Directorul Direcției de Strategie și Stabilitate Financiară în cadrul ASF, Valentin Ionescu, a declarat:
„Avem un risc cibernetic în creștere pentru piețele pe care le supraveghem , ca atare venim cu un set de recomandări pentru entitățile din asigurări, piața de capital și pensii private, menite să țină sub control acest risc”.
„În contextul în care o parte dintre angajații entităților își desfășoară activitatea de la distanță, este posibilă o multiplicare a riscurilor cibernetice, în special cele referitoare la pierderea datelor sau utilizarea neautorizată a acestora.
Infracțiunile cibernetice speculează teama de COVID-19 și trimit prin canale de comunicare electronice mesaje de tip ”phishing” prin care încearcă inducerea în eroare/păcălirea sau convingerea utilizatorilor de a accesa sau de a se conecta la un link/website prin intermediul căruia pot fi apoi sustrase date/informații/parole sau se pot descărca programe malware cu scopul de a perturba sau deteriora sistemele informatice/aplicațiile utilizate.
În situația aceasta, asigurarea mentenanței și a bunei administrări a sistemelor informatice este deosebit de importantă, în toate componentele ei, inclusiv cele privind înregistrările istorice, datele personale ale consumatorilor și fluxurile monetare sau de active.
ASF recomandă entităților reglementate/supravegheate adoptarea următoarelor măsuri de securitate cibernetică:
- configurarea conturilor de acces si setarea unor parole solide de acces, de preferat cu doi factori de autentificare;
- identificarea riscurilor suplimentare și a modalităților de gestionare în cazul în care se permite personalului utilizarea dispozitivelor de lucru personale (calculator/laptop/telefon) – controlul și vizibilitatea de către entitatea a acestor dispozitive este mai limitată și implică soluții robuste de autentificare;
- instruirea personalului cu privire la riscurile de phishing și cu privire la detectarea semnalelor tipice emailurilor de tip phishing, precum și atenționarea propriilor clienți cu privire la modalitățile de comunicare/confirmare a serviciilor furnizate;
- instruirea personalului cu privire la comunicarea/raportarea, incluzând canalul de comunicare, în cel mai scurt timp a problemelor de securitate cibernetică sau a amenințărilor cibernetice;
- elaborarea de instrucțiuni/ghiduri de utilizare a unor aplicații de la distanță și testarea acestora anterior utilizării, în cazul în care acestea sunt diferite in comparatie cu cele utilizate la sediul /biroul de lucru;
- activarea și configurarea criptării datelor utilizate pe computerele/telefoanele utilizate pentru telemuncă pentru a fi protejate in cazul pierderii/furtului dispozitivului de lucru;
- identificarea instrumentelor ce pot fi folosite pentru a bloca accesul neautorizat la dispozitivul de lucru, pentru a șterge sau copia datele stocate în cadrul acestora.
- Totodată, ASF recomandă societăților care activează în piața financiară non-bancară revizuirea/identificarea în noul context împreună cu auditorul IT extern/furnizorul de servicii IT externalizate a vulnerabilităților și identificarea modalităților de adresare a riscurilor operaționale”.
