Siniestros cibernéticos Qué nos enseñan los escenarios de pérdidas Thomas Rothärmel, CU Cyber Team Semana de Seguro, Madrid, 25 de Febrero, 2016
Contenido 1. Consideraciones estadísticas 2. Ejemplos actuales de siniestros 08.03.2016 2
Resultados principales del último estudio de Ponemon Coste de la Violación de Datos 2015 (Daños Económicos) Violaciones de datos más caras en EE.UU. y Alemania EE.UU.: 217 USD per cápita * / 6,5 mill. USD Alemania: 211 USD p.c. / 4,9 mill. USD Más baratas en Brasil (78 USD p.c. / 1,77 mill. USD) y en la India (56 USD p.c. / 1,46 mill. USD) Las violaciones de datos más caras en el sector sanitario y educativo Sanidad: 363 USD p.c. y Educación: 300 USD p.c. Más baratas en el Sector de Transporte (128 USD p.c.) y Sector Público (68 USD p.c.) * Coste per cápita = coste total orginado por una violación de datos, dividido entre la dimensión de la violación de datos (número de registros) 3 3/8/2016
Net Diligence Estudio sobre siniestros cibernéticos 2015 (Daños asegurados sobre la base indemnizatoria, mercado estadounidense, quedan excluidos los grandes siniestros) Costes en total de los siniestros según Tipo de Coste 9% 8% 78% Crisis Services Legal Defense Legal Settlement PCI Fines Regulatory Defense Servicios para situaciones de crisis incluidos: Análisis forense, Notificación, Monitoreo del crédito, Asesoramiento jurídico y Relaciones públicas Regulatory Fines 3/8/2016 4
Net Diligence Estudio sobre siniestros cibernéticos 2015 (Daños asegurados sobre la base indemnizatoria, mercado estadounidense, quedan excluidos los grandes siniestros) 35 Causa del siniestro 30 25 20 15 10 5 0 3/8/2016 5
Net Diligence Estudio sobre siniestros cibernéticos 2015 (Daños asegurados sobre la base indemnizatoria, mercado estadounidense, quedan excluidos los grandes siniestros) System Failure 5% Paper Records Lost/Stolen Device Rogue Employee Costes medios según la causa del siniestro 1.000 USD Other Human Error Malware/Virus Hacker 0 200 400 600 800 1000 1200 1400 1600 3/8/2016 6
Net Diligence Estudio sobre siniestros cibernéticos 2015 (Daños asegurados sobre la base indemnizatoria, mercado estadounidense, quedan excluidos los grandes siniestros) Costes medios por Ramos de Negocio (USD) Ramos de Negocio Coste medio Grandes almacenes / minoristas 1.795.266 Servicios sanitarios 1.325.777 Otros 713.133 Servicios Profesionales 329.845 Hotelería 195.447 Servicios financieros 141.249 Tecnologías 90.000 Restaurantes 75.744 3/8/2016 7
Ejemplos de siniestros US Target Corporation en enero de 2014 Cadena minorista estadounidense Target (el tercer minorista más grande en EE.UU.) sufrió una violación de datos masiva (70 mill. tarjetas de crédito y de débito). El malware (programa malicioso) se activó al abrir un correo electrónico que había llegado a la empresa contratada para manejar el sistema de aire acondicionado conectado al sistema informático de Target. El daño económico de probablemente superó los 1.000 mill. de USD. El asegurado calcula que los costes directos ocasionados por la violación de datos se elevan a 264 mill. de USD. Fuente imagen: wikipedia 08.03.2016 8
Ejemplos de siniestros Anthem, aseguradora de Salud estadounidense, febrero de 2015 La segunda aseguradora de Salud más importante de EE.UU. sufrió una violación de datos a gran escala. Sustraidos 78 mill. de números de afiliación a la seguridad social y otros datos en todos sus ramos de negocio Los delincuentes pueden utilizar estos números identificativos en hospitales, urgencias, farmacias. Parece que se ha agotado el limite de la poliza solo con los costes de las notificaciones a las víctimas y los servicios gratuitos para controlar robos y créditos. Fuente imagen: google 08.03.2016 9
Ejemplos de siniestros: Sony Computer Entertainment ( Playstation ) Violación de Datos En abril de 2011: Se consiguió acceder a 77 millones de nombres de usuarios, sus direcciones y otras informaciones El ciberataque afectó al servicio de juegos online de "Playstation", al servicio de transmisión continuada de "Qriocity", así como a los diseñadores y publicadores internos de juegos de "Sony Online entertainment" El dominio.network quedó fuera de servicio durante 23 días La violación de datos en Sony Network causó un daño de 170 millones (cifra oficial actual) 08.03.2016 10
Ejemplos de siniestros: Sony Pictures Entertainment Hackers robaron más de 25 gigabytes de datos sensibles de decenas de miles de empleados de Sony Pero: Se robaron contratos, planes de márketing y secretos comerciales (posiblemente también de terceros) Se pusieron en línea películas que aún no se habían estrenado en los cines: Pérdidas por interrupción de actividad? Perdida de beneficios? Los costes mayores incluyen: costes de investigación, reparación o reemplazo de ordenadores, medidas para prevenir un futuro ataque. Pérdidas por interrupción del actividad. 08.03.2016 11
Ejemplos de siniestros: Proveedor de electricidad en Ucrania - Prykarpattyaoblenergo El 23 de diciembre de 2015 se produjo en Ucrania un apagón que afectó a 103 ciudades. Especialistas están convencidos que la causa del apagón fue un ciberataque El Ataque se realizó en tres fases: 1) spear phishing, 2) cargar un programa malicioso; 3) aplicar el software "Killdisk" Quién llevó a cabo el ciberataque? 08.03.2016 12
(c) 2014 Münchener Rückversicherungs-Gesellschaft (c) 2014 Munich Reinsurance Company Muchas gracias por su atencion!