Securitatea cibernetică este mai mult decât o prevedere legală (Op-ed)

Victor Gânsac Foto: Arhivă personală

Atacurile cibernetice au început să aibă o frecvență din ce în ce mai mare, reprezentând una dintre componentele războiului hibrid care se desfășoară între diverse state, la nivel regional sau chiar global. Recent, instituții cheie din țări precum Norvegia, Israel, Albania și Lituania au fost victime ale unor atacuri cibernetice, a căror activitate a fost afectată pe o perioadă de până la câteva zile, iar impactul negativ asupra administrației publice și chiar a economiei este dificil de cuantificat. De asemenea, companii din majoritatea statelor sunt expuse riscului atacurilor cibernetice, care pot aduce pierderi financiare directe, inclusiv insolvența, dar și indirecte, prin scăderea capitalului de imagine și pierderea încrederii clienților și partenerilor.

Luna trecută, asigurătorul global Hiscox a publicat cea de-a șasea ediție a raportului Cyber Readiness, care analizează stadiul implementării securității cibernetice în opt piețe – Marea Britanie, SUA, Spania, Țările de Jos, Germania, Franța, Belgia și Irlanda. Dintre companiile intervievate, 48% au raportat cel puțin un atac cibernetic în ultimele 12 luni. Conform raportului, numărul de companii care se confruntă cu atacuri cibernetice continuă să crească. Totodată, atacurile cibernetice devin din ce în ce mai severe și afectează inclusiv companiile mici și mijlocii, care, în mod paradoxal, au început să scadă bugetele dedicate departamentelor IT.

În România, fenomenul securității cibernetice a luat amploare târziu, în urmă cu doar patru ani. Până la acel moment, gradul de conștientizare a nevoilor de securitate cibernetică în cadrul companiilor era la un nivel extrem de scăzut. În 2018 a fost adoptată Directiva NIS (Directiva UE 2016/1148 a Parlamentului European și a Consiliului aprobată în 2016), prin legea nr. 362/2018. Obiectivul Directivei NIS este asigurarea unui nivel ridicat de securitate informatică a rețelelor și a sistemelor informatice în cadrul Uniunii Europene. Cu alte cuvinte, companiile care operează servicii esențiale pentru populație (OES) – companii din energie, transport, sectorul bancar, infrastructuri ale pieței financiare, sănătate, sectorul furnizării și distribuirii de apă potabilă, sectorul infrastructurii digitale – precum și cele care furnizează servicii și soluții digitale (DSP) – furnizori de servicii cloud, motoare de căutare și piețe online –  sunt obligate să elaboreze și să implementeze soluții mai avansate care să le asigure securitatea cibernetică și să colaboreze cu autoritățile publice în vederea unui eventual răspuns comun în cazul atacurilor informatice.

În practică, implementarea măsurilor în aceste companii din România vizează protejarea infrastructurilor critice și digitale și asigurarea funcționării sistemelor care sunt fundamentale pentru societate. Astfel, faptul că a apărut o normă legislativă pe subiectul securității cibernetice a generat o primă reacție din partea companiilor și instituțiilor publice asupra subiectului. Normele de aplicare ale Legii nr. 362/2018 au apărut destul de târziu, la mijlocul anului 2020, o perioadă în care departamentele IT din cadrul companiilor și instituțiilor publice erau suprasolicitate pentru a implementa tranziția de la munca de la birou la lucrul de acasă.

În prezent, la nivel european, lucrurile se îndreaptă către o nouă etapă în această direcție. Consiliul și Parlamentul European au ajuns la un acord pentru implementarea unor noi măsuri de securitate cibernetică, prin intermediul unei noi Directive, NIS2, care o va înlocui pe cea existentă. Directiva NIS2 va introduce o serie de modificări, printre care lărgirea sectoarelor și serviciilor asupra cărora se vor reflecta măsurile NIS, precum și implementarea unor obligații mai restrictive de securitate și notificare a incidentelor. Odată ce NIS2 va fi adoptată la nivelul UE, statele membre vor avea la dispoziție 21 de luni pentru a transpune directiva în legislația națională.

Pe lângă implementarea Directivei NIS, în România, amenințările cibernetice au crescut într-un ritm alert începând cu anul 2020, odată cu izbucnirea pandemiei de COVID-19. Prin urmare, acela a fost momentul în care mediul de business a început să acorde o atenție sporită securității cibernetice. Din experiența noastră, la nivel local, amenințările cibernetice și-au făcut simțită prezența puternic în sectorul bancar, la nivelul instituțiilor publice, în cadrul companiilor active în domeniul utilităților sau sănătate. De asemenea, observăm o creștere alarmantă a unor astfel de atacuri și la nivelul companiilor de dimensiuni medii sau mici.

La nivelul anului 2021, percepția afacerilor din România asupra acestui fenomen era încă extrem de scăzută comparativ cu alte țări din Europa. Într-un studiu publicat de ESET în 2021 cu privire la 24 de țări europene care au implementate cele mai bune practici de securitate cibernetică (European Cybersecurity Index), România a ocupat ultimul loc, având multe lucruri de îmbunătățit în această direcție. La polul opus, pe primele trei locuri s-au situat Portugalia, Lituania și Slovacia.

Motivele pentru care ne aflăm în coada clasamentului sunt multiple. Unul dintre acestea ține de nivelul scăzut de digitalizare din România, după cum este evidențiat și în cadrul ediției 2022 a Indicelui economiei și societății digitale (DESI). În cadrul indicelui, România se situează pe locul 27 din cele 27 de state membre ale UE, iar creșterea anuală relativă a țării noastre este inferioară celorlalte țări. De asemenea, conform DESI 2022, România înregistrează în continuare un nivel foarte scăzut de competențe digitale de bază în comparație cu media UE, iar integrarea tehnologiilor digitale și a serviciilor publice digitale este la un nivel scăzut comparativ cu alte state membre ale UE. Totodată, țara noastră are cele mai scăzute procentaje în ceea ce privește IMM-urile care au cel puțin un nivel de bază de intensitate digitală (22%) și întreprinderile care fac schimb electronic de informații (17%).

Având în vedere aceste cifre, nu reprezintă o surpriză faptul că nivelul de adoptare a măsurilor de securitate cibernetică continuă să fie unul redus. În acest sens, este nevoie ca în continuare să fie efectuate procese de educare a părților implicate în mediul de business cu privire la riscurile domeniului securității cibernetice, într-o perioadă în care digitalizarea este omniprezentă și continuă să se dezvolte într-un ritm accelerat. Companiile și instituțiile publice preferă să implementeze măsuri de securitate cibernetică doar în situația în care sunt obligate de lege sau atunci când sunt victimele unui astfel de atac și înțeleg consecințele acestora într-un mod extrem de dur.

Conform sondajului „Tax & Cyber”, publicat recent de EY Romania, 57% dintre companiile din intervievate menționează că au în vedere creșterea investițiilor în îmbunătățirea proceselor de securitate cibernetică. Procentajul este unul scăzut, având în vedere că securitatea cibernetică este un proces care se îmbunătățește constant. Atacurile nu sunt niciodată la fel și se dezvoltă în paralel cu măsurile de protecție implementate. Prin urmare, investițiile în securitatea cibernetică trebuie să fie constante, ele funcționând ca o poliță de asigurare, prin reducerea efectelor negative asupra activității și reputației companiilor în cazul unui atac cibernetic.

Orice zi de întârziere privind implementarea de măsuri de securitate cibernetică poate avea un efect devastator asupra activității unei companii. Având în vedere că internetul nu are granițe între țări, guvernele nu pot implementa la nivel macro soluții de securitate care să protejeze la nivel național companiile și instituțiile în ceea ce privește securitatea cibernetică, așa cum sunt apărate granițele terestre.

Securitatea cibernetică este mai mult decât o prevedere legală. Aceasta este o responsabilitate a fiecărei companii sau instituții publice și trebuie privită ca o măsură de prevenție, un proces bazat pe analize de risc ce trebuie gestionat în mod continuu și care trebuie să facă parte din cultura organizațională a unei organizații. Așa cum la nivel de reputație, o companie își implementează soluții de gestionare a crizei (crisis management) prin departamentul de comunicare pentru situații care pot afecta reputația companiei, la fel trebuie privită și implementarea măsurilor de securitate cibernetică.

Victor Gânsac este președintele Consiliului de Administrație și CEO al Safetech Innovations

Urmărește mai jos producțiile video ale Economedia: