Los concesionarios afrontan una situación crítica en dos frentes: deben cumplir con la nueva regulación de ciberseguridad o enfrentarse a investigaciones.
Las amenazas de ciberseguridad están en aumento, con criminales cada vez más sofisticados y apuntando a una variedad más amplia de industrias. Entre 2021 y 2023, las brechas de datos aumentaron un 72%, alcanzando un récord histórico, y el coste por brecha fue de 5,09 millones de dólares.
Los concesionarios, al ser nuevos en materia de regulaciones y no tener aún todas las bases cubiertas, se han convertido en un objetivo ideal para estafas de phishing, ransomware y ciberataques, ya que manejan una gran cantidad de datos sensibles de clientes.
“Los ciberataques continúan aumentando y nuestra experiencia es que las industrias menos preparadas son más vulnerables”, dijo Jonathan Steenland, Co-CEO de ForceNow y ex Director de Seguridad de la Información (CISO) en Fujitsu. “Los ataques de ransomware, específicamente, están siendo más frecuentes y aumentaron un 68% año tras año en 2023, las empresas afectadas experimentaron más de seis días de inactividad después del ataque, y el 40% pagó un rescate de, al menos, 1 millón de dólares”.
Sin embargo, estos números solo reflejan los ataques detectados. Muchos no se reportan. Las interrupciones financieras, las violaciones de privacidad y el tiempo de inactividad del negocio son los resultados más comunes. Según la FTC, “La Regla de Salvaguardas requiere que las instituciones financieras desarrollen, implementen y mantengan un programa de seguridad de la información con salvaguardas administrativas, técnicas y físicas diseñadas para proteger la información del cliente”. Esto incluye la encriptación de la información del cliente tanto en tránsito como en reposo.
En cualquier industria recién regulada, puede tomar tiempo para que las empresas se adapten a estos cambios. Las empresas pueden ser reacias al cambio debido a los costes, riesgos y interrupciones asociados con la implementación de nuevos procesos, tecnologías o estrategias, así como la posible resistencia de los empleados.
“Vemos esto en otras industrias reguladas que hemos apoyado durante la última década como banca, préstamos, seguros, inversiones, salud y educación, donde algunas empresas miran los cambios regulatorios de manera similar a la adopción del cambio tecnológico,” dice Karl Falk, CEO de Botdoc. “Algunas empresas ‘esperan a ver’ o solo implementan algunas protecciones, no todas, y desafortunadamente, esa es la estrategia equivocada cuando se trata de regulaciones, especialmente en torno a la seguridad… para la empresa y la privacidad de los consumidores”.
Desafíos que enfrentan los concesionarios
Los concesionarios enfrentan una situación crítica en dos frentes. Deben cumplir con la nueva regulación de ciberseguridad, y si no lo hacen, enfrentar investigaciones y multas por parte de la FTC. Además, deben darse cuenta del impacto de no cumplir, lo que puede llevar a una brecha, exposición y el costo de la confianza de sus clientes, e incluso demandas de grupos de consumidores privados. El gobierno de EE. UU. ya no puede proteger por sí solo al consumidor estadounidense de los cibercriminales y debe confiar en que la industria haga su parte.
El cambio regulatorio debe ser una estrategia prioritaria ya que la falta de cumplimiento puede poner en riesgo el negocio.
“La ciberseguridad no es una solución de una sola vez o solo marcar una casilla. Es una hoja de ruta con visión de futuro, adaptándose constantemente a las amenazas cibernéticas en constante cambio,” dice Steenland. “En lugar de simplemente reaccionar a los problemas, necesitas una estrategia proactiva que evalúe el panorama digital de tu empresa para los próximos 2, 4 o incluso más de 6 años. Esto asegura que estés preparado para lo que viene, no solo para lo que ya ha sucedido”.
Por eso es importante contratar un equipo de estrategia para ayudar a mitigar riesgos en el negocio, así como asistencia de expertos confiables u organizaciones profesionales que hayan trabajado en otras industrias reguladas y conozcan no solo el cumplimiento, sino también la ciberseguridad.
“La responsabilidad última de proteger la información del consumidor recae en el concesionario,” dijo Adam Crowell, Vicepresidente de Asuntos Legales y Desarrollo Corporativo en KPA. “Ya sea que los datos residan en tus sistemas y redes, o en los sistemas y redes de tus proveedores de servicios, son los datos de tus clientes, y deberás informar la brecha de datos de la información de tus clientes si se confirma una brecha de datos, por lo que esto debe tomarse en serio.”