Călin RANGU, CIO Council: Daunele pe care le plătesc asiguratorii de risc cibernetic sunt între 2 și 11 milioane de euro

Călin RANGU, cofondator CIO Council, a vorbit, la Cybersecurity Forum, organizat de Financial Intelligence, despre necesitatea asigurarilor de risc cibernetic. “In momentul în care tu nu vrei să investești foarte mult, atunci externalizezi riscul cibernetic, printr-o astfel de asigurare”, a spus el.

Călin RANGU a menționat că există un gap de comunicare între conducerea companiilor și IT: “În general, asociația noastră are rolul să faca această punte între IT și business, pentru ca business-ul să înțeleagă nevoile de management profesionist în IT și pe IT-ști. Uneori, dacă ești un conducător de companie fără o experiență profesională în domeniu, poți să ai senzația că cei de la IT îți cer din ce în ce mai mulți bani, nu știi de ce se dau acești bani, dar ești dependent aproape înspre șantaj. Dacă nu dai banii respectivi, ai o problemă și totul moare în jur. Unii se ambiționează și așteaptă să crape și sunt probleme. Din acest motiv, ar trebui vorbit mai mult despre managementul riscurilor.

În Autoritatea de Supraveghere Financiară, de exemplu, în 2015, am participat la elaborarea unei norme referitoare la riscurile operaționale. Ea este o normă referitoare la IT, securitatea IT, dar nu am vorbit despre IT in sine, am vorbit despre riscuri operaționale, care sunt definite ca riscuri legate de oameni, de procese, sisteme și în interacțiune cu mediul extern. Când vorbești astfel unui conducător, e posibil să înțeleagă mai bine, decât dacă intri în detaliile tehnice.”

Asiguratorii preiau aceste riscuri, pe care managerul poate să nu le înțeleagă prea bine, potrivit domnului Rangu: „Când externalizezi riscul la un asigurator, el vine oricum să îți facă o evaluare. Îți pune niște întrebări care te ajută să vezi unde ai problemele și nu ai nevoie neapărat un consultant extern, asiguratorul poate să facă această evaluare și să spună unde sunt punctele de control pe care trebuie să le pui pe procesele tale, astfel încât indicatorii de risc să fie în niște plaje care îți sunt confortabile.”

În România, asigurările de risc cibernetic nu sunt foarte răspândite: ”În România există două companii (n.n. care le oferă), dar sunt foarte mulți brokeri care pot să vândă asigurări de risc cibernetic din străinătate, pentru că au acces la întreagă piață a Uniunii Europene și există astfel de produse, iar daunele pe care le plătesc acestea sunt considerabile, variază între două milioane și 11 milioane de euro. În domeniul sănătății, sunt daunele uriașe, de până la 11 milioane, pentru că și amenzile sunt corespunzătoare. Dacă s-au furat datele medicale ale unor cetățeni și au fost expuse, oamenii aceia cer despăgubiri semnificative și automat și asiguratorul plătește corespunzător.

În România, daunele medii sunt cam de jumătate de milion de euro”.

Întrebat unde s-ar situa costul unei astfel de asigurări pentru o companie mică/medie, Rangu a spus: ”Ține foarte mult de evaluarea companiei, dacă ea a luat niște măsuri de securizare, are elementele acelea minime care s-au menționat, valoarea ei este mult mai mică, în general e vorba de 0,5% din valoarea asigurată. Depinde foarte mult de evaluare, dacă ești pregătit, plătești mai puțin, dacă nu ești pregătit, ți se spune cum să te pregătești să plătești mai puțin. Dacă nu te pregătești, plătești mai mult. ”

El este de părere că ar fi fost bine ca, prin legislație, să se impună astfel de asigurări și pentru companiile mari de stat, care se ocupă de infrastructuri critice.