La Asamblea Nacional se dispone a votar el lunes 14 de noviembre el proyecto de ley de orientación y programación (LOPMI) del Ministerio del Interior. Dentro de esta ley, el artículo 4 es objeto de debate en el mundo de la ciberseguridad, en el mundo de los seguros, pero también entre los cargos electos. En su versión original, este artículo pretendía condicionar la cobertura por parte de una aseguradora del pago de un rescate, tras un ataque informático, a la presentación de una denuncia. Esta orientación fue mal percibida por el mundo de la ciberseguridad francés. Tras ser estudiado por los legisladores, el término rescate ha desaparecido en favor de la mención » cualquier daño causado por la violación de un sistema de tratamiento automatizado de datos «. Esta vez son los especialistas en seguros los que se preguntan…
Protestas del sector de la ciberseguridad ante el primer borrador del texto
El 7 de septiembre, en LinkedIn, Guillaume Poupard, Director General de la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI), reaccionó a un post con un meme, en el que aparecía un gato golpeándose la cabeza contra una pared. El post se refiere a una de las sugerencias de un informe de la Dirección General del Tesoro, titulado » El desarrollo del seguro de ciberriesgo «. El objeto de la exasperación del alto funcionario es la propuesta número 5 del texto. Con el objetivo declarado de clarificar, esta propuesta pide » Condicionar la indemnización del seguro de ciberdelincuencia a que la víctima presente una denuncia «.
Captura de pantalla: Ondigital Magazine
Ese mismo día, el ministro del Interior, Gérald Darmanin, presentó la LOPMI al Consejo de Ministros. Este proyecto de ley retoma la esencia de otro presentado en marzo de 2022, pero cuyo examen se pospuso con la llegada de las elecciones legislativas. La propuesta del informe de Hacienda se recoge en el famoso artículo 4 de esta nueva ley. Para Loïc Guézo, Secretario General del Club Francés de Seguridad de la Información (CLUSIF), la redacción en ese momento era una muy mala idea, que iba en contra de » la doctrina oficial de no pagar nunca rescates «, explicó a Siglo Digital.
De hecho, la legislación francesa no prohíbe la cobertura de seguros para el pago de rescates tras un ataque de ransomware. Sin embargo, al permitirlo explícitamente, los expertos en ciberseguridad temían que el gobierno creara un vacío. Alain Bouillé, delegado general del Club de expertos de la seguridad de la información y de la informática (CESIN), considera que » esquematizando y acortando un poco «que esta formulación podría convertirse rápidamente en un estímulo para la delincuencia «. En una encuesta realizada a sus miembros a finales de septiembre, CESIN señaló que, de 249 encuestados, el 82% estaba en contra de la primera versión de la LOPMI. El pago de un rescate a los ciberdelincuentes no certifica que un sistema de información haya sido desbloqueado, ni que los datos no hayan sido ya exfiltrados para futuros chantajes, ni que pueda producirse un nuevo ataque.
En 2021, la Asamblea Nacional y el Senado publicaron dos informes distintos en los que se abordaba la cuestión de la cobertura del ransomware por parte de las aseguradoras. Ambos iban en la misma línea: la de la prohibición. Valéria Faure-Muntian, ex diputada de la mayoría de La République En Marche y copresidenta del grupo de estudio «Seguros» de la cámara, que inició el texto, expresó a Ondigital Magazine su incomprensión de la redacción inicial de la LOPMI. Denuncia una victoria del lobby de las aseguradoras, una opinión ampliamente compartida entre los detractores del texto. Estos últimos creen que a las aseguradoras les resulta más barato cubrir el pago de un rescate que los costes de reparación. La OMPI fomenta esta práctica.
Luc Vignancour, responsable de suscripción de ciberataques en Beazley, una aseguradora con sede en el Reino Unido, afirma que «no hay necesidad de una póliza contra el ransomware. no hay interés financiero en pagar el rescate «para las compañías de seguros. En su opinión, esta idea es «una cuestión de leyenda urbana «La decisión de pagar o no un rescate la tomó en todo caso la empresa víctima y no su aseguradora. La aseguradora se encarga de ayudar a la empresa a gestionar la crisis. Calificó de simplista el debate sobre los rescates. En su versión inicial, el texto podía tener la ventaja de aclarar la legalidad del pago de rescates, pero » no cambió nuestra forma de acompañar a los asegurados «. Por el contrario, cree que » si el objetivo es la prohibición del pago de rescates, no entiendo qué tiene que ver la aseguradora. ¿Por qué pedir responsabilidades a la aseguradora? «.
La prohibición de la cobertura de los pagos de rescates no cuenta con un apoyo unánime. Varias enmiendas presentadas en este sentido fueron rechazadas en el Senado. Alain Bouillé, del CESIN, informa de que un » La PYME puede tener todo su sistema de información bloqueado, los datos de producción encriptados, los datos de copia de seguridad encriptados. En estos casos, la empresa no tiene más remedio que pagar. Si se prohíbe pagar el rescate, significa que se deja morir «. Un punto de vista compartido por Rémi Cardon, senador del grupo socialista, ecologista y republicano, coautor del informe del Senado, que denunció un artículo 4 » un poco de barra libre «.
Ante el revuelo causado por el texto, el Ministerio del Interior, que no respondió a las solicitudes de entrevista de Siglo DigitalA principios de noviembre, la Comisión Europea se declaró a favor de » la nueva redacción del artículo 4, que permite crear limitaciones a la supuesta moda del ransomware «. Esta nueva redacción, propuesta en la Comisión de Derecho por el diputado del MoDem Philippe Latombe y algunos de sus colegas, elimina el término rescate. Destaca que » vimos en la Comisión de Derecho que había una forma de unanimidad para decir que el artículo 4 estaba realmente mal redactado «. También denunció una mala señal enviada desde Bercy al mundo de la ciberseguridad. pero uno de los mejores ecosistemas del mundo «Por el contrario, acogió con satisfacción los esfuerzos de Beauveau en este sentido.
Las empresas y las aseguradoras están, a su vez, preocupadas por el nuevo rumbo tomado por la LOPMI
En su última versión, la que se debatirá en el pleno de la Asamblea Nacional el 14 de noviembre, » El pago de una suma en virtud de una cláusula de seguro para compensar «tras un ciberataque, siempre está sujeto a» la denuncia de la víctima debe presentarse ante las autoridades competentes dentro de las cuarenta y ocho horas siguientes a la detección del delito «. Esta nueva versión, la actual, no está exenta de otras dificultades.
En el caso de la detección de un ciberataque, la velocidad de respuesta es primordial. El papel de las aseguradoras es proporcionar asistencia para la gestión de la crisis lo antes posible. Luc Vignancour se pregunta: » Como aseguradores, sabemos que los primeros minutos cuentan y que hay que actuar con rapidez. Si acompañamos a nuestro asegurado y no se presenta ninguna denuncia, ¿la culpa es de la aseguradora? ¿Se arriesga a ser multado por no haber exigido que se presente una denuncia? «. Para el especialista, se trata de un problema de forma en el texto, una confusión que hay que aclarar.
Philippe Cotelle, administrador de la Association pour le Management des Risques et des Assurances de l’Entreprise (Amrae) y presidente de su comisión cibernética, tiene temores similares. Insiste en que » esta ley no crea un obstáculo para la compensación «. Señala que » uno de los atractivos del ciberseguro es que proporciona apoyo durante la gestión de la crisis, en términos de recursos técnicos, legales y de comunicación… Todos estos elementos forman parte de la compensación de las aseguradoras «. Si la indemnización estuviera vinculada a una reclamación presentada en un plazo de 48 horas, la asistencia » claves para minimizar el impacto de un ciberataque y mejorar la resistencia de la empresa «podría desaparecer. Philippe Cotelle también cree que esto podría perjudicar a » un mercado de ciberseguros aún frágil «.
Para muchos, la verdadera pregunta es: ¿cómo reforzar el mercado de los ciberseguros en Francia? Philippe Cotelle señala que » Hoy en día son principalmente las empresas muy grandes las que tienen la madurez suficiente para asegurarse y que el corazón de la economía francesa, las PYMES y las VSE, están muy poco aseguradas «. Un informe anual de AMRAE, LUCY, indica que en 2021 el 82% del volumen de primas lo pagan las grandes empresas. El administrador de la asociación señala que » esta ley sólo está dirigida a una minoría de empresas «. Una opinión compartida por Alain Bouillé, de CESIN. Según él, es necesario un cambio de paradigma en el mundo de los ciberseguros, » Para que el mercado funcione, se necesita volumen. Las aseguradoras cibernéticas han Estado buscando ese volumen de las grandes empresas, pero obviamente eso es más arriesgado «. En 2020, un puñado de siniestros amenazó el equilibrio de este mercado. Por ello, las aseguradoras han endurecido las condiciones de los seguros.
Luc Vignancour, de Beazley, escucha las quejas de las PYME y las VSE sobre el precio de las primas o los exigentes cuestionarios que se les envían antes de asegurarlas, pero » tenemos que preservar nuestro equilibrio económico «poder» para poder evaluar nuestra exposición al riesgo como aseguradora «, recuerda. Un ejercicio difícil para un tema tan fluido como los ciberataques. Para Alain Bouillé es en este aspecto donde » el gobierno haría bien en centrarse en este aspecto, para atraer a las pequeñas y medianas empresas a las ciberaseguradoras «. En su opinión, una ayuda financiera, por ejemplo en forma de incentivo fiscal, podría contribuir a elevar el nivel general de seguridad y aportar » en un círculo normal de pequeños clientes, pequeños daños, grandes clientes, grandes daños, pero con el coste de las reclamaciones para las aseguradoras diluido en la masa «.
Los debates parlamentarios sobre la LOPMI tendrán que encontrar un equilibrio entre la necesidad de clarificación, que podría fomentar un mercado de ciberseguros en Francia, y el peligro de dar la impresión de que Francia fomenta el pago de rescates. Varias enmiendas, en particular la del diputado Philippe Latombe, pretenden eliminar las ambigüedades existentes. El proyecto de ley de orientación y programación del Ministerio del Interior podría aprobarse a finales de esta semana.
Como joven medio de comunicación independiente, OnDigital Magazine necesita tu ayuda. Apóyenos siguiéndonos y marcándonos como favoritos en Google News. Gracias por su apoyo.
