După provocările aduse de accelerarea digitalizării activităţii din timpul pandemiei, directorii generali din România încep să înţeleagă riscurile pe care această transformare le implică şi au în plan creşterea investiţiilor în securitatea cibernetică. Iar îngrijorările liderilor sunt cu siguranţă legitime, ca răspuns la intensificarea atacurilor cibernetice din ultimii doi ani şi în condiţiile în care costul global al criminalităţii cibernetice aproape s-a dublat în 2020, comparativ cu 2018, situându-se la peste un trilion de dolari, potrivit unui raport realizat de compania americană de software antivirus McAfee.
Conştientizarea riscurilor şi importanţei unei strategii de securitate cibernetică a făcut un salt uriaş în timpul pandemiei, comparativ cu anii anteriori când companiile din România declarau că sunt la început de drum şi când investiţiile în securitatea informatică erau impulsionate în principal de cerinţele de reglementare, după cum arăta un studiu realizat de PwC România şi Microsoft în 2017. La vremea respectivă, 40% dintre companiile româneşti intervievate arătau că nu au o strategie de securitate informatică formal adoptată.
Reglementările rămân însă la fel de importante, mai ales în contextul obligativităţii de implementare a Legii 362/2018 (care transpune Directiva NIS - UE 2016/1148), prin care companiile care prestează servicii esenţiale pentru populaţie trebuie să elaboreze şi să implementeze soluţii avansate care să le asigure securitatea informatică şi protejarea infrastructurilor critice şi să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice. Sectoarele de activitate vizate sunt: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), sectorul bancar, infrastructuri ale pieţei financiare, sectorul sănătăţii, furnizarea şi distribuirea de apă potabilă şi infrastructură digitală, dar şi administraţia publică.
• Directiva NIS, investiţii necesare şi rezultate
Potrivit unui sondaj efectuat de ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) în noiembrie 2021, din aproape 1.000 de respondenţi, 82% au implementat Directiva NIS, în timp ce 67% necesită buget suplimentar pentru a implementa toate cerinţele acesteia.
Bugetul mediu alocat la nivelul statelor membre pentru implementarea directivei NIS a fost de 98.000 euro, România situându-se în a doua parte a clasamentului cu o sumă medie de 60.000 euro. Cele mai mari sume, între 100.000 şi 140.000 euro, au fost alocate în Italia, Franţa, Austria şi Polonia, iar cele mai mici, de 20.000 euro, în Grecia, Malta şi Letonia. Pe sectoare, cele mai multe fonduri au fost în sectorul energetic şi cel bancar, iar cele mai mici în furnizarea şi distribuţia apei potabile, infrastructurile pieţei financiare şi infrastructura digitală.
De remarcat este faptul că sumele alocate pentru investiţii sunt mult mai mici decât costurile directe ale unui incident major de securitate cibernetică estimate în medie la 169.000 euro, arată raportul ENISA -NIS Investments Report 2021. Iar rezultatele investiţiilor deja se văd, aproape jumătate dintre respondenţi, considerând că punerea în aplicare a directivei NIS le-a consolidat direct capacităţile de detectare a ameninţărilor, iar 26% au raportat consolidarea capacităţilor de recuperare a datelor.
Nerespectarea implementării directivei NIS aduce după sine consecinţe importante: de la sancţiuni din partea autorităţii competente la pierderi financiare în urma unor potenţiale atacuri şi chiar afectarea reputaţiei.
• Atacurile cibernetice, locul cinci în topul ameninţărilor la adresa companiilor din România
Pe măsură ce organizaţiile extind parteneriatele externe pentru a introduce noi soluţii digitale şi a le grefa pe propriile structuri IT, sistemele rezultate tind să genereze un risc cibernetic tot mai mare.
Iar acest lucru reiese şi din cel mai recent sondaj global PwC "Digital Trust Insights 2022", potrivit căruia peste 60% dintre directorii generali şi de tehnologie anticipează o creştere a criminalităţii cibernetice şi în 2022, în fruntea listei ţintelor pentru atacuri aflându-se reţelele mobile, Internet of Things (IoT) şi serviciile cloud.
Aproape 60% dintre respondenţi se aşteaptă la o creştere a atacurilor asupra serviciilor lor de cloud, iar 56% prevăd mai multe breşe de securitate la nivelul furnizorilor lor de software. În acelaşi timp, respondenţii estimează o creştere semnificativă a atacurilor ransomware.
În România, atacurile cibernetice se află pe locul cinci în topul ameninţărilor la adresa perspectivelor de dezvoltare a companiilor, arată sondajul CEO Survey România 2021, astfel că, dacă în trecut securitatea informatică era o problemă doar a departamentului IT, în acest moment a devenit o prioritate pe agenda directorilor generali, necesitând o abordare strategică şi reprezentând o responsabilitate a întregii organizaţii. Dincolo de supraveghere şi protecţie din punct de vedere tehnic în faţa pericolelor, eforturile de securitate trebuie să se concentreze şi pe iniţiative de digitalizare a modelelor de business, eco sistemelor şi proceselor interne.
Şi, din moment ce digitalizarea va continua, marea majoritate (85%) a directorilor generali din România planificând majorări ale investiţiilor în transformarea digitală, în următorii trei ani, ei vor creşte şi fondurile pentru securitatea cibernetică. Peste o treime (35%) au spus că investiţiile lor în acest domeniu vor creşte semnificativ, cu 10% sau mai mult.
România se înscrie astfel mai degrabă în trendul global, decât cel regional. Potrivit CEO Survey, directorii generali de la nivelul Europei Centrale şi de Est plasează atacurile cibernetice abia pe locul zece în topul ameninţărilor şi numai 27% vor creşte investiţiile cu peste 10% în acest domeniu. În schimb, la nivel global creşterea semnificativă a numărului incidentelor de securitate cibernetică din 2020 a propulsat ameninţările cibernetice pe locul doi în topul preocupărilor, imediat după pandemii, iar 31% dintre directorii globali au în plan creşterea investiţiilor cu două procente.