Ulusal Meclis, İçişleri Bakanlığı’nın (LOPMI) oryantasyon ve programlama tasarısını 14 Kasım Pazartesi günü oylamaya hazırlanıyor. Bu yasa kapsamında, 4. madde siber güvenlik dünyasında, sigorta dünyasında ve aynı zamanda seçilmiş yetkililer arasında da tartışma konusudur. Orijinal versiyonunda, bu makale, bir bilgisayar saldırısından sonra bir fidye ödemesinin bir sigortacı tarafından bir şikayette bulunulmasına bağlı hale getirilmesini amaçladı. Fransız siber güvenlik dünyası tarafından kötü algılanan bir yönelim. Milletvekilleri tarafından araştırıldıktan sonra, fidye terimi artık söz lehine ortadan kalktı ” otomatik bir veri işleme sistemine yapılan bir saldırının neden olduğu herhangi bir hasar “. Bu sefer merak edilen sigorta uzmanları…
Metnin ilk versiyonundan siber güvenlik sektöründen tepki
7 Eylül’de LinkedIn’de Ulusal Bilgi Sistemleri Güvenlik Ajansı (ANSSI) genel müdürü Guillaume Poupard, bir kedinin kafasını duvara vurduğunu gösteren bir gönderiye tepki gösterdi. Bu gönderi, bir kişinin önerilerinden biri hakkındadır. hazine genel müdürlüğü raporubaşlıklı Siber risk sigortasının gelişimi “. Üst düzey yetkilinin çileden çıkmasının amacı, metnin 5 numaralı teklifidir. Belirtilen açıklama amacıyla, bu teklif şunları gerektirir: ” Bir siber fidye sigortasının tazminatını, mağdur tarafından şikayette bulunulmasına şartlandırın “.
Aynı gün İçişleri Bakanı Gérald Darmanin, LOPMI’yi Bakanlar Kurulu’na sundu. Bu tasarı, Mart 2022’de masaya yatırılan, ancak yasama seçimlerinin gelmesiyle incelemesi ertelenen başka bir tasarının esaslarını kapsıyor. Hazine Genel Müdürlüğü’nün rapor önerisi bu yeni kanunun ünlü 4. maddesinde yer alıyor. Fransız Bilgi Güvenliği Kulübü’nün (CLUSIF) genel sekreteri Loïc Guézo’ya göre, o zamanlar ifadeler çok kötü bir fikirdi, ” fidyeleri asla ödemeyecek olan resmi doktrinin » açıklıyor Yüzyıl Dijital.
Bir fidye yazılımı saldırısından sonra fidye ödemesinin sigorta kapsamına alınması aslında Fransız yasaları tarafından yasaklanmamıştır. Bununla birlikte, siber güvenlik uzmanları, buna açıkça yetki vererek hükümetin bir taslağa neden olacağından korktular. Bilgi ve Dijital Güvenlik Uzmanları Kulübü (CESIN) Genel Delegesi Alain Bouille, ” şematize ederek ve biraz kısaltarak “bu formülasyon” çok hızlı bir şekilde suça teşvik olabilir “. CESIN, Eylül ayı sonunda üyeleriyle yaptığı bir ankette, 249 katılımcıdan şunları kaydetti: Ankete katılanların %82’si LOPMI’nin ilk versiyonuna karşıydı. Siber suçlulara fidye ödemek, kilitlenmemiş bir bilgi sistemini veya gelecekteki şantaj için verinin daha önce sızdırılmadığını veya hatta yeni bir saldırının gelebileceğini onaylamaz.
2021’de Ulusal Meclis ve Senato, sigorta şirketleri tarafından fidye kapsamı konusuna değinen iki ayrı rapor yayınladı. Her ikisi de aynı yöne gitti: yasaklama yönü. Valeria Faure-Muntian, çoğunluk La République En Marche’nin eski yardımcısı ve odanın “Sigorta” çalışma grubunun eş başkanı, metnin kaynağında, Yüzyıl Dijital LOPMI’nin ilk ifadesinin yanlış anlaşılması. Metni kötüleyenler arasında yaygın olarak paylaşılan bir görüş olan sigortacılar lobisinin zaferini kınıyor. İkincisi, sigortacılar için bir fidye ödemesini karşılamanın, iyileştirme maliyetlerini karşılamaktan daha ucuz olduğuna inanıyor. LOPMI bu uygulamayı teşvik edecektir.
İngiliz sigorta şirketi Beazley’de siber sigortacılık başkanı Luc Vignancour, tam tersine, ” fidyeyi ödemenin herhangi bir finansal çıkarı yok sigorta için. Ona göre bu fikir, şehir efsanesi “, fidyeyi ödeyip ödememe kararı, her durumda sigortacısına değil mağdur şirkete geri döner. İkincisi, bu krizin yönetiminde onu desteklemekten sorumludur. Fidyelerle ilgili tartışmayı basit olarak nitelendiriyor. İlk versiyonunda, metin belki de fidye ödemesinin yasallığını açıklığa kavuşturmakla ilgiliydi, ancak ” sigortalıyı destekleme şeklimizi değiştirmedi “. Tam tersine inanıyor Amaç fidye ödemesinin yasaklanmasıysa, sigortacının bununla ne ilgisi var anlamıyorum. Neden sigortacıdan sorumluluk almasını isteyesiniz? “.
Fidyelerin ödenmesinin yasaklanması oybirliğiyle değil. Bu amaçla sunulan çeşitli değişiklikler Senato’da reddedildi. CESIN’den Alain Bouille, ” KOBİ tüm bilgi sistemini bloke edebilir, üretim verilerini şifreleyebilir, yedek verilerini şifreleyebilir. Bu durumda, şirketin ödeme yapmaktan başka seçeneği yoktur. Fidyeyi ödemesi yasaksa, ölüme terk edilmiş demektir. “. Sosyalist, Ekolojist ve Cumhuriyetçi grubun senatörü, Senato raporunun ortak yazarı Rémi Cardon tarafından paylaşılan bir bakış açısı, 4. maddeyi kınadı ” biraz açık bar “.
Yazının uyandırdığı bronko ile karşı karşıya kalan İçişleri Bakanlığı, görüşme taleplerine yanıt vermedi. Yüzyıl DijitalKasım ayı başında lehte ilan etti Fidye yazılımında sözde yayın çağrısı üzerinde kısıtlamalar oluşturmayı mümkün kılan 4. maddenin yeni ifadesine “. MoDem yardımcısı Philippe Latombe ve bazı meslektaşları tarafından Hukuk Komisyonunda önerilen bu yeni ifade, fidye terimini ortadan kaldırıyor. Şuna işaret ediyor” Hukuk Komisyonunda, 4. maddenin gerçekten kötü bir şekilde kaleme alınmış olduğunu söylemek için bir tür oybirliği olduğunu gördük. “. Ayrıca Bercy’den siber güvenlik dünyasına gönderilen kötü bir sinyali de kınıyor.” yine de dünyanın en iyi ekosistemlerinden biri “, aksine Beauveau’nun bu yöndeki çabalarını memnuniyetle karşılıyor.
Şirketler ve sigortacılar da LOPMI’nin aldığı yeni yön konusunda endişeli
İçinde onun son hali14 Kasım’da TBMM genel kurulunda görüşülecek olan, ” Tazminat amaçlı bir sigorta maddesi uyarınca bir meblağın ödenmesi “Siber saldırının ardından her zaman ikinci plana atılır” mağdurun suçun gözlemlenmesinden sonra en geç kırk sekiz saat içinde yetkili makamlara şikayette bulunmasının gerekçesi “. Bu yeni sürüm, mevcut sürüm, başka zorlukların ortaya çıkması olmadan değildir.
Bir siber saldırının tespit edilmesi durumunda, reaksiyon hızı çok önemlidir. Kriz yönetimi yardımını mümkün olan en kısa sürede sağlamak sigortacıların görevidir. Luc Vignancour kendine şu soruyu soruyor: ” Biz sigortacılar olarak ilk dakikaların önemli olduğunu, hızlı hareket etmemiz gerektiğini biliyoruz. Sigortalımıza eşlik edersek ve herhangi bir şikayet yoksa, kusurlu olan sigortacı mı? Şikayette bulunulmasını talep etmediği için para cezasına çarptırılma riski var mı? “. Uzman için bu, metnin biçimi sorunudur, açıklığa kavuşturulması gereken bir karışıklıktır.
Risk Yönetimi ve Kurumsal Sigorta Derneği (Amrae) yöneticisi ve siber komisyon başkanı Philippe Cotelle de benzer korkulara sahip. ısrar ediyor” bu yasa tazminata engel oluşturmaz “. Şunu not ediyor” Siber sigortanın çekiciliklerinden biri, kriz yönetimi sırasında teknik, yasal ve iletişim kaynakları açısından destek olarak aynı anda mevcut olmaktır… Bunların tümü sigortacıların tazminatının bir parçasıdır. “. Tazminat, kırk sekiz saat içinde yapılan bir şikayete bağlanacak olsaydı, yardım ” siber saldırının etkisini en aza indirmenin ve iş esnekliğini artırmanın anahtarları yok olabilir. Philippe Cotelle de bunun zarar verebileceğine inanıyor ” hala kırılgan bir siber sigorta pazarı “.
Birçokları için asıl sorulması gereken soru şudur: Fransa’daki siber sigorta pazarı nasıl güçlendirilir? Philippe Cotelle, ” Bugün kendilerini sigortalayacak kadar olgun olanlar ve Fransız ekonomisinin kalbi olan KOBİ’ler ve VSE’ler çok kötü sigortalı olanlar çoğunlukla çok büyük şirketlerdir. “. A AMRAE yıllık raporu, LUCY, 2021’de prim hacminin %82’sinin büyük şirketler tarafından ödeneceğini gösteriyor. Dernek yöneticisi, ” bu yasa, aslında, yalnızca şirketlerin azınlığına yöneliktir. “. CESIN’den Alain Bouillé tarafından paylaşılan bir görüş. Ona göre, siber sigorta dünyasında bir paradigma kayması olması gerekiyor, “ Piyasanın işlemesi için hacme ihtiyacı var. Siber sigortacılar bu hacmi büyük şirketlerden yana kullandılar, ancak açıkçası bu daha fazla risk oluşturuyor. “. 2020’de bir avuç iddia bu pazarın dengesini tehlikeye attı. Sonuç olarak, sigortacılar sigorta koşullarını sıkılaştırdı.
Beazley’den Luc Vignancour, KOBİ’lerin ve VSE’lerin primlerin fiyatı veya sigortalanmadan önce kendilerine gönderilen anketlerin gerekliliği konusundaki suçlamalarını duyuyor, ancak ” ekonomik dengemizi korumalıyız “yapabilmek” Bir sigortacı olarak maruz kaldığımız riskleri değerlendirmeyi başarmak diye hatırlıyor. Siber saldırılar kadar değişen bir konu için zor bir alıştırma. Alain Bouille için bu konuda ” hükümete, küçük ve orta ölçekli işletmeleri siber sigortacılara çekmeyi düşünmesi tavsiye edilir. “. Ona göre, örneğin vergi teşvikleri biçimindeki mali destek, genel güvenlik düzeyini yükseltmeyi ve geri dönüşü mümkün kılabilirdi ” normal bir küçük müşteri çemberinde, küçük hasar, büyük müşteriler, büyük hasar, ancak sigortacılar için tazminat taleplerinin maliyeti kitlesel olarak seyreltilmiş “.
LOPMI etrafındaki parlamento tartışmaları, Fransa’da bir siber sigorta piyasasını destekleyebilecek açıklama ihtiyacı ile Fransa’nın fidye ödemesini teşvik ettiği izlenimini verme tehlikesi arasında bir denge bulmak zorunda kalacak. Özellikle Milletvekili Philippe Latombe tarafından yapılan çeşitli değişiklikler, mevcut belirsizlikleri ortadan kaldırmayı amaçlayacaktır. İçişleri Bakanlığı’nın oryantasyon ve programlama yasa tasarısı hafta sonuna kadar kabul edilebilir.