Aceasta pentru a le ajuta să gestioneze cât mai eficient situațiile care pot apărea, ca urmare a contextului generat de COVID-19, privind riscurile cibernetice.
“Avem un risc cibernetic în creștere pentru piețele pe care le supraveghem, ca atare venim cu un set de recomandări pentru entitățile din asigurări, piața de capital și pensii private, menite să țină sub control acest risc.”
“În contextul în care o parte dintre angajații entităților își desfășoară activitatea de la distanță, este posibilă o multiplicare a riscurilor cibernetice, în special cele referitoare la pierderea datelor sau utilizarea neautorizată a acestora.
Infracțiunile cibernetice speculează teama de COVID-19 și trimit prin canale de comunicare electronice mesaje de tip ”phishing” prin care încearcă inducerea în eroare/păcălirea sau convingerea utilizatorilor de a accesa sau de a se conecta la un link/website prin intermediul căruia pot fi apoi sustrase date/informații/parole sau se pot descărca programe malware cu scopul de a perturba sau deteriora sistemele informatice / aplicațiile utilizate.
În situația aceasta, asigurarea mentenanței și a bunei administrări a sistemelor informatice este deosebit de importantă, în toate componentele ei, inclusiv cele privind înregistrările istorice, datele personale ale consumatorilor și fluxurile monetare sau de active.
ASF recomandă entităților reglementate / supravegheate adoptarea următoarelor măsuri de securitate cibernetică:
• configurarea conturilor de acces si setarea unor parole solide de acces, de preferat cu doi factori de autentificare;
• identificarea riscurilor suplimentare și a modalităților de gestionare în cazul în care se permite personalului utilizarea dispozitivelor de lucru personale (calculator/laptop/telefon) – controlul și vizibilitatea de către entitatea a acestor dispozitive este mai limitată și implică soluții robuste de autentificare;
• instruirea personalului cu privire la riscurile de phishing și cu privire la detectarea semnalelor tipice emailurilor de tip phishing, precum și atenționarea propriilor clienți cu privire la modalitățile de comunicare/confirmare a serviciilor furnizate;
• instruirea personalului cu privire la comunicarea/raportarea, incluzând canalul de comunicare, în cel mai scurt timp a problemelor de securitate cibernetică sau a amenințărilor cibernetice;
• elaborarea de instrucțiuni/ghiduri de utilizare a unor aplicații de la distanță și testarea acestora anterior utilizării, în cazul în care acestea sunt diferite in comparatie cu cele utilizate la sediul /biroul de lucru;
• activarea și configurarea criptării datelor utilizate pe computerele / telefoanele utilizate pentru telemuncă pentru a fi protejate in cazul pierderii/furtului dispozitivului de lucru;
• identificarea instrumentelor ce pot fi folosite pentru a bloca accesul neautorizat la dispozitivul de lucru, pentru a șterge sau copia datele stocate în cadrul acestora.
Totodată, ASF recomandă societăților care activează în piața financiară non-bancară revizuirea/identificarea în noul context împreună cu auditorul IT extern/furnizorul de servicii IT externalizate a vulnerabilităților și identificarea modalităților de adresare a riscurilor operaționale”.
