è una pallottola d’argento. Molti metodi MFA possono essere aggirati con astuti attacchi di phishing, SIM-swapping, attacchi man-in-the-middle (MitM) e altre sofisticate tecniche di bypass.

È qui che entrano in gioco le nuove tecnologie MFA passwordless. A seconda del tipo di soluzione MFA passwordless implementata, potrebbero non esserci costi hardware oltre agli smartphone che gli utenti già hanno e l’accesso è molto più semplice e veloce persino dell’autenticazione basata su password. Ancora più importante, la vera tecnologia passwordless, in cui né l’utente né il fornitore di servizi possiedono un segreto condiviso o condivisibile, è molto meno vulnerabile agli attacchi.

L’autenticazione passwordless soddisfa i requisiti MFA della Cyber ​​Insurance?

In poche parole, l’autenticazione passwordless sostituisce il fattore basato sulla conoscenza, ovvero la password, con qualcosa che si possiede o qualcosa che si è. L’MFA passwordless richiede molteplici fattori di autenticazione, che si allineano al controllo di sicurezza dell’autenticazione a più fattori richiesto dagli assicuratori informatici.

Tuttavia, le soluzioni MFA passwordless possono variare notevolmente nell’approccio e nei metodi di autenticazione. Alcuni utilizzano ancora una qualche forma di segreto condiviso, rendendoli soggetti alle stesse vulnerabilità delle tecnologie MFA standard. Altri richiedono ancora token di sicurezza hardware, i cui costi sopra menzionati e altri aspetti negativi ostacolano l’adozione dell’MFA. Il vero MFA passwordless segue gli standard di autenticazione stabiliti da FIDO Alliance. L’autenticazione avviene utilizzando il sensore biometrico sul dispositivo o un PIN decentralizzato per sbloccare una coppia di chiavi crittografiche pubblico-private, che viene generata sul dispositivo mobile utilizzando la crittografia asimmetrica. I segreti rimangono al sicuro e con l’utente. Non vengono mai trasmessi o condivisi.

Soddisfa il mandato di MFA di Cyber Insurance in modo indolore

HYPR semplifica l’implementazione di True Passwordless™ MFA nelle organizzazioni e, cosa altrettanto importante, coinvolge gli utenti. L’accesso brevettato avviato dall’utente e una potente architettura certificata FIDO, offrono un accesso semplice e veloce bloccando gli attacchi PUSH e altri tipi di phishing, credential stuffing, brute force, MiTM, replay e attacchi social engineering.

Per scoprire come HYPR aiuta a soddisfare i requisiti MFA di assicurazione informatica, parla con i nostri esperti.

Foto di Green Pass digitali e stampati fornite dai venditori ai loro acquirenti.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Netwrix acquisisce PolicyPak, sicurezza ai desktop

Netwrix acquisisce PolicyPak, sicurezza ai desktop

I Clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità, per identificare e mitigare i rischi per la sicurezza dei dati Netwrix acquisisce PolicyPak, produttore di software che aiuta le organizzazioni di tutte le dimensioni a...