Калоян Бушев: През 2024 г. влизат нови изисквания за киберсигурност към бизнеса

Калоян Бушев е специалист по телекомуникации и кибер продукти с над 20-годишен професионален опит. Има богат опит в ръководството на проекти по дигитализацията на бизнес процеси и продукти. Заемал е различни ръководни функции в най-големите телеком и финансови компании на българския пазар, а от 2023 г. е "Специалист по кибер продукти" в Застрахователна компания "Лев Инс" АД.

Г-н Бушев, колко големи могат да са щетите за един бизнес при хакерска атака?

Интересен въпрос! Много зависи от големината и развитието на бизнеса - ако говорим за големи предприятия и компании с отдели и експерти по киберсигурност, с ясно разписани политики, регулярни обучения и одити на служителите, можем да предположим, че пораженията биха били минимални. Те имат добре изградени и постоянно функциониращи "филтри" срещу кибер атаки.

Но за един малък и среден бизнес, където до голяма степен говорим за семейни компании, щетите могат да бъдат необратими. Ако си представим, че този семеен бизнес е онлайн магазин, една успешна хакерска атака, която да компрометира базата данни с клиенти, договорите с контрагенти, плановете за развитие, може да доведе до край на бизнеса. И то в рамките на броени минути.

Надявам се да бъда разбран правилно - целта не е да изплашим бизнеса. Искам да обърна внимание на риска, ако такава атака се случи. Осъзнаването и управлението на риска е съществена част от киберсигурността.

Колко би струвало на един малък или среден бизнес да подсигури своята киберсигурност? Доколко достъпно е това?

Ние в ЗК "Лев Инс" АД предлагаме изключително достъпни решения, насочени именно към тези клиенти. Пример е полицата "Кибер Лев", която комбинира защита и реакция при злоумишлени действия със застрахователно покритие в случай на щети, причинени от хакерска атака. Разработена е съвместно с технологични експерти, за да осигури пълна защита на бизнеса и да го предпази от рисковете от пробив в системи и активи.

Застраховката е предназначена за малки и средни компании, които искат да минимизират рисковете и да гарантират на себе си и своите клиенти киберсигурност и спокойствие в дигиталното пространство. Цената на тази конкретна застраховка е 72 лева на година за един компютър.

Разбира се, всеки собственик на бизнес може да разчита и на индивидуална консултация и решение, което отговаря на конкретните нужди на компанията му. Политиката ни е да осигуряваме холистичен подход, така че нашите клиенти да намаляват и обезпечават рисковете в цялостния "живот" на бизнеса си в динамично променящата се среда.

Доколко бизнесът осъзнава нуждата от киберсигурност?

Наскоро социологическа агенция "Тренд" проведе изследване, което ясно показа, че хората, в това число и собствениците на малък и среден бизнес, не са запознати с нуждата да обезпечат сигурността на данните си. Резултатите говорят, че тази тема е леко неглижирана в обществото, оставена е на специалистите. И става обект на внимание, едва при наличие на хакерска атака, която засяга масово обществото.

Малкият и среден бизнес, който е гръбнакът на икономиката ни, смята, че киберсигурността е само за големите предприятия и бизнеси. Често срещана е заблудата, че това е скъпо удоволствие, ненужно за малките компании, и това поставя психологически "бариери" пред тях. Не съм съгласен с това виждане, дори напротив - в наше лице на българския пазар вече над 4 години има изключително достъпни решения и прекрасни експерти, които помагат на бизнеса да се чувства сигурен в тази сфера. В ЗК "Лев Инс" АД сме наясно с тези т.нар. "бариери" и заедно с партньорската ни мрежа постоянно работим да ги премахнем. Резултатите, според мен, са видими, тъй като интересът към кибер застраховките расте.

Превенцията и информираността на гражданите и бизнеса ще помогне да сме по-защитени от подобни атаки. Ако всички осъзнаем, че трябва да предприемем мерки, да повишим дигиталната си култура, то ще разберем значимостта на арсенала от инструменти за превенция.

През 2024 г. влизат в сила нови изисквания към бизнеса относно киберсигурността. Какви са те, г-н Бушев?

През 2024 г. предстои въвеждането на директивата на Европейския съюз МИС-2, касаеща мрежовите и информационните системи. Това е актуализирана и значително разширена версия на първата регулация МИМИС (Минимални изисквания за мрежовата информационна сигурност) от 2016 г., но в новия документ са посочени и много конкретни стъпки, които засягат бизнеса.

Компаниите са разделени по два критерия - "съществени" и "важни субекти". "Съществените субекти", най-общо казано, са доставчици на услуги - вода,ток, телекоми, здравни услуги и т.н. "Важните субекти" са производители на храна, онлайн търговци, доставчиците на пощенски и куриерски услуги, производствени предприятия и т.н. Разликата е, че "съществените субекти" подлежат на предварителен и последващ контрол, а "важните" - само на последващ.

Организациите ще трябва да гарантират, че са въвели поредица от мерки за управление на рисковете в киберсигурността. Част от тях са:

• политика за информационна сигурност
• конкретни и ясни планове за предотвратяване, откриване и реагиране при инциденти
• ясен план за непрекъсваемост на бизнеса - организациите трябва да разполагат с проверим план за това как ще реагират при атака и как може да се възстановят от нея възможно най-бързо, като сведат до минимум смущенията
• процедура за докладване на значителни инциденти към националните органи с конкретни времеви срокове и др.

Всички тези мерки ще могат да бъдат одитирани по всяко време от национални и наднационални контролни органи.

Кои бизнеси попадат в обхвата на тези регулации?

В приложенията към наредбата се изброяват почти всички доставчици на услуги и стопански субекти. По мое мнение, можем да сравним тази директива като обем засегнати компании с директивата за защита на личните данни.

Покрай COVID-19 имаше огромен бум на онлайн търговията по целия свят, а в това число и в България. По какъв начин ще бъдат засегнати търговците с онлайн магазини?

Дигитализация и трансформирането на търговията в онлайн процес е нещо много положително и е явление и в бизнеса и потребителското поведение по цял свят. Преминавайки към онлайн платформа всеки бизнес има възможност да разшири мащаба си, да работи на национално, а защо не и на глобално ниво. Това са прекрасни възможности и перспективи.

Никога не е било толкова лесно да получиш достъп до международни клиенти, колкото днес, с възможностите, които дигиталните канали за комуникация предлагат. Но тези възможности вървят заедно с рисковете. Собствениците на онлайн бизнеси се квалифицират като "важен субект" в директивата МИС-2. Респективно, попадат в рамките на тази регулация.

А какви санкции се предвиждат за бизнесите, които не спазят регулациите в МИС-2?

Санкциите са финансови и се налагат от компетентните органи. В наредбата са дефинирани конкретни параметри, в зависимост от категорията:

• за съществени субекти - до 10 млн. евро или 2% от световния годишен оборот на компанията;
• за важни субекти - до 7 млн. евро или 1.4% от световния годишен оборот на компанията.

Ще се носи ли персонална отговорност и от кого, ако не се спазят изискванията?

Да, като това зависи и от размера на компанията. Има разпоредби за персонална отговорност на мениджмънта в случай на кибер пробив или ако има доказателства, че не са били предприети съответните мерки, за да бъде предотвратен. Предвижда се и възможността да бъде назначен външен отговорник-наблюдател, който да следи за спазването на разпоредбите. Предстои да разберем как ще се адаптира директивата към националното законодателство.

На финала - какво бихте препоръчали на бизнеса, така че да се подготви максимално добре за новите правила, които ще влязат в сила от догодина?

Бих предложил 360-градусов подход към темата - регулярни обучения на мениджмънта и служителите, технически тестове за откриване на уязвимости и последващото им отстраняване и не на последно място - киберзастраховка. По този начин компаниите ще са преминали през всички етапи - обучение, техническа превенция и защита, застрахователно покритие при евентуален пробив.

Ние от ЗК "Лев Инс" АД, заедно с партньорската ни мрежа, предлагаме именно този подход на клиентите си, защото вярваме, че цялостните ни решения предоставят най-добра добавена стойност на бизнеса, но и на обществото като цяло.

_________________________________________________________________________________________
Материалът е предоставен от ЗК "Лев Инс" АД.