La Asamblea Nacional se prepara para estudiar el proyecto de ley de orientación y programación de la Secretaría de Gobernación (LOPMI) este lunes 14 de noviembre. Dentro de esta ley, el artículo 4 es objeto de debate en el mundo de la ciberseguridad, en el de los seguros, pero también entre los cargos electos. En su versión original, este artículo pretendía supeditar la cobertura por parte de una aseguradora del pago de un rescate, luego de un ataque informático, a la presentación de una denuncia. Una orientación mal percibida por el mundo de la ciberseguridad francesa. Después de ser estudiado por los legisladores, el término rescate ahora ha desaparecido en favor de la mención ” cualquier daño causado por un ataque a un sistema de procesamiento de datos automatizado “. En esta ocasión son los especialistas en seguros los que se preguntan…
Clamor del sector de la ciberseguridad desde la primera versión del texto
El 7 de septiembre, en LinkedIn, Guillaume Poupard, director general de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), reaccionó a una publicación con un meme que mostraba a un gato golpeándose la cabeza contra la pared. Esta publicación trata sobre una de las sugerencias de un informe de la dirección general del tesorocon derecho ” El desarrollo del seguro de riesgo cibernético “. El objeto de la exasperación del alto funcionario es la propuesta número 5 del texto. Para el propósito declarado de aclaración, esta propuesta requiere ” Condicionar la indemnización de un seguro de ciberrescate a la interposición de una denuncia por parte de la víctima “.
Captura de pantalla: Century Digital
El mismo día, el ministro del Interior, Gérald Darmanin, presentó la LOPMI al Consejo de Ministros. Este proyecto de ley retoma lo esencial de otro, presentado en marzo de 2022, pero cuyo examen se pospuso con la llegada de las elecciones legislativas. La propuesta de informe de la Dirección General del Tesoro se recoge en el famoso artículo 4 de esta nueva ley. Para Loïc Guézo, secretario general del Club Francés de Seguridad de la Información (CLUSIF), la redacción en ese momento fue una muy mala idea, yendo en contra de ” de la doctrina oficial que es nunca pagar los rescates » le explica a siglo digital.
La cobertura del pago de un rescate por seguro, después de un ataque de ransomware, no está, de hecho, prohibida por la ley francesa. Sin embargo, al autorizarlo explícitamente, los expertos en ciberseguridad temían que el gobierno provocara un borrador. Alain Bouille, Delegado General del Club de Expertos en Seguridad de la Información y Digital (CESIN), considera ” esquematizando y acortando un poco “que esta formulación” muy rápidamente podría convertirse en un estímulo para el crimen “. En una encuesta a sus miembros a fines de septiembre, el CESIN señaló que de 249 encuestados, El 82% de los encuestados estaba en contra de la primera versión de la LOPMI. Pagar un rescate a los ciberdelincuentes no certifica un sistema de información desbloqueado, o que los datos no hayan sido extraídos de él para futuros chantajes, o incluso que podría seguir un nuevo ataque.
En 2021, la Asamblea Nacional y el Senado publicaron dos informes separados que abordan el tema de la cobertura de rescate por parte de las aseguradoras. Ambos iban en la misma dirección: la de la prohibición. Valéria Faure-Muntian, ex diputada de la mayoría La République En Marche y copresidenta del grupo de estudio “Seguros” de la cámara, en el origen del texto expresado a siglo digital su incomprensión de la redacción inicial de la LOPMI. Denuncia una victoria del lobby de las aseguradoras, opinión ampliamente compartida entre los detractores del texto. Estos últimos creen que es más barato para las aseguradoras cubrir el pago de un rescate que cubrir los costos de remediación. LOPMI fomentaría esta práctica.
Luc Vignancour, jefe de suscripción cibernética de Beazley, una aseguradora británica, dice por el contrario que él ” no hay interés económico en pagar el rescate para el seguro Según él, esta idea cae bajo el leyenda urbana “, la decisión de pagar o no un rescate regresando en todo caso a la empresa víctima y no a su aseguradora. Este último es el encargado de apoyarlo en la gestión de esta crisis. Describe el debate sobre los rescates como simplista. En su versión inicial, el texto quizás interesaba aclarar la legalidad del pago del rescate, pero ” no cambió nuestra forma de apoyar a los asegurados “. Por el contrario, cree que si el objetivo es la prohibición del pago de rescates, no entiendo que tiene que ver la aseguradora. ¿Por qué pedirle a la aseguradora que se haga responsable? “.
La prohibición de cubrir el pago de rescates no es unánime. Varias enmiendas presentadas a tal efecto fueron rechazadas en el Senado. Alain Bouille, del CESIN, informa que un ” SME puede tener todo su sistema de información bloqueado, datos de producción encriptados, datos de respaldo encriptados. En estos casos, la empresa no tiene más remedio que pagar. Si se le prohíbe pagar el rescate, significa que se la deja morir. “. Un punto de vista compartido por Rémi Cardon, senador del grupo Socialista, Ecologista y Republicano, coautor del informe del Senado, quien denunció un artículo 4 ” una pequeña barra libre “.
Ante la bronca que despertó el texto, el Ministerio del Interior, que no respondió a las solicitudes de entrevistas de siglo digitalse declaró, a principios de noviembre, a favor a la nueva redacción del artículo 4 que permite crear restricciones a la supuesta llamada de aire en ransomware “. Esta nueva redacción, propuesta en la Comisión Jurídica por el diputado MoDem Philippe Latombe y algunos de sus colegas, elimina el término rescate. Señala que ” vimos en la Comisión Jurídica que había una especie de unanimidad para decir que el artículo 4 estaba realmente mal redactado “. También denuncia una mala señal enviada desde Bercy al mundo de la ciberseguridad” sin embargo, uno de los mejores ecosistemas del mundo “, saludando por el contrario los esfuerzos de Beauveau en esta dirección.
Empresas y aseguradoras se muestran, a su vez, preocupadas por el nuevo rumbo que toma la LOPMI
Dentro su última formala que será debatida en el pleno de la Asamblea Nacional el próximo 14 de noviembre”, El pago de una suma en virtud de una cláusula de seguro destinada a indemnizar “después de un ciberataque, siempre está subordinado” la justificación de la denuncia de la víctima ante las autoridades competentes, a más tardar cuarenta y ocho horas después de la observación del delito “. Esta nueva versión, la actual, no está exenta de otras dificultades.
En el caso de detectar un ciberataque, la velocidad de reacción es primordial. Es función de las aseguradoras proporcionar asistencia en la gestión de crisis lo más rápido posible. Luc Vignancour se hace la pregunta: ” Nosotros, como aseguradoras, sabemos que los primeros minutos cuentan, que debemos actuar con rapidez. Si acompañamos a nuestro asegurado y no hay denuncia, ¿la culpa es de la aseguradora? ¿Se arriesga a que lo multen por no exigir que se presente una denuncia? “. Para el especialista es un problema de forma del texto, de una confusión a aclarar.
Philippe Cotelle, administrador de la Asociación para la Gestión de Riesgos y Seguros Corporativos (Amrae) y presidente de su comisión cibernética, tiene temores similares. Insiste en que ” esta ley no crea un obstáculo a la compensación “. Él señala que ” uno de los atractivos de los ciberseguros es estar presente al mismo tiempo como apoyo durante la gestión de crisis, en cuanto a recursos técnicos, legales, de comunicación… Todo lo cual forma parte de la indemnización de las aseguradoras “. Si la indemnización estuviere ligada a una denuncia interpuesta dentro de las cuarenta y ocho horas, la asistencia” claves para minimizar el impacto de un ciberataque y mejorar la resiliencia empresarial podría desaparecer. Philippe Cotelle también cree que esto podría perjudicar ” un mercado de seguros cibernéticos aún frágil “.
Para muchos, la verdadera pregunta que deben hacerse es: ¿cómo fortalecer el mercado de seguros cibernéticos en Francia? Philippe Cotelle observa que ” Hoy en día, son principalmente las empresas muy grandes las que tienen la madurez suficiente para asegurarse por sí mismas y el corazón de la economía francesa, las PYME y las VSE, están muy mal aseguradas. “. A Informe anual de AMRAE, LUCY, indica que en 2021 el 82% del volumen de primas lo pagarán las grandes empresas. El administrador de la asociación señala que ” esta ley, de hecho, solo está dirigida a una minoría de empresas “. Una opinión compartida por Alain Bouillé, de CESIN. Según él, es necesario que haya un cambio de paradigma en el mundo de los seguros cibernéticos, “ Para que el mercado funcione, necesita volumen. Las ciberaseguradoras han buscado este volumen del lado de las grandes empresas, pero obviamente esto presenta más riesgo “. En 2020, un puñado de siniestros comprometió el equilibrio de este mercado. Como resultado, las aseguradoras han endurecido sus condiciones de seguro.
Luc Vignancour, de Beazley, escucha las recriminaciones de las pymes y las VSE sobre el precio de las primas o la exigencia de los cuestionarios que les envían antes de que se asegure, pero ” debemos preservar nuestro equilibrio económico ” para poder ” lograr evaluar nuestra exposición al riesgo como aseguradora recuerda. Un ejercicio difícil para un tema tan cambiante como los ciberataques. Para Alain Bouille es en este aspecto que ” el gobierno haría bien en buscar atraer a las pequeñas y medianas empresas a las aseguradoras cibernéticas “. Según él, el apoyo financiero, en forma, por ejemplo, de incentivos fiscales, podría permitir elevar el nivel general de seguridad y permitiría volver ” en un círculo normal de pequeños clientes, pequeños daños, grandes clientes, grandes daños, pero cuyo coste de siniestros para las aseguradoras se diluye en la masa “.
Los debates parlamentarios en torno a la LOPMI deberán encontrar un equilibrio entre la necesidad de clarificación, que podría favorecer un mercado de seguros cibernéticos en Francia, y el peligro de dar la impresión de que Francia fomenta el pago de rescates. Varias enmiendas, en particular por parte del diputado Philippe Latombe, intentarán eliminar las ambigüedades existentes. El proyecto de ley de orientación y programación del Ministerio del Interior podría estar aprobado a fines de la semana.