CONFERINŢA SECURITATEA CIBERNETICĂ | VLAD STOICHIŢESCU, HEAD OF TECHNOLOGY RISKS DIVISION, OTTO BROKER: "Suntem expuşi la riscuri pe care partenerii de afaceri pot să ni le transmită fără voia lor"

Suntem expuşi la o serie întreagă de riscuri pe care partenerii noştrii de afaceri pot să ni le transmită fără voia lor, a spus Vlad Stoichiţescu, Head of Technology Risks Division, în cadrul Otto Broker.

Domnia sa a afirmat: "Vorbim de relaţia furnizor-client pentru că noi nu mai trăim în bule. Suntem interconectaţi aproape total. Asta înseamnă că, în fiecare zi, fie în amonte fie în aval, suntem expuşi la o serie întreagă de riscuri pe care partenerii noştri de afaceri pot să ni le transmită fără voia lor. Vedem o creştere accelerată a cerinţelor din partea companiilor, a clienţilor finali, ca furnizorii lor de servicii să aibă asigurare, iar multe sunt legate de zona de răspundere profesională şi răspundere cibernetică. Asta înseamnă că oamenii sunt conştienţi că pot apărea erori legate în ceea ce livrează furnizorii, fie că vorbim de produse fie că vorbim de servicii. Foarte mulţi dintre noi, inclusiv compania noastră, depindem de nişte furnizori de servicii care trebuie să îşi facă bine meseria şi, mai mult, trebuie să ne şi protejeze, în cazul în care cineva vrea să ne atace".

Vlad Stoichiţescu a adăugat: "De câţiva ani nu mai este suficient să avem o securitate cibernetică proprie bine pusă la punct, ci trebuie să mapăm foarte bine în amonte şi în aval. Asta deoarece atacatorii au început să vadă un potenţial foarte lucrativ să atace un furnizor pentru a ajunge la clientul final. Ceea ce este cumva logic, pentru că mulţi nu suntem obişnuiţi să ne scanăm furnizorii până la a vedea cât de bine sunt protejaţi în ceea ce priveşte securitatea cibernetică".

Conform unui studiu al European Union Agency for Cybersecurity (ENISA), prezentat de Vlad Stoichiţescu, atacurile de tip "supply chain" au crescut accelerat în ultimii doi ani. "În două treimi din cazuri, atacatorii s-au concentrat pe soft-uri şi coduri proprii ale furnizorilor. În mai mult de jumătate din cazuri a fost vorba de datele clienţilor, indiferent că vorbim de date cu caracter personal, date medicale, date legate de carduri pentru plăţi, etc. În două cazuri din trei, furnizorii nu au ştiut sau nu au notificat clienţii despre faptul că sistemele lor au fost compromise. În general, nu doar în România, oamenii nu se simt confortabil să spună că au fost compromişi. Iar asta alimentează un ciclu vicios în care noi nu spunem că am fost călcaţi, atunci nici vecinul nostru nu o să ştie ce o să facă când este atacat şi aşa mai departe".

Conform reprezentantului Otto Broker, există câteva lucruri pe care trebuie să le facem mult mai des. "Ar trebui să avem o hartă a furnizorilor noştri. În special acei furnizori care ne dau servicii critice, de care depinde şi continuitatea afacerii. Ar trebui să ne punem o serie de întrebări - Avem un Business Continuity Plan (BPC)? Avem un Disaster Recovery Plan (DR)? Toate aceste lucruri ţin de managementul propriu, dar în acelaşi timp se transformă în costuri pe care, dacă nu ai nişte bani în buget puşi deoparte, şi multă lume nu îi are, ar trebui externalizate către o asigurare".

Legat de ceea ce face o asigurare cibernetică, Vlad Stoichiţescu a spus: "Asigurarea cibernetică este complementară măsurilor de securitate pe care orice companie şi individ, într-o anumită măsură, trebuie să le aibă în vedere. Asigurarea acoperă financiar nevoia de suport specializat în cazul unei daune: specialişti IT, avocaţi specializaţi GDPR, companii de PR de criză".

De asemenea, o asigurare cibernetică acoperă prejudiciile proprii în urma unui atac dar şi potenţiale răspunderi faţă de terţi în cazul în care atacul se răspândeşte dinspre sistemele proprii, inclusiv amenzi GDPR. O poliţă bună poate avea acoperire inclusiv pentru terorism cibernetic sau atacuri "nation-backed", a mai spus reprezentantul Otto Broker, care a conchis: "Dacă tu nu poţi să te asiguri, cere-le furnizorilor tăi să o facă".