O companie care se așteaptă la un atac cibernetic, dar nu s-a pregătit activ pentru a-l gestiona, riscă să fie pusă în situația de a lua cele mai dificile decizii în plină criză. 

„Repară acoperișul cât timp soarele strălucește.” – proverb

Securitatea cibernetică are un mod bine cunoscut de a descrie inevitabilul: „o breșă de securitate nu este o chestiune de dacă, ci de când.” Deși afirmația este probabil mai adevărată ca niciodată, pare că și-a pierdut, între timp, din impact. Toată lumea recunoaște că există posibilitatea unei „furtuni la orizont”, însă este această conștientizare suficientă pentru a determina organizațiile să-și elaboreze sau să-și revizuiască planurile de intervenție IT? Mai simplu spus, cât de mult disconfort operațional sunt dispuse organizațiile să tolereze pentru a continua să funcționeze în timpul unui atac cibernetic?

Un lucru este cert: incidentele cibernetice nu vin cu avertisment prealabil și nu anunță data până la care o companie să se poată pregăti. Organizațiile pot doar presupune că va avea loc – la un moment dat, într-o anumită formă și dintr-o direcție greu de anticipat. Însă simpla conștientizare a acestui fapt nu este suficientă pentru a le ajuta să reziste unui atac. Avertismentele nu au nicio valoare dacă nu sunt urmate de acțiune. Companiile cu cele mai mari șanse de succes în criză sunt cele care au folosit perioadele de calm pentru a evalua obiectiv cele mai mari riscuri și pentru a se pregăti ca și cum atacul chiar va avea loc. În securitatea cibernetică, reziliența nu se construiește în timpul incidentului, ci cu mult înainte.

Lacune și vulnerabilități majore: cât de pregătite sunt, de fapt, IMM-urile pentru un atac cibernetic?

Indicele ESET privind nivelul de pregătire cibernetică a IMM-urilor 2026 și-a propus să măsoare diferența dintre frecvența cu care întreprinderile mici și mijlocii ajung în vizorul atacatorilor și gradul de încredere pe care-l au în propria lor capacitate de a face față unui incident. Pe baza unui sondaj realizat în rândul a 4.400 de factori de decizie din Statele Unite, Canada, Europa, Orientul Mijlociu și Japonia, raportul a relevat că 45% dintre IMM-uri au înregistrat cel puțin un incident cibernetic în ultimele 12 luni.

O concluzie și mai interesantă a studiului este modul în care se schimbă nivelul de încredere după producerea unui incident real. La nivel global, 75% dintre respondenți se consideră fie foarte încrezători, fie relativ încrezători în capacitatea organizației de a face față și de a se redresa în urma unui atac cibernetic. Procentul crește la 81% în rândul companiilor care au trecut deja prin mai mult de un incident.

Figura 1. Încrederea în reziliența cibernetică

Cu alte cuvinte, nivelul de încredere pare să crească odată cu frecvența incidentelor, nu în pofida acestora. Au ajuns oare organizațiile afectate în repetate rânduri să privească experiențele avute drept dovada că „ce nu te doboară te face mai puternic”? Sau au acceptat pur și simplu că breșele de securitate fac parte din realitatea mediului de afaceri actual? Probabil niciuna din două. Studiul arată că multe IMM-uri au devenit, într-adevăr, mai bine pregătite, pe fondul cerințelor impuse de asiguratori, al presiunilor de conformitate și al unei mai bune conștientizări a cât de importantă este instruirea în securitate cibernetică. Totuși, aceleași date evidențiază existența unui decalaj greu de remediat între percepția de a fi pregătit și implementarea măsurilor elementare de protecție. Astfel, un atac cibernetic care nu scoate o organizație din joc o poate face, într-adevăr, mai rezilientă – cu condiția să învețe lecțiile potrivite. Pe de altă parte, atacul o poate lăsa, de asemenea, mai slăbită și mai puțin capabilă să evite penalizări costisitoare pe viitor. Iată unde pot fi de ajutor informațiile suplimentare din raport.

Cum încep, de fapt, cele mai multe incidente

Când vine vorba despre cauzele principale ale incidentelor cibernetice, datele ESET indică cele mai puțin „spectaculoase” categorii: phishing (26%), vulnerabilități necorectate (23%), lacune în monitorizare (22%) și parole slabe (20%). Acestea sunt categoriile care au necesitat cea mai mare atenție ani la rând, dar în mintea oamenilor sunt adesea umbrite de amenințările care apar la știri. În ciuda tuturor discuțiilor despre AI, automatizare și sofisticarea atacatorilor, multe breșe de securitate din rândul IMM-urilor încă încep cu un scenariu clasic.

Decalajul se reflectă și în tipul de amenințări care îngrijorează IMM-urile. Malware-ul alimentat de AI este considerat cea mai mare amenințare la nivel global (31%), urmat de ransomware și alte tipuri de malware (29%) și de phishing (26%). Michal Jankech, Vicepreședinte Enterprise, SMB & MSP în cadrul ESET, explică fenomenul: „Am observat că îngrijorările IMM-urilor sunt adesea influențate de titlurile din presă despre amenințări emergente, precum atacurile bazate pe AI, în timp ce riscurile mai frecvente – cum ar fi phishingul, vulnerabilitățile neremediate și lipsa monitorizării – sunt subestimate. Fapt ce sugerează că mulți respondenți își percep greșit nivelul real de securitate și reziliență.”

Figura 2. Cele mai temute amenințări

Între timp, Verizon Data Breach Investigations Report (DBIR) 2026 consemnează o ierarhie inversă din perspectiva atacatorilor: doar 2,5% din funcțiile malware asistate de AI au folosit tehnici rare. Alte concluzii ale DBIR susțin aceeași direcție: pentru prima dată în istoria de 19 ani a raportului, exploatarea vulnerabilităților a surclasat utilizarea credențialelor furate ca principal vector inițial de acces (31% dintre breșe), în timp ce timpul median de aplicare a patch-urilor a crescut de la 32 la 43 de zile de la un an la altul. În ce privește acțiunile specifice care au afectat IMM-urile, ransomware-ul, credențialele furate și vulnerabilitățile exploatate apar din nou printre principalele cauze ale incidentelor.

Intervalul decisiv

Medicina de urgență numește această fereastră de timp „ora de aur”, perioada în care viteza de reacție determină dacă o situație critică mai poate fi reversată sau nu. În securitatea cibernetică, deciziile din acest interval sunt atât tehnice, cât și operaționale. Oprirea propagării unei „infectări” presupune, de multe ori, respectarea de proceduri bine stabilite, inclusiv acceptarea unor compromisuri dificile, precum întreruperea controlată a unor servicii pentru a preveni daune mult mai grave ulterior. Persoanele care pot lua sau autoriza astfel de decizii – de exemplu oprirea unei baze de date de producție sau a sistemului de plăți – trebuie să fie contactabile în câteva minute.

Ransomware-ul – o amenințare care planează constant asupra organizațiilor de toate dimensiunile, dar care afectează în mod disproporționat IMM-urile – intră, de asemenea, rapid în discuție. Potrivit DBIR, valoarea mediană a plăților de ransomware a ajuns la 140.000 de dolari, iar 69% dintre victime refuză să plătească. În acest context, recomandările ESET privind planurile de continuitate și majoritatea autorităților sunt tranșante: nu plătiți răscumpărarea.

Simultan, un alt ceas începe să ticăie. Conform GDPR, de exemplu, o breșă de date cu caracter personal lasă un termen de 72 de ore pentru notificarea autorității de supraveghere, indiferent dacă investigația este finalizată sau nu. Jurnalele și alte probe trebuie colectate în paralel, deoarece asiguratorii de securitate cibernetică și autoritățile le vor solicita, iar tot ceea ce nu este păstrat în primele ore poate deveni imposibil de recuperat ulterior.

De ce pregătirea este răspunsul

Principalele cadre de răspuns la incidente – precum NIST SP 800-61, ISO/IEC 27035-1 și Cyber Assessment Framework (CAF) al NCSC – pornesc de la ideea că pregătirea trebuie făcută înainte de apariția unei crize, iar răspunsul la incidente trebuie tratat ca un proces continuu de gestionare a riscurilor. Însă anticiparea – convingerea că momentul incidentului va veni – nu este echivalentă cu pregătirea. Cea din urmă reprezintă decizia conștientă ca, în momentul în care incidentul apare, organizația să știe deja cum să răspundă rapid la întrebările critice și să-și mențină funcționarea chiar și în condiții de perturbare. Capacitatea de a continua operațiunile în ciuda incidentelor reprezintă esența adevăratei reziliențe cibernetice.

Desigur, răspunsurile corecte diferă în funcție de domeniul de activitate: o unitate de producție tratează funcționarea ca fiind prioritară, deoarece fiecare minut de blocaj generează pierderi financiare; în schimb, un spital, unde o oprire poate pune vieți în pericol, vede altfel problema. Indiferent de context, deciziile privind cine are autoritatea de a opri o zonă care generează venituri sau care servicii trebuie repornite primele ar trebui stabilite în perioade de liniște, nu după ce „se declanșează haosul”.

În prezent, suprafața de atac este extinsă – adesea prea extinsă – iar o pregătire reală presupune ca organizațiile să reducă numărul punctelor de acces. Mediile IT tind să acumuleze, în timp, un anumit „exces operațional”: sisteme vechi care nu mai beneficiază de suport, API-uri nedocumentate sau mașini virtuale uitate, elemente care nu sunt întotdeauna ușor de eliminat. Totuși, organizațiile trebuie să-și formeze obiceiul de a-și minimiza expunerea către internet, deoarece este imposibil să protejezi un activ sau să remediezi o vulnerabilitate despre a cărei existență echipa IT nici măcar nu știe.

Integrările în lanțul de aprovizionare creează un tip specific de fragmentare și extindere necontrolată, lipsite de un responsabil clar și având o amprentă de permisiuni excesivă. Raportul ESET pune cifrele pe masă în privința costurilor: 21% dintre IMM-uri menționează complexitatea integrării drept al doilea cel mai mare obstacol în calea îmbunătățirii securității – imediat după, ați ghicit, bugetul. Conform raportului DBIR, implicarea terților este prezentă acum în 48% din totalul breșelor de securitate, înregistrând o creștere de 60% de la an la an.

Între timp, rigoarea și disciplina sunt impuse tot mai mult din exterior. Un procent total de 71% dintre IMM-urile de la nivel global dețin acum o asigurare cibernetică, număr care urcă la 84% în America de Nord și crește brusc în rândul victimelor recurente. Peste jumătate dintre companiile asigurate care au un istoric de incidente multiple – 55% la nivel mondial, 71% în America de Nord – au controale de securitate specifice, prevăzute în polițele lor: MFA (autentificare multifactor), managementul identității și al accesului, EDR sau MDR. Doar 31% dintre IMM-uri consideră că asigurarea singură este o apărare suficientă, iar 67% la nivel global menționează cultura de furnizor unic ca fiind problematică.

Când apele se mai liniștesc

Analiza post-incident este momentul potrivit pentru întrebări, inclusiv pentru cele dificile privind măsurile de precauție care nu au fost luate și procedurile de recuperare despre care s-a presupus că funcționează, dar care nu fuseseră testate. Organizațiile nu ar trebui să adopte automat versiunea în care atacatorii au fost neașteptat de abili. Uneori chiar sunt, dar de cele mai multe ori realitatea este mult mai banală.

Deși expresia „contează când se va întâmpla, nu dacă” este mai adevărată ca niciodată, simpla conștientizare nu pregătește o afacere pentru momentele de cumpănă. Un avertisment devine util doar atunci când schimbă acțiunile întreprinse înainte ca un atac să lovească. Acoperișul este mai ușor de reparat înainte să înceapă ploaia.