Factorul de risc uman în securitatea cibernetică ar putea fi gestionat cu un sistem de rating cibernetic, așa cum scorurile de credit ajută la evaluarea responsabilității financiare a persoanelor?

Este incontestabil că asigurarea cibernetică și securitatea cibernetică sunt legate intrinsec. Aceste două concepte sunt corelate și co-dependente, împreună formând o bază de protecție solidă. Privind în viitor, totuși, probabil că trebuie să adăugăm o terță parte în această relație: profilul specific de afacere. Așadar, ce ne-ar putea rezerva viitorul?

Există o evoluție evidentă privind această legătură: asiguratorii vor să știe că securitatea cibernetică nu este fiabilă doar pe hârtie, ci și practic. Este probabil ca asiguratorii să solicite dovezi pentru aceste rezultate eficiente, aproape în timp real și, în unele cazuri, chiar în același timp în care sunt primite.

De exemplu, dacă un asigurator solicită un serviciu EDR activ, nu înseamnă „instalați-l și uitați de el” până la reînnoirea asigurării de anul următor. Ei vor să știe că sistemul este operațional și că alertele primesc răspuns prompt. Putem vedea deja această cerință de supraveghere, deoarece unii asiguratori își îndreaptă atenția către furnizarea unui element de servicii gestionate sau solicită rapoarte regulate de la sistemele EDR. Totuși, această prestare de servicii prin intermediul asiguratorului poate provoca un mediu de monocultură a produselor de securitate, în care toți asigurații sunt protejați de un singur produs – lucru care nu este recomandat.

Unde s-ar putea ajunge astfel pe termen lung? Ce ar putea vedea asiguratorii ca o altă metodă de reducere a riscului care, în cele din urmă, înlătură nevoia de a plăti o daună? La urma urmei, scopul lor este de a minimiza plățile și de a menține profitabilitatea.

Factorul uman prezintă un risc semnificativ în ceea ce privește securitatea cibernetică. Oamenii pot fi victime ale ingineriei sociale, pot face greșeli, pot folosi scurtături și, din păcate, comportamentul lor este greu de schimbat. Pe măsură ce asiguratorii caută să-și protejeze profiturile și să reducă daunele, cum pot rezolva problema factorului de risc uman?

Această provocare nu este diferită de cea cu care se confruntă industria financiară, care încearcă să reducă riscul financiar de a împrumuta bani oamenilor care iau decizii proaste, nu fac plăți sau sunt, poate, nesăbuiți cu banii lor. O parte semnificativă a răspunsului pentru industria financiară o reprezintă evaluările de credit: fiecărei persoane i se acordă un scor dinamic care se schimbă pe măsură ce modelele de comportament se schimbă, iar organizațiile financiare își pot ajusta riscul aproape în timp real. Aceasta este o decizie bazată pe date, făcută posibilă prin utilizarea tehnologiei avansate AI și are la bază faptul că datele despre tranzacțiile financiare ale utilizatorilor sunt partajate cu terți, cel puțin parțial.

Ar putea fi evaluările cibernetice viitorul?

Ar putea asiguratorii cibernetici să folosească o abordare similară și să creeze profiluri de risc pentru indivizii dintr-o organizație, care ar ajuta la prevenirea reclamațiilor costisitoare, anticipând probabilitatea ca o persoană să ia o decizie proastă sau să efectueze o acțiune proastă în materie de securitate cibernetică? Cu alte cuvinte, am putea vedea dezvoltarea unui „cyber-rating”, similar cu ratingul de credit utilizat în domeniul financiar?

În unele țări și regiuni, un potențial angajator poate respinge un solicitant pe baza ratingului său de credit, cel puțin pentru rolurile în care este necesară responsabilitatea financiară și poate va veni o zi în care un rating cibernetic similar să fie utilizat în același mod.

Să ne imaginăm un scenariu în care fiecare utilizator de internet are o astfel de evaluare bazată nu pe detaliile tranzacțiilor sau pe comunicările sale, ci pe unele elemente specifice ale interacțiunilor sale online și modelelor de comportament. Cu suficiente informații, s-ar putea face o predicție bazată pe date pentru a stabili dacă o persoană este predispusă să acceseze un link de phishing, să atașeze date necriptate la un e-mail sau să deprindă obiceiuri de navigare îndoielnice. Ca în cazul ratingurilor de credit, toată lumea ar putea să-și vadă ratingul cibernetic și să primească sfaturi despre cum să-l îmbunătățească, la fel cum facem cu ratingurile de credit astăzi.

Angajatorii ar putea folosi această măsură pentru a se asigura că oferă o anumită poziție unei persoane responsabile cibernetic, care nu va pune compania în pericol. Asiguratorii pot cere clienților lor să nu angajeze pe nimeni sub un anumit punctaj sau să pună limitări celor cu scoruri mai mici, reducând astfel expunerea la risc.

Unii angajatori monitorizează deja comportamentul online al angajaților și îi identifică pe cei care prezintă un risc, astfel încât să poată consolida ulterior conștientizarea securității cibernetice și politica de reducere a riscului. Acest lucru este însă controversat, deoarece poate încălca confidențialitatea și legea muncii. Pe de altă parte, un potențial angajat ar putea fi dispus să renunțe la asemenea drepturi dacă aceasta înseamnă să-și asigure un loc de muncă, în același mod în care poate consimți ca angajatorul să efectueze o verificare a ratingului său de credit.

Un rating cibernetic ar putea avea și alte utilizări și chiar să consolideze sistemul de rating al creditelor. Fraudele și înșelătoriile online implică adesea ca victima să fi întreprins acțiuni online. Dacă probabilitatea ca cineva să facă clic pe o ofertă incredibilă sau pe un e-mail malițios ar fi dezvăluită de o eventuală evaluare cibernetică, atunci o bancă poate impune cerințe suplimentare de autentificare pentru persoana respectivă atunci când tranzacționează online. Cele două evaluări s-ar putea completa reciproc.

Pe de altă parte, este evident că securitatea din jurul evaluărilor cibernetice ar trebui să fie foarte strictă. Dacă aceste scoruri de risc ar cădea în mâini greșite, infractorii cibernetici le-ar putea utiliza pentru a identifica persoanele care sunt cele mai susceptibile la phishing și la alte atacuri. Acest lucru ar putea transforma în mod eficient sistemul într-un instrument pentru targetarea persoanelor vulnerabile, subminând total scopul inițial, și anume îmbunătățirea măsurilor de securitate cibernetică și de gestionare a riscurilor.

Există multe moduri în care asigurările cibernetice ar putea evolua în timp, dar capacitatea de a elimina sau de a reduce factorul de risc uman ar fi următorul mare câștig dincolo de impunerea cerințelor actuale de securitate cibernetică asupra cărora asiguratorii insistă astăzi.

Pentru a afla mai multe despre transformarea afacerii și lucrul hibrid cu inteligența artificială, dar și cum ar trebui să răspundă organizațiile la riscul cibernetic în creștere, ascultați podcastul jurnalistului Peter Warren cu Leslie Wilcox, profesor la London School of Economics, despre problema digitalizării și importanța unui echilibru între eficientizarea costurilor și reziliența cibernetică.