La pandemia lo aceleró todo, hasta los delitos que se dan en el ámbito informático. El teletrabajo fue el caldo de cultivo para que miles de empresas fuesen atacadas. Hablamos de ello en la entrada enlazada ofreciendo recomendaciones de ciberseguridad para teletrabajar. Los seguros frente a estos ataques viven su “boom”. Decimos viven, porque aunque el Covid fue a menos, los ataques fueron a más, siendo actualmente más probable recibir un ciberataque a que se produzca un incendio en una nave. El seguro de ciberriesgo para Administraciones Públicas y para empresas es, por tanto, cada vez más necesario.
De ser prácticamente contratado hace 3-4 años por grandes multinacionales, ahora, hasta la carpintería “Manolo” con 5 empleados y que maneja un sistema de facturación y datos de sus proveedores de madera, cola, tornillería y otros, lo contrata.
En esta vorágine de ataques a la empresa, especial atención también requiere la Administración Publica. No pocos ayuntamientos o diputaciones han sido atacados, bien directamente o bien, a través de un proveedor de servicios, dando como resultado secuestro de datos o un impacto en imagen.
El Plan de Digitalización de las Administraciones Públicas en el periodo 2022 a 2025 va a destinar mas de 4.000 M € en digitalización y ciberseguridad; solo en este año, se destinarán mas de 198 M €, en renovación de software y hardware.
¿Cómo valoran las Administraciones Públicas la ciberseguridad?
Actualmente las Administraciones Públicas no valoran convenientemente la ciberseguridad y por extensión, la suscripción de un seguro que mitigue el impacto económico y social (daño reputacional) que un ciberataque tiene, principalmente por estos motivos.
1º No voy a recibir un ciberataque
Pensar eso es vivir en otra dimensión o en otro mundo. Actualmente los gastos de implementación de mejoras van vinculados al Plan de Digitalización La Administración Pública debe de ser proactiva en la protección de los datos, y valorar convenientemente las medidas a adoptar y la transferencia del riesgo.
Los gastos para remediar un ataque pueden superar con creces los 35.000 € en la empresa, y el 60% de las que sufren un ciberataque, no superan este evento, cerrando. Bien es cierto que en una Administración Pública, el cierre no se contempla, pero el impacto económico es muy superior, solo a nivel reputacional, sin contar los datos disponibles en la Dark Web de un ciberataque a un ayuntamiento.
Mención especial para el aumento de litigiosidad por reclamaciones de ciudadanos, lo que da lugar a indemnizaciones y que la Ley obliga después a reclamar al funcionario causante/responsable, si es que se determina (acción de regreso)
2º Confiar en soluciones estándar
Si ya se da un avance en esta materia, confiar en que, comprando un antivirus corporativo, mejorando los cortafuegos y estableciendo niveles de acceso al dato, estamos a salvo, es volver a vivir en otra dimensión.
Las soluciones frente a los ciberriesgos deben de estar adaptadas a la casuística concreta. En muchos casos, los seguros frente a ciberriesgos, ofrecen auditorias previas de los sistemas a asegurar, lo que nos da un importante valor frente a la adopción de medidas. Hacer copias de seguridad y establecer contraseñas de acceso, ya es lo mínimo de lo mínimo a implantar.
3º No exigir a clientes o proveedores políticas de seguridad
Recibir un ciberataque a través de proveedores es lo más común en la Administración Pública. En el mundo de la empresa, igual. 3 de cada 4 han tenido ataques desde su cadena de suministro, y 8 de cada 10 empresas evitan socios con sistemas de seguridad débiles. ¿Por quá algunas Administraciones Públicas sí?
4º No considerar las sanciones de la AEPD
La Administración Pública está sometida al mismo reglamento que la empresa privada; aun así, obvian las posibles sanciones que en esta materia se puedan imponer.
El coste de comunicación a un implicado en un secuestro de datos se estima en 20 €. Imagina que a un ayuntamiento le encriptan la base de datos de todos los vecinos que están en el sistema pagando el recibo municipal del agua, y que sea un ayuntamiento de 10.000 habitantes…
5º Pensar que solo nos protege de los ciberdelincuentes
Establecer pautas de protección y cifrado de datos no es solo para evitar incidentes con externos, también la propia organización debe de mantener una formación clara en materia de protección de datos con autenticación multifactor, cuentas privilegiadas y autorización por niveles. Manteniendo una correcta organización interna, se evita implementar medidas extremas de cara al exterior.
Con estas recomendaciones, decir que no voy a contratar un seguro, tampoco encaja, puesto que el riesgo, si bien minimizado, existe; es conveniente la transferencia del riesgo para evitar un quebranto patrimonial a la Institución. Se ahorrará dinero, tiempo y daño reputacional (igualmente aplicable a la empresa).
¿Cómo debe protegerse la Administración Pública de la ciberdelincuencia?
Como las recomendaciones no son infalibles, la contratación de un seguro frente a ciberriesgos, debe de tener al menos, dos coberturas: cobertura de daños propios y de responsabilidad civil
La vulneración del dato y su coste es de lo mas gravoso y se prevé que el coste aumente a medida que el teletrabajo se vaya instaurando. Establecer los parámetros adecuados de acceso y las copias de seguridad pertinentes, ayudarán a mitigar el impacto cuando ocurra, porque más tarde o más temprano, el ciberdelincuente picará a la puerta del ayuntamiento.
Los ciberataques afectan a todos por igual y a menudo las víctimas de estos ataques son pequeños ayuntamientos debido a su falta de protección en materia de ciberseguridad y a las numerosas vulnerabilidades existentes en sus redes.
Los cibercriminales harán todo lo posible para conseguir datos; si, además, su red incluye docenas de datos personales -como en un ayuntamiento para realizar la facturación de los servicios públicos que presta-, supondrá un mayor estímulo para que los hackers quieran infiltrarse en la red de la institución.
¿Qué coberturas ofrece un seguro de ciberriesgo?
Un seguro de ciberriesgos para Administraciones Públicas (también para empresas) cubrirá los daños a los sistemas (hardware) y la destrucción del dato. Nada más ocurrir el incidente, tu seguro responderá así:
- Primera respuesta ante incidentes cibernéticos
- Procedimientos legales y regulatorios
- Investigación forense y de seguridad informática
- Comunicación de Crisis
- Gestión por vulneración de privacidad
- Gestión por vulneración de privacidad de terceros que afecten al asegurado
- Mitigación y reposición de activos digitales posteriores a la vulneración de privacidad
- Restitución de la imagen
Pero si todo continúa siendo una catástrofe y no se consigue parar el ciberataque:
- Responsabilidad por fallos de seguridad en los sistemas informáticos
- Responsabilidad por vulneración de la privacidad
- Responsabilidad del directivo por gestión de un incidente cibernético
- Sanciones administrativas de la AEPD
- Multas, sanciones y cargos en tarjetas de pago
Llegado este punto, los sistemas han fallado. ¿Que cobertura tendrá el ayuntamiento/diputación?
- Daños a los sistemas y costes de reconstrucción
- Interrupción del servicio (en exceso de la franquicia establecida en la póliza)
- Pérdida de beneficios por daño reputacional consecuente
- Gastos de investigación del incidente cibernético.
Para terminar, si a tu ayuntamiento o diputación le han “engañado” con un trasvase de fondos, ¿qué cobertura puede tener para afrontar esta situación?
- Extorsión cibernética
- Fraude por trasferencia de fondos
- Robo de identidad corporativa
- Robo de fondos de la cuenta de la empresa
- Amenaza de chantaje telefónico (hacking)
Recuerda que cuando todo falla, solo estás tu con tú mediador y tu seguro.
En Insure Brokers proporcionamos soluciones a medida en materia de ciberriesgos para ayuntamientos, mancomunidades, diputaciones y cualquier tipo de institución pública. Concierta una cita con nuestro equipo especializado en Administraciones Publicas para conocer el alcance de tu protección.