Ransomware


l nostro assicurato, una società di costruzioni, è stato vittima di un attacco ransomware mirato. I sistemi dell’assicurato sono stati violati dopo che un dipendente ha fatto clic su un collegamento dannoso comparso su un’email. I sistemi e i server dell’assicurato sono stati crittografati e successivamente è comparsa una richiesta di 800.000 sterline in bitcoin.
L’assicurato ha consultato gli incident response manager
di Chubb al fine di istruire gli esperti di informatica forense
per stabilire il metodo e la portata dell’attacco. Pur non avendo pagato il riscatto, le operazioni commerciali complessive sono state interrotte per oltre sei mesi.

Sezione di copertura applicabile:
Recupero di dati e sistemi, Interruzione dell’attività,
Spese di incident response e Cyber estorsione.

Attenuazione
Revisione periodica della sicurezza IT, formazione dei
dipendenti, backup periodico dei dati e attuazione di Piani
di Disaster Recovery e Business Continuity.

 
 

Condotta impropria del dipendente


Il nostro assicurato è stato vittima di un dipendente disonesto che si è appropriato di oltre 700 documenti relativi a dati personali dei clienti, inclusi nomi, indirizzi e recapiti.
Tali documenti sono stati forniti al nuovo datore di lavoro in favore di quest’ultimo. Poiché tale evento si è verificato in seguito al GDPR, è stato necessario comunicarlo all’ufficio di regolamentazione locale e ai soggetti interessati.

Sezione di copertura applicabile:
Responsabilità derivante da violazioni di obblighi di riservatezza e Spese di incident reponse.

Attenuazione
È incredibilmente difficile impedire che dipendenti disonesti possano provare a causare danni. Molto spesso hanno accesso al sistema necessario per consentire il furto di dati sensibili personali o aziendali. In base alla giurisprudenza attuale, è probabile che una società sia responsabile nei confronti dei propri clienti. Una soluzione assicurativa cyber di Chubb fornisce gli strumenti necessari per sopperire al verificarsi di una suddetta circostanza.

Errore di un dipendente


Il nostro assicurato, una cooperativa edilizia regionale nel
Regno Unito, inavvertitamente ha subito una violazione dei
dati a seguito dell’errore di un dipendente. Pubblicando un
nuovo annuncio per una proprietà vacante, il dipendente ha
erroneamente incluso un’immagine della documentazione
medica di un altro cliente all’interno della brochure online
della proprietà.

Sezione di copertura applicabile:

Responsabilità derivante da violazioni di obblighi di
riservatezza e Spese di incident response.

Attenuazione

È importante disporre di una politica sulla privacy a livello
aziendale che descriva il protocollo per la gestione delle
informazioni sensibili. I dipendenti dovrebbero avere la
responsabilità di comprendere e riconoscere la conformità
della politica almeno una volta l’anno.

Accesso non autorizzato – Phishing


Il nostro assicurato, un’azienda di logistica, è stato vittima di un attacco malware di phishing. Un dipendente all’interno del team HR dell’assicurato ha cliccato su un collegamento dannoso all’interno di una e-mail. Sul suo computer è apparso un pop-up in cui si comunicava che il computer era stato infettato e si suggeriva di contattare il numero fornito. I truffatori hanno quindi ottenuto l’accesso remoto al computer del dipendente ingannandolo durante ulteriormente lo stesso durante la chiamata.

Sezione di copertura applicabile:
Responsabilità derivante da violazioni di obblighi di riservatezza, Responsabilità derivante da violazioni della rete e Spese di incident response.

Attenuazione

Anche con i migliori sistemi e tecnologie di sicurezza, la risorsa più vulnerabile di un assicurato è spesso il suo personale. Il personale può essere indotto a fornire password o accesso. Si consiglia una
regolare formazione sul phishing, ed è fondamentale possedere una polizza assicurativa adeguata.

Perdita di documenti fisici

Il nostro assicurato, uno studio legale, ha contattato la incident
response hotline di Chubb quando è emerso che un dipendente
dello studio, infrangendo il protocollo dell’impresa,
prelevava la documentazione dei clienti dall’ufficio
conservandola nella propria auto. Successivamente l’auto
è stata rubata e la documentazione dei clienti smarrita.

Sezione di copertura applicabile:
Responsabilità derivante da violazioni di obblighi di riservatezza e Spese di incident response

Attenuazione
Disporre di un processo chiaro per l’archiviazione sia fisica che digitale dei dati. È importante effettuare il regolare back-up dei dati per essere in grado di recuperarli rapidamente. Creare una politica sulla privacy a livello aziendale che i dipendenti siano tenuti a riconoscere e a rispettare.