În România, 4 din 10 directori ori manageri din IMM-uri se declară „nu foarte bine” sau „deloc” informaţi în legătură cu riscurile infracţiunilor cibernetice. Cred că ar trebui să ne aşezăm în jurul unei mese rotunde, specialişti în securitatea informatică alături de decidenţi din cadrul companiilor, şi să ridicăm vălul mistic de pe acest domeniu în care deciziile pot avea consecinţe semnificative, aşa cum au arătat evenimentele recente.

În decursul a doar trei săptămâni, doi foşti directori au fost condamnaţi cu suspendare – vorbim de Joe Sullivan, ex-CSO al Uber, şi Ville Tapio, ex-CEO al Vastaamo, o clinică privată de psihoterapie din Finlanda. Ce au ei în comun? Condamnările sunt legate de incidente de securitate şi de acţiunile (dar şi de inacţiunile) celor doi privind securitatea datelor în cadrul companiilor pe care le conduceau. Clinica a intrat ulterior în faliment, chiar dacă avea o cifră de afaceri de 15 milioane de euro.

M-aş fi aşteptat ca primele astfel de sentinţe date unor directori de companii (cazuri nemaiîntâlnite până acum) să ajungă să fie dezbătute şi în afara comunităţii de cybersecurity. Vizibilitatea redusă a unui astfel de subiect îmi pare un simptom al unei comunicări deficitare din domeniu şi mă face să îmi pun o primă întrebare – oare noi, specialiştii în securitate informatică, facem destul pentru a informa directorii IMM-urilor de responsabilitatea lor şi a companiilor de a pune la punct securitatea informaţiilor? Poate că Ville Tapio ar fi apreciat un astfel de efort.

Orice carte de specialitate va menţiona ca pe un fapt incontestabil că securitatea informaţiei este un proces de business (nu de IT), iniţiat şi supravegheat de conducerea companiilor (CxO), făcând parte din „due diligence” şi „due care”. Dar cum facem să aducem teoria în şedinţele de strategie din companii?

După obositorul bombardament informaţional din 2018 legat de GDPR, am rămas oare şi cu altceva în afară de „acorduri privind prelucrarea datelor cu caracter personal”, notificări de cookie-uri de care nu ştim cum să scăpăm mai repede apăsând primul buton la îndemână şi politici de confidenţialitate uitate pe vreun „raft prăfuit” timp de cinci ani? Până la urmă, regulamentul menţionează de suficient de multe ori termenul „măsuri de ordin tehnic şi organizatoric” – dar definite evaziv ca „rezonabile”, „corespunzătoare”, „adecvate” ori „eficace”. Deci, greu de înţeles şi implementat fără ajutor specializat. Ar ajuta oare un limbaj mai prescriptiv, cu direcţii clare de aplicare? Eu am dubii. Poate că, tocmai, legislaţia primară ar trebui să fie vagă, pentru a se putea mula pe situaţiile individuale în care se află companiile. Iar instrumentele de care dispunem noi, profesioniştii din domeniul securităţii (metodologii pentru analize de risc, standarde, baseline-uri sau framework-uri), sunt suficiente şi ar trebui să ne concentrăm pe popularizarea acestora.

Cu siguranţă există lideri şi companii care ştiu să abordeze corespunzător problema, însă dacă ne raportăm la IMM-uri, sondajul Eurobarometru din 2022, „SMEs and Cybercrime”, citat şi mai sus, mă pune pe gânduri. Dacă răsfoieşti studiul, iese imediat în evidenţă că cel mai mare procent al răspunsului „Nu ştiu” este asociat întrebării „Cât de bine credeţi că sunt informaţi angajaţii dumneavoastră în legatură cu riscurile infracţiunii cibernetice?”. Dar poate cel mai îngrijorător este procentul de 90% de IMM-uri din România care au declarat că nu au organizat în ultimul an traininguri sau exerciţii de conştientizare asupra riscurilor cibernetice (este cel mai mare procent dintre ţările sondate). Or, dacă tot ne refeream mai devreme la „măsuri de ordin tehnic şi organizatoric adecvate şi eficace", aceste traininguri sunt considerate nu doar printre măsurile de bază, dar şi cele mai eficiente din punct de vedere investiţional pentru a reduce ameninţările de phishing, folosite din ce în ce mai des, atât pentru fraudă, cât si pentru distribuirea de malware (cu toţii am auzit de şantajul prin ransomware, nu?).

Privind spre viitor, avem ocazia sa nu repetăm aceleaşi greşeli ca în cazul GDPR-ului. Recent a fost adoptată o noua directivă UE pe securitate, NIS2, ce ar trebui să fie transpusă în lege până în octombrie 2024. Dar aceasta vizează doar companiile din sectoarele critice şi importante, unde în general există atât oameni cu expertiză, cât şi norme de aplicare ceva mai detaliate. Însă alte două regulamente ale UE (deci care nu vor necesita o aşteptare pentru a fi transpuse în legile naţionale), ePrivacy şi Cyber Resilience Act, sunt în lucru şi vor avea sfere de influenţă comparabile cu ale GDPR-ului. Cred că cel din urmă are potenţialul de a avea un impact considerabil, fiindcă îşi propune extinderea mărcii CE, prin definirea unor standarde minime de securitate, la orice produs cu „o componentă digitală”. Poate că aceste noi legislaţii vor fi şi oportunităţi pentru a îmbina armonios atât recomandările specialiştilor din domeniul juridic, cât şi ale celor din domeniul securităţii informatice.

Tehnologia se transformă constant şi ar fi bine să ţinem pasul, chiar dacă sentimentul „nu mi se va întâmpla mie” este unul răspândit. De altfel, conform aceluiaşi sondaj european, doar în anul precedent, 28% dintre IMM-uri au fost victime a cel puţin unui incident. Iar conform unui raport din noiembrie 2022 al ENISA, agenţia UE pentru securitate cibernetică, prognoza pare sumbră – metodele de şantaj evoluează, ransomware-ul este menţionat ca primă ameninţare, iar dezvoltarea MSP-urilor (Managed Service Providers) creează noi riscuri, în contextul abuzării lanţurilor de furnizori de servicii, de software sau de hardware – mai ales dacă va continua să predomine ideea că externalizarea serviciilor ar însemna şi externalizarea tuturor responsabilităţilor.

O lume utopică în care nu avem riscuri de securitate cibernetică, fie că sunt ele intenţionale, accidentale sau naturale, pare să nu fie la orizont. În schimb, putem avea o lume în care apelăm instinctiv la profesioniştii din acest domeniu pentru a ne informa, aşa cum nu ezităm să apelăm la un contabil pentru contabilitate sau la un avocat pentru sfaturi juridice..