Conformitatea în domeniul securității cibernetice pare copleșitoare, dar câțiva pași clari pot simplifica procesul și vă pot asigura că afacerea dvs. respectă cerințele de reglementare.

Am trecut cu toții prin asta – crearea unor planuri pe termen scurt sau lung pentru a atinge anumite obiective personale. Totuși, planificarea în business implică, adesea, mize mult mai mari, iar consecințele unui plan insuficient gândit pot fi semnificative, incluzând pierderi financiare, daune de reputație și chiar faliment. Pe măsură ce companiile se adaptează unor cerințe de reglementare din ce în ce mai complexe, menite să consolideze lanțurile de aprovizionare și reziliența operațională, provocările depășesc dinamica pieței.

În ceea ce privește securitatea, odată cu reglementări precum GDPR în Uniunea Europeană, CCPA și CPRA în Statele Unite sau cadrul de securitate cibernetică NIST, protecția datelor utilizatorilor nu a fost niciodată mai importantă în gestionarea riscurilor. Într-adevăr, pe măsură ce avansăm într-o epocă a inovațiilor bazate pe inteligență artificială și a proliferării datelor publice, ne putem aștepta la mai multe reglementări menite să protejeze consumatorii și să responsabilizeze organizațiile în ceea ce privește protejarea informațiilor sensibile. Pentru a deveni și a rămâne conforme, companiile vor trebui să implementeze măsuri mai robuste de protecție a datelor, asociate cu monitorizare și raportare îmbunătățite.

Conformitatea – o cerere rezonabilă

Fiecare cadru de reglementare cibernetică are propriile cerințe specifice, dar toate împărtășesc un obiectiv comun: protejarea datelor prin prevenirea accesului neautorizat, a exfiltrării și a utilizării abuzive. Mizele sunt deosebit de mari atunci când vine vorba despre date sensibile, precum informațiile bancare și medicale ale persoanelor sau proprietatea intelectuală a companiilor.

Având în vedere natura destul de complexă a reglementărilor, fiecare afacere trebuie să se asigure că înțelege și știe cum să își îndeplinească obligațiile. Totuși, aceste obligații pot varia considerabil, în funcție de sectorul de activitate al companiei, clienții și partenerii săi, precum și de sfera operațiunilor și aria geografică.

Pentru a afla mai multe despre cum poate organizația dvs. să fie conformă cu reglementările specifice, vizitați pagina ESET despre Conformitatea în Securitatea Cibernetică pentru Afaceri (Cybersecurity Compliance for Business).

Obținerea conformității poate fi, prin urmare, o sarcină descurajantă. Totuși, nu reprezintă doar o formalitate legală, ci o investiție esențială pentru sănătatea pe termen lung a unei afaceri. Multe organizații însă, în special cele mici și mijlocii, nu sunt suficient de pregătite pentru a aborda riscurile de securitate cibernetică și pentru a respecta cerințele de reglementare.

Pe scurt, atunci când amenințările cibernetice sunt iminente, lipsa pregătirii sau iluzia de securitate pot avea consecințe devastatoare. Datele susțin această realitate: conform raportului IBM Cost of a Data Breach 2024, costul mediu al unei breșe de securitate la nivel global se ridică la 4.88 milioane USD. 

Când pierzi din vedere ceea ce este esențial

Pentru a sublinia de ce conformitatea este crucială, să analizăm câteva incidente majore care ar fi putut fi semnificativ atenuate dacă părțile implicate ar fi acționat în conformitate cu cadrele de lucru de bază.

Incidentul The Intercontinental Exchange

În 2024, Intercontinental Exchange (ICE), o instituție financiară cunoscută mai ales pentru filialele sale, cum ar fi Bursa de Valori din New York (NYSE), a fost sancționată cu o amendă de 10 milioane de dolari pentru că nu a informat la timp Comisia pentru Valori Mobiliare și Burse din SUA (SEC) despre o intruziune cibernetică, încălcând astfel Regulamentul SCI.

Incidentul a implicat o vulnerabilitate necunoscută a dispozitivului de rețea virtuală privată (VPN) al ICE, care a permis actorilor malițioși să acceseze rețelele interne ale companiei. SEC a constatat că, deși oficialii ICE erau conștienți de intruziune, nu au notificat oficialii juridici și de conformitate ai filialelor timp de mai multe zile. Astfel, ICE a încălcat propriile proceduri interne de raportare a incidentelor cibernetice, lăsând filialele să evalueze în mod necorespunzător intruziunea, ceea ce a dus, în cele din urmă, la neîndeplinirea de către organizație a obligațiilor sale independente de informare în materie de reglementare.

Cazul SolarWinds

SolarWinds este o companie din SUA care dezvoltă software pentru gestionarea infrastructurii IT de afaceri. În 2020, a fost raportat că un număr de agenții guvernamentale și corporații importante au fost compromise prin software-ul SolarWinds Orion. Incidentul „SUNBURST” a devenit unul dintre cele mai notorii atacuri asupra lanțului de aprovizionare, cu impact global – lista victimelor a inclus mari corporații și instituții guvernamentale, inclusiv Departamentul de Sănătate, Trezoreria și Departamentul de Apărare din SUA. Plângerea Comisiei pentru Valori Mobiliare și Schimb (SEC) din SUA susține că furnizorul de software a indus în eroare investitorii cu privire la practicile sale de securitate cibernetică și riscurile cunoscute.

Pentru a fi clar, înainte ca SEC să introducă Regulile SEC privind Managementul Riscului de Securitate Cibernetică pentru incidente „semnificative” în 2023, raportarea în timp util și precisă nu era o preocupare strategică majoră pentru multe organizații din SUA. Asta cu excepția cazului în care discutăm despre raportarea periodică de evaluare a riscurilor care trebuie să aibă loc ca parte a unei strategii solide de securitate cibernetică (sau pentru scopuri de conformitate cu anumite standarde). În mare parte, depinde de fiecare afacere cum își concepe ierarhia de raportare în domeniul securității, cu diferite grade de competență și responsabilitate (pe care SolarWinds le-a încălcat, conform SEC).

Consecințele financiare și reputaționale ale încălcării au fost colosale. Cu mai mult de 18.000 de victime și costuri care ar putea ajunge la milioane de dolari per afacere afectată, acest caz subliniază faptul că neglijarea securității și conformității nu este o strategie de economisire a costurilor – ci o responsabilitate.

Cazul Yahoo

Yahoo a fost criticată pentru că nu a dezvăluit o breșă din 2014, ceea ce a costat compania 35 de milioane de dolari sub forma unei amenzi din partea SEC. Cu toate acestea, povestea nu se termină aici, deoarece procesul de acțiune colectivă intentat ulterioar a adăugat 117,5 milioane USD la suma totală achitată de Yahoo, acoperind costurile de decontare plătite victimelor. Aceste sancțiuni au venit după sustragerea datelor de autentificare ce aparțin a cca. 500 de milioane de utilizatori Yahoo. Mai grav, compania a ascuns breșa, inducând în eroare investitorii și amânând dezvăluirea timp de doi ani.

Pentru a agrava și mai mult situația, Yahoo a suferit o a doua încălcare cu un an înainte, care a afectat încă 3 miliarde de conturi de utilizator. Din nou, compania nu a dezvăluit al doilea incident până în 2016, iar în 2017 a revizuit această dezvăluire pentru a reflecta întreaga amploare a incidentului.

Dezvăluirile transparente și la timp ale breșelor pot ajuta la atenuarea daunelor și la prevenirea unor incidente similare pe viitor. Victimele își pot schimba, de exemplu, datele de autentificare la timp pentru a împiedica orice posibil infractor să pătrundă în conturile lor.

5 pași către conformitate

Să detaliem câteva măsuri simple pe care le poate lua orice afacere care își propune să rămână conformă. Considerați-le un punct de plecare, cu îmbunătățiri ulterioare bazate pe reglementările și cerințele particulare care trebuie stabilite în funcție de solicitările specifice.

– Înțelegeți cum funcționează afacerea dvs.: după cum am menționat mai devreme, companiile se confruntă cu cerințe de conformitate variate, în funcție de sectorul lor de activitate, clienții/ partenerii cu care colaborează, datele pe care le gestionează, precum și locațiile în care operează. Toate acestea pot avea cerințe diferite, așa că acordați atenție detaliilor specifice.

– Investigați și stabiliți priorități: stabiliți ce standarde trebuie să îndeplinească afacerea dvs., identificați lacunele care trebuie acoperite și definiți măsurile necesare pentru a le elimina, pe baza celor mai importante reglementări și standarde pe care afacerea trebuie să le respecte pentru a evita breșele de securitate sau amenzile ulterioare.

– Creați un sistem de raportare: dezvoltați un sistem robust de raportare care definește rolurile și responsabilitățile tuturor celor implicați, de la funcțiile de conducere până la simplii angajați pe care aceștia le au în comunicare și personalul de securitate care gestionează și supraveghează măsurile dvs. de protecție. De asemenea, asigurați-vă că există un proces clar pentru raportarea incidentelor de securitate și că informațiile pot circula fără probleme către părțile interesate, inclusiv autoritățile de reglementare sau asiguratorii, dacă este necesar.

– Monitorizați constant: conformitatea nu este un efort unic – ci un proces continuu. Ca parte a raportării constante, monitorizați periodic măsurile de conformitate și abordați zonele care necesită atenție. Aceasta include verificarea sistemelor pentru vulnerabilități, efectuarea de evaluări regulate ale riscurilor și revizuirea protocoalelor de securitate, astfel încât afacerea dvs. să rămână conformă cu standardele de reglementare în continuă schimbare.

– Rămâneți transparent: dacă se descoperă o breșă de securitate, evaluați imediat daunele și raportați incidentul autorităților competente – furnizorul de asigurări, autoritatea de reglementare și, desigur, victimele. După cum s-a arătat mai sus, dezvăluirea în timp util poate ajuta la atenuarea daunelor, reducerea riscului de breșe suplimentare și demonstrarea angajamentului dvs. față de conformitate, contribuind, în cele din urmă, la păstrarea încrederii clienților, partenerilor și părților co-interesate.

Acești cinci pași oferă o bază de referință pentru realizarea conformității în domeniul securității cibernetice. Deși astfel de recomandări sunt aplicabile pe scară largă, rețineți că fiecare companie se poate confrunta cu provocări unice. Contactați autoritățile competente pentru a afla despre cele mai recente cerințe, asigurându-vă că eforturile dvs. de conformitate sunt aliniate cu așteptările în continuă schimbare ale guvernelor, partenerilor și autorităților de reglementare. Înțelegând cerințele specifice pentru organizația și industria dvs., puteți face primul pas pentru a naviga mai eficient prin aceste complexități și pentru a vă asigura că afacerea dvs. rămâne sigură, conformă și rezilientă în fața amenințărilor cibernetice.