Cum se transformă securitatea cibernetică?

Într-o economie aproape complet digitalizată, în care companiile din toate sectoarele beneficiază de oportunități extinse de dezvoltare, discuția despre riscurile cibernetice și vulnerabilitățile asociate este mai relevantă ca oricând. În prezent, nicio organizație nu este imună la riscurile cibernetice, potrivit unui comunicat de presă al Leader Team Broker. 

În contextul în care un singur incident poate afecta semnificativ activitatea sau reputația unei organizații, nevoia unor măsuri de protecție avansate este imperativă. Și, în completarea soluțiilor tehnice de securitate informatică vin asigurările, care nu mai sunt percepute ca un cost suplimentar, ci ca un element esențial, parte a strategiei de dezvoltare a oricărei companii, indiferent de domeniul în care activează. Cu atât mai mult cu cât, la nivelul UE, Directiva NIS2 impune companiilor din sectoarele esențiale noi cerințe, care transformă securitatea digitală dintr-o opțiune tehnologică într-o obligație strategică de business, conform comunicatului citat.

La finalul anului 2024, România a făcut un pas major în direcția consolidării securității cibernetice, prin transpunerea Directivei europene NIS2 în legislația națională, mii de companii din domenii strategice precum energie, transporturi, sănătate, infrastructură digitală, producție industrială, apă, servicii IT, administrație publică sau telecomunicații intrând sub incidența noilor reguli.

„Într-o economie tot mai digitalizată, securitatea cibernetică nu mai este o opțiune, ci o necesitate strategică. Vorbim despre o nouă cultură organizațională în care securitatea IT devine parte integrantă din strategia de afaceri. Directiva NIS2 nu este doar o lege, este o schimbare de paradigmă, care ne reamintește că protejarea infrastructurii digitale și a datelor este esențială pentru continuitatea oricărei afaceri. În acest context, și asigurările Cyber au evoluat firesc și s-au transformat din simple instrumente financiare în soluții complete de management al riscului. Ele oferă nu doar despăgubire, ci și sprijin concret în momentul producerii unui incident cibernetic: acces la specialiști IT, juridici, specialiști în comunicare și la planuri rapide de răspuns rapide”, a declarat Alexandra Elena Durbacă, CEO Leader Team Insurance Broker, cu ocazia conferinței „Cyber Insurance & NIS2 – Reglementare, risc și răspundere în era digitală”, organizate de Leader Team Broker de asigurare.

O singură breșă de securitate poate bloca o companie zile întregi, iar costurile de refacere, notificare, consultanță, PR și eventualele despăgubiri pot depăși ușor câteva sute de mii de euro. În lipsa unei asigurări, o afacere poate ajunge în colaps.

„Impactul financiar, operațional și reputațional al unui singur incident poate fi major — de la atacuri ransomware care blochează activitatea zile întregi, până la breșe de securitate care expun informații sensibile și atrag sancțiuni din partea autorităților. Astăzi, companiile au la dispoziție o gamă variată de soluții de asigurare cibernetică, menite să le protejeze împotriva consecințelor financiare și operaționale ale unui incident de securitate. Totodată, asigurătorii moderni, precum CFC, pun accent pe prevenție, nu doar pe reacție, oferind servicii proactive precum scanări de vulnerabilități, instruiri de tip phishing sau monitorizare continuă. (…) Recomandarea noastră este ca organizațiile să adopte o abordare proactivă și să combine protecția oferită de asigurare cu măsuri de prevenție solide: autentificare multifactor (MFA), actualizări regulate ale sistemelor, instruirea angajaților și planuri clare de răspuns la incidente. Nicio companie nu poate elimina complet riscul cibernetic, însă printr-o combinație între reziliență cibernetică și protecție financiară, se poate reduce semnificativ impactul atacurilor și se poate asigura o revenire rapidă după un incident major”, a apreciat Georgia Dicker, expert în Cyber Insurance pentru UK&UE CFC Underwriting – Lloyd’s of London, cu ocazia aceluiași eveniment.

Companiile care intră sub incidența Directivei NIS2 trebuie să demonstreze că dețin politici de guvernanță cibernetică, controale de acces riguroase, procese clare de management al riscurilor și planuri de continuitate a activității. De asemenea, sunt obligate să notifice incidentele majore în termen de 24 de ore, să furnizeze un raport detaliat în 72 de ore și un raport final într-o lună. Neîndeplinirea cerințelor poate aduce sancțiuni severe – până la 10 milioane de euro sau 2% din cifra de afaceri globală pentru entitățile esențiale, potrivit comunicatului de presă citat.

Poate, pentru multe organizații, aceste cerințe pot părea o povară birocratică, însă, în realitate, ele reprezintă un exercițiu de maturitate digitală. Într-o economie conectată, unde o singură breșă poate opri lanțuri întregi de aprovizionare, conformarea la NIS2 înseamnă protejarea business-ului, a partenerilor și a clienților. Pericolele cibernetice pot veni de oriunde și nu neapărat prin scheme complicate, ci, de cele mai multe ori, speculând slăbiciuni ale oamenilor.

„În ultimii ani, atacurile cibernetice au devenit tot mai sofisticate și mai greu de detectat, iar companiile sunt adesea luate prin surprindere. Cele mai frecvente metode folosite de hackeri nu sunt neapărat cele mai complexe din punct de vedere tehnic, ci cele care exploatează slăbiciunile umane și lipsa de disciplină în securitate. Vorbim despre phishing și spear-phishing, prin care utilizatorii sunt păcăliți să dezvăluie informații sensibile, sau despre atacurile ransomware, care criptează datele și pot bloca complet activitatea unei organizații. În continuare, vulnerabilitățile neactualizate și parolele slabe rămân o poartă larg deschisă pentru atacatori, iar compromiterea lanțului de aprovizionare a devenit o metodă tot mai des întâlnită pentru a ajunge la ținte aparent bine protejate. Pentru companiile care vor să reducă riscurile, primul pas este să se concentreze pe lucrurile de bază: autentificare multifactor, actualizări regulate ale sistemelor, backup-uri testate și instruirea constantă a angajaților. O mare parte din incidentele majore ar putea fi evitate doar prin aceste măsuri simple, dar aplicate corect și consecvent. (…)”, a explicat și Matei Josephs, CEO HiveHack.

(Sursa foto – Pixabay)