Cos’e successo?
All’inizio di novembre 2023, Concevis AG — un’azienda basilese di software specializzata in applicazioni per le autorita svizzere — e stata vittima del ransomware Phobos. Gli aggressori hanno cifrato i server dell’azienda ed esfiltrato grandi quantita di dati, successivamente pubblicati sul Darknet.
L’incidente e diventato pubblico il 10 novembre 2023, quando la Confederazione ha confermato che erano coinvolti anche dati dell’amministrazione federale. Concevis aveva accesso a dati sensibili di diversi uffici federali, tra cui l’Amministrazione federale delle contribuzioni (AFC) e l’Ufficio federale di statistica (UST).
L’attacco e un esempio tipico di attacco Supply Chain: non e stata hackerata la Confederazione stessa, ma un fornitore esterno, attraverso il quale gli aggressori hanno ottenuto indirettamente accesso ai dati federali.
Chi e stato colpito?
- Amministrazione federale delle contribuzioni (AFC): dati fiscali di privati e aziende potenzialmente compromessi
- Ufficio federale di statistica (UST): dati di censimento e indagini statistiche interessati
- Ufficio federale dell’aviazione civile (UFAC): dati relativi all’esercizio aeronautico e alla sicurezza
- Armasuisse: dati di approvvigionamento dell’esercito svizzero
- Diversi Cantoni e Comuni che utilizzavano software Concevis
- Migliaia di privati i cui dati fiscali e personali sono finiti sul Darknet
- Concevis AG stessa, che ha dovuto ridurre massicciamente le proprie attivita dopo l’incidente
Il Centro nazionale per la cibersicurezza (NCSC) ha assunto il coordinamento e ha classificato l’incidente come uno dei piu gravi nella storia dell’amministrazione federale svizzera.
Qual e stata l’entita dei danni?
Le stime conservative indicano un danno totale di CHF 10-30 milioni, distribuito tra tutte le parti coinvolte. Il danno reputazionale a lungo termine per la strategia svizzera di e-government non e incluso.
Una cyberassicurazione avrebbe aiutato?
Analisi dei costi e copertura assicurativa
| Voce di costo | Costo stimato | Coperto dalla cyberassicurazione? |
|---|---|---|
| Risposta all’incidente e forense | CHF 500’000-1 mio. | Si — aiuto immediato da specialisti |
| Ripristino dei sistemi | CHF 1-2 mio. | Si — ricostruzione IT coperta |
| Notifica alle persone interessate | CHF 200’000-500’000 | Si — obbligo normativo |
| Consulenza legale protezione dati | CHF 500’000-1 mio. | Si — tutela giuridica inclusa |
| Responsabilita civile verso Confederazione/Cantoni | CHF 3-10 mio. | Si — componente responsabilita cyber |
| Richieste di risarcimento di terzi | CHF 1-5 mio. | Si — copertura danni a terzi |
| Interruzione dell’attivita | CHF 500’000-1 mio. | Si — copertura perdita di ricavi |
| Comunicazione di crisi e RP | CHF 200’000-500’000 | Si — spesso incluso nella polizza |
| Multa IFPDT | CHF 0-500’000 | Parzialmente — dipende dalla polizza |
| Danno reputazionale e perdita clienti | CHF 5-10 mio. | No — danno a lungo termine non quantificabile |
| Danno totale stimato (Concevis) | CHF 12-32 mio. | ~50-70% potenzialmente coperto |
Conclusione: Una cyberassicurazione con un massimale adeguato (CHF 10-20 mio.) avrebbe potuto essere vitale per Concevis. La componente di responsabilita civile verso i clienti delle autorita sarebbe stata particolarmente decisiva.
Insegnamenti per le PMI svizzere
-
I fornitori informatici come fattore di rischio: Se il vostro fornitore di software viene hackerato, i vostri dati sono compromessi. Verificate che i vostri partner IT dispongano di misure di sicurezza e cyberassicurazioni adeguate.
-
Rischi di responsabilita come fornitore di servizi: Se la vostra PMI fornisce software o servizi informatici, siete responsabili delle perdite di dati. Una cyberassicurazione con componente di responsabilita civile e obbligatoria.
-
Phobos — pericoloso anche per le PMI: Il ransomware Phobos prende di mira specificamente le piccole e medie imprese, ed e accessibile come Ransomware-as-a-Service (RaaS).
-
Considerare la sensibilita dei dati: Le aziende che trattano dati particolarmente sensibili (dati fiscali, sanitari, personali) hanno un rischio maggiore.
-
Tutela contrattuale: Chiarite nei vostri contratti con i fornitori informatici chi e responsabile in caso di cyberattacco.
-
Audit regolari: Verificate regolarmente gli standard di sicurezza dei vostri partner IT.
Proteggete la vostra azienda
Il caso Concevis lo dimostra: nell’economia interconnessa, la vostra azienda e sicura solo quanto l’anello piu debole della catena di approvvigionamento. Una cyberassicurazione vi protegge non solo dagli attacchi diretti, ma anche dalle conseguenze degli incidenti Supply Chain.
Richiedete una consulenza senza impegno. Gli specialisti di BTAG Versicherungsbroker AG a Berna conoscono i rischi specifici dei fornitori informatici e delle aziende con dati clienti sensibili. Insieme troveremo la cyberassicurazione adatta al vostro profilo di rischio.