Călin Rangu, ASF: La nivel european, media de despăgubire pentru o daună cibernetică este între 2,5 și 3 milioane euro

Atacurile cibernetice sunt un risc care se întâmplă și gestionarea lor este o problemă de managment, a spus Călin RANGU, Director Autoritatea de Supraveghere Financiară și Vicepreședinte Comitet ITF Europa, la Cybersecurity Forum 2021 by Financial Intelligence.

El a spus: “Managmentul trebuie să înțeleagă aceste riscuri și trebuie vorbit, nu pe limbaj IT,  ci pe limbaj de managment. Trebuie vorbit de riscuri operaționale în cadrul companiilor, de riscuri financiare. Lumea nu se asigură și nu ia măsuri de securitate cibernetică pentru că nu comensurează pierderea financiară. De multe ori, au și dreptate. În final, dacă nu pot să comensurezi în contabilitatea ta, nu ai un activ pe care-l pierzi, nu ai o pierdere financiară efectivă, ci se plătește recuperarea, se plătesc activități separate, eventual amenzi (de GDPR și altele).

Această evaluare  (n.n. a riscurilor cibernetice) este o activitate managerială. Trebuie să trecem de la zona tehnică în zona managerială a securității cibernetice. Sunt foarte importanți specialiștii în managementul sistemelor informatice, cât și cei în securitate. Ei trebuie să lucreze strâns împreună și securitatea să fie deja luată în calcul în proiectarea sistemelor informatice. Soluția informatică în sine trebuie proiectată pentru a rezista cu o anumită probabilitate la atacuri informatice. Probabil poți s-o proiectezi să reziste la 80 la sută, iar 20 la sută reprezintă acea pierdere care poate să fie generată orice măsuri ai lua. Și atunci, te duci spre asigurator. E foarte normal să te duci spre asigurator, mai ales dacă ne uitam la noua legislație. Directiva NIS, transpusă și în legislația românească, atrage răspunderea managementului, inclusiv penal și financiar pentru lipsa măsurilor aferente.  În momentul în care tu ți-ai luat măsuri 80 la sută, te-ai și asigurat pentru eventuale sancțiuni, alte pierderi financiare, atunci poți să ai un pachet complet care respectă principiile. Astfel, de fapt, protejezi și clienții. Este un ecosistem care trebuie avut în vedere.”

Potrivit domnului Rangu, ASF a emis, încă din 2015, o normă privind riscurile operaționale generate de IT,  tocmai pentru ca societățile supravegheate să fie reziliente chiar la aceste atacuri cibernetice: „Până acum, nu am avut incidente de securitate. Riscuri operaționale înseamnă riscuri legate de oameni, procese, sisteme și mediul extern.

Vorbim foarte mult de hakeri, dar toate statisticile arată că 60-70 la sută din atacuri sunt generate de personalul propriu, nu din exterior.

Grosul pierderilor sunt făcute de oamenii din interior și sunt foarte greu de detectat. Aici vorbim de alte sisteme care trebuie implementate pentru monitorizare. Firmele de asigurări au un rol foarte important în acest sens.”

Călin Rangu a mai menționat: ”Un asigurator nu te ia niciodată în asigurare dacă nu te evaluează înainte. Și la o asigurare de viață, declari înainte ce boli ai avut. La fel, și la o asigurare cibernetică, trebuie să faci o evaluare a vulnerabilităților și să iei măsuri să le reduci. Asiguratorul te ghidează pentru a reduce aceste vulnerabilități și îți este partener în rezolvarea eventualului incident cibernetic. Rolul social al asiguratorului, prin asigurările cibernetice, se lărgește foarte mult și devine mult mai apropiat de client.

Asiguratorii pot să devină niște parteneri care sa aducă valoare adăugată companiei.”

Asiguratorii români care ofera asigurări cibernetice sunt destul de puțini, dar se pregătesc rapid, pentru că acesta este viitorul, a mai spus Rangu: ”Despăgubirile generate de atacuri cibernetice au depășit demult despăgubirile generate de catastrofe naturale, climatice, cutremure și vor crește în continuare. Europa este în general în urma Americii. 80 la sută din astfel de asigurări sunt încă în Statele Unite.”

La nivel european, media de despăgubire pentru o daună cibernetică este între 2,5 și 3 milioane euro.