„Ceea ce predicăm de foarte multă vreme şi le spunem tuturor clienţilor noştri este «Investiţi foarte, foarte mult în angajaţi, în politici, în reguli şi verificaţi că acestea se respectă» - este mai valoros decât toată tehnologia pe care o cumperi”, a fost mesajul principal transmis de Florin Popa, Orange Business Director, în cadrul unei dezbateri la conferinţa SHIFT Bucharest.
În peisajul complex al securităţii cibernetice principala vulnerabilitate a unei organizaţii rămâne factorul uman, a subliniat Florin Popa, director B2B al Orange, liderul pieţei locale de telecom şi un jucător important pe piaţa integratorilor de soluţii IT&C. El a argumentat că, în ciuda tuturor sistemelor de protecţie, o singură nerespectare a regulilor de către un angajat poate anula investiţii masive în tehnologie.
El a dat ca exemplu incidentul prin care a trecut Orange în primăvara acestui an, când un grup de hackeri s-a folosit de vulnerabilităţi ale unei aplicaţii de soluţionare a tichetelor în combinaţie cu date de acces obţinute în mod fraudulos pentru a extrage date de la operator.
„Vă pot spune că principala vulnerabilitate pe care o avem este legată de angajaţi şi de oameni. De fapt, singurul incident major pe care îl ştiu eu în 25 de ani la Orange a fost cel din februarie anul acesta, generat de nerespectarea celei mai banale reguli de către un angajat”. Acest eveniment a servit drept un „exerciţiu foarte bun” şi a reconfirmat o regulă fundamentală a securităţii: „consider că investiţia în angajaţi, disciplina acestora şi controlul respectării regulilor este, probabil, cel mai ignorat factor care conduce la breşe de securitate”.
Soluţia implementată de Orange este investiţia constantă în educaţie. „Noi, încă de acum aproape trei ani, am inclus în curicula obligatorie pentru toţi angajaţii patru cursuri, iar primul este cel de securitate cibernetică generală. Consider că este cea mai valoroasă investiţie pe care o facem”3.
Peste această provocare fundamentală a factorului uman se suprapune presiunea tot mai mare a reglementărilor europene. Florin Popa a evidenţiat că o activitate intensă se înregistrează în zona DORA (Digital Operational Resilience Act), regulament adoptat la finalul anului 2022. Acesta impune reguli stricte de rezilienţă cibernetică pentru sectorul financiar, iar efectele se propagă în tot ecosistemul.
„Vedem o cerere specială venită din industria financiară, inclusiv asigurări, de a respecta şi noi cerinţele care le sunt impuse. Practic, ei se duc acum în lanţul valoric către toţi furnizorii lor pentru a se asigura că îndeplinesc normele”, a explicat Popa. În calitate de furnizor pentru aceste entităţi, Orange este într-un stadiu avansat de aliniere.
În paralel, se finalizează alinierea la Directiva NIS 2, care actualizează cadrul general de securitate pentru sectoarele critice.
Pentru companiile vizate, „lucrurile sunt destul de avansate”, a menţionat Popa, precizând că Orange a început pregătirile de aproximativ doi ani, având roluri şi un calendar clar definite în organizaţie.
