Articol PwC: Pierderile din cauza criminalității cibernetice depășesc cu mult investițiile în soluții de securitate. Companiile au înțeles riscurile și cresc fondurile alocate

În timpul pandemiei, am asistat cu toții la o accelerare a procesului de digitalizare, un proces la care s-au angrenat majoritatea companiilor. Directorii generali din România au înțeles însă, destul de repede, care sunt și riscurile asociate digitalizării, plănuind ca primă măsură, creșterea investițiilor în securitatea cibernetică.

Îngrijorările lor sunt evident legitime în contextul în care costul global al criminalității cibernetice este aproape de două ori mai ridicat anul trecut comparativ cu anul 2018. Momentan, acesta este de peste un trilion de dolari, potrivit unui raport realizat de compania americană McAfee.

„Conștientizarea riscurilor și importanței unei strategii de securitate cibernetică a făcut un salt uriaș în timpul pandemiei, comparativ cu anii anteriori când companiile din România declarau că sunt la început de drum și când investiţiile în securitatea informatică erau impulsionate în principal de cerinţele de reglementare, după cum arăta un studiu realizat de PwC România și Microsoft în 2017. La vremea respectivă, 40% dintre companiile româneşti intervievate arătau că nu au o strategie de securitate informatică formal adoptată”, scriu Mircea Bozga, partener risk assurance și Robert Girdoc, senior manager risk assurance, PwC România.

„Reglementările rămân însă la fel de importante, mai ales în contextul obligativității de implementare a Legii 362/2018 (care transpune Directiva NIS - UE 2016/1148), prin care companiile care prestează servicii esențiale pentru populație trebuie să elaboreze și să implementeze soluții avansate care să le asigure securitatea informatică și protejarea infrastructurilor critice și să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice. Sectoarele de activitate vizate sunt: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), sectorul bancar, infrastructuri ale pieței financiare, sectorul sănătății, furnizarea și distribuirea de apă potabilă și infrastructură digitală, dar și administrația publică”, adaugă cei doi.

Potrivit unui sondaj realizat în luna noiembrie a acestui an de Agenția pentru Securitate Cibernetică a Uniunii Europene, ENISA, 82% dintre respondenți au implementat deja directiva NIS în vreme ce 67% au nevoie de buget suplimentar pentru a implementa toate cerințele acesteia.

La nivelul statelor membre ale Uniunii, bugetul mediu alocat pentru implementarea directivei NIS a fost de aproape 100 de mii de euro, România clasându-se în cea de-a doua parte a topului cu o medie de 60.000 de euro. Cele mai mari sume, de peste 100 de mii de euro și până la 140.000 de euro au fost alocate în Italia, Franța, Austria și Polonia. La polul opus s-au clasat state precum Grecia, Malta și Letonia cu fonduri medii alocate de sub 20.000 de euro. Pe sectoare de altfel, cele mai multe fonduri au fost alocate după cum era de așteptat în sectorul energetic și cel bancar, în vreme ce cele mai mici bugete pentru securitate cibernetică au fost alocate în furnizarea și distribuția apei potabile, infrastructura digitală și infrastructura pieței financiare.

„De remarcat este faptul că sumele alocate pentru investiții sunt mult mai mici decât costurile directe ale unui incident major de securitate cibernetică estimate în medie la 169.000 euro, arată raportul ENISA -NIS Investments Report 2021. Iar rezultatele investițiilor deja se văd, aproape jumătate dintre respondenți, considerând că punerea în aplicare a directivei NIS le-a consolidat direct capacitățile de detectare a amenințărilor, iar 26% au raportat consolidarea capacităților de recuperare a datelor. Nerespectarea implementării directivei NIS aduce după sine consecințe importante: de la sancțiuni din partea autorității competente la pierderi financiare în urma unor potențiale atacuri și chiar afectarea reputației”, conchid cei doi specialiști PwC.