Asigurarea de risc cibernetic reprezintă o poliţă de asigurare care acoperă daunele financiare cauzate de atacuri cibernetice sau de alte amenințări la securitatea unei infrastructuri IT&C. Acest tip de asigurare poate fi util pentru orice organizație ale cărei operațiuni comerciale sunt strâns legate de tehnologie și interconectate direct (sau nu) cu rețeaua internet.
Aceasta poate ajuta o organizație să recupereze pierderile şi costurile rezultate din întreruperea activităţii, din atacuri ransomware şi alte tipuri de atacuri cibernetice. În ceea ce privește gestionarea riscurilor şi a expunerii la amenințările provenite din spațiul cibernetic, companiile tind să utilizeze multiple soluţii tehnologice, inclusiv hardware şi software de securitate, servicii de consultanță, pentesting şi rapoarte frecvente de evaluare a riscurilor cibernetice. În ciuda cheltuielilor substanțiale, majoritatea organizațiilor nu au o viziune reală asupra riscurilor cibernetice şi a potențialului impact al acestor riscuri asupra nivelului economic şi operațional.
Conform Raportului privind analiza tematică referitoare la asigurarea de risc cibernetic realizat de Autoritatea de Supraveghere Financiară, noțiunea de risc cibernetic cuprinde o multitudine de riscuri care amenință bunurile firmelor, guvernelor sau persoanelor fizice, pierderile în general incluzând active financiare sau nefinanciare, identități, divulgarea de informații sensibile și întreruperea activităților/afacerii.
Există mai multe tipuri de polițe de asigurare de risc cibernetic ce pot să acopere mai multe tipuri de riscuri, cum ar fi:
- Atacurile Ransomware. Acest gen de atacuri au crescut în frecvenţă, severitate şi grad de rafinare în ultimii ani, creând o adevărată industrie profitabilă pentru actorii cibernetici. Aceste atacuri nu numai că au potenţialul de a opri operaţiunile zilnice, dar pot expune victima la consecinţele juridice, reputaţionale şi financiare genarate de pierderea (exfiltrarea) de date confidențiale din infrastructura țintă.
- Risc de reglementare. Reglementările privind confidenţialitatea datelor cu caracter personal sunt din ce în ce mai aspre, iar multe companii nu și-au dezvoltat încă o strategie solidă pentru gestionarea acestora. Regulamentul general privind protecţia datelor (GDPR), Health Insurance Portability and Accountability Act (HIPAA) sau Legea privind confidenţialitatea informaţiilor biometrice (BIPA) reprezintă doar câteva exemple de reglementări europene sau internaționale la care companiile sunt nevoite să se alinieze.
- Lanţul de aprovizionare (Supply chain). Atacurile asupra lanţului de aprovizionare sunt o oportunitate foarte eficientă pentru un atacator în compromiterea mai multor companii prin exploatarea unui singur element. Pe măsură ce tot mai multe companii își automatizează procesul de producție, atacurile asupra lanțului de aprovizionare vor fi din ce în ce mai populare.
Conform Raportului A.S.F. privind asigurările de risc cibernetic, sunt:
- răspundere pentru scurgerea de informații, inclusiv pierderea datelor personale colectate;
- costuri generate de scurgerile de informații inclusiv costuri legate de notificări și analiză criminalistică;
- răspundere pentru securitatea rețelelor pentru sisteme compromise, inclusiv cauzate de atacuri DOS;
- răspundere media pentru publicații digitale;
- întreruperea afacerii cauzată de un incident informatic;
- costuri de restaurare a datelor și a aplicațiilor rezultate în urma unui incident de natură să afecteze funcționarea afacerii;
- comunicare de criză pentru reducerea riscului reputațional;
- răspundere pentru plăți electronice, inclusiv amenzi și penalități;
- pierderile generate de furtul de proprietate intelectuală.
Deși asigurările de risc cibernetic pot avea un rol esențial în a prelua sau transfera riscurile la care companiile sunt expuse în utilizarea tehnologiei în operațiunile comerciale, oferta asiguratorilor din România nu este una consistentă, iar conceptul este foarte slab promovat. La o căutare pe Google, abia am găsit câțiva brokeri ce amintesc foarte vag în oferta lor de produse de acest tip, fapt cauzat cel mai probabil de interesul scăzut din partea companiilor. Totul este bine cât nu se întâmplă nimic rău, dar un atașament deschis de cine nu trebuie poate schimba radical situația.
Asigurarile de risc cibernetic trebuie sa joace un rol important in eforturile de gestionare a riscurilor informatice, dar acestea nu pot asigura in mod corespunzator o organizatie impotriva tuturor amenintarilor la adresa securitatii. Acesta este motivul pentru care o strategie robusta ce include multe alte masuri de securitate trebuie sa se aplice si sa fie implementata pentru rezolvarea tuturor tipurilor de amenintari cibernetice. Asigurarea de risc cibernetic poate oferi, astfel, ulterioara protectie si sprijin financiar in cazul in care acestea sunt mai putin eficiente.
Felicitari pentru informatiile excelente si utile pe care le oferi despre asigurarea de risc cibernetic. Acest tip de informatii este foarte important pentru companiile care au ca obiectiv cresterea gradului lor de siguranta si securitatea informationala. Cu siguranta, acest material poate servi ca ghid de i