W ostatnich latach temat cyberbezpieczeństwa nabiera znaczenia. By chronić dane klientów wprowadzane są nowe przepisy, do których muszą dostosować się przedsiębiorstwa. Zwłaszcza firmy ubezpieczeniowe, które działają na wielu danych wrażliwych. 

Bezpieczeństwo klienta przede wszystkim 

Rozwój technologiczny i przeniesienie usług do cyfrowej rzeczywistości sprawiły, że firmy muszą z jeszcze większą dbałością dbać o bezpieczeństwo danych klientów. 5 października 2022 r. UKNF przedstawił nowe wytyczne dotyczące działań zakładów ubezpieczeń i reasekuracji w obszarze cyberbezpieczeństwa. Jedną z nich była zasada security first. W jej ramach firma planująca jakiekolwiek działania biznesowe, powinna uwzględnić w nich bezpieczeństwo informatyczne zarówno swoje jak i klienta. Dodatkowo ocena ryzyka w tym obszarze powinna brać pod uwagę: 

  • możliwie najwyższy poziom ochrony środków finansowych i danych klientów, 
  • aktualne trendy w zagrożeniach i metodach działań cyberprzestępców, 
  • jaki wpływ mogą mieć działania zaplanowane przez towarzystwo ubezpieczeń na cały sektor usług finansowych. 

Kolejne zalecenia KNF to m.in.: 

  • stosowanie wieloskładnikowego uwierzytelniania w elektronicznych kanałach dostępu, 
  • zmiana sposobu szyfrowania załączników w korespondencji e-mail na hasła bardziej skomplikowane niż np. fragment nr PESEL, 
  • kontrola nad działalnością zewnętrznych usługodawców, 
  • unikanie aktywnych linków w komunikacji z klientem. 

To ostatnie zalecenie wywołuje emocje wśród firm ubezpieczeniowych. 

Czy aktywne linki zostaną zakazane? 

Wielu ubezpieczycieli wytyczną dotyczącą aktywnych linków w komunikacji traktuje jako całkowity zakaz ich stosowania. Jednak dotychczas w żadnym dokumencie wystosowanym przez UKNF nie było takiej informacji. Ponadto w piśmie z dnia 5 października 2022 r. kierowanym do zakładów ubezpieczeń w kwestii aktywnych linków wskazuje on na działania socjotechniczne, wykorzystywane przez cyberprzestępców do podszywania się pod legalnie działające instytucje finansowe i inne organizacje. UKNF wskazał również, iż ubezpieczyciele powinni dążyć do ograniczenia tej praktyki (wysyłania aktywnych linków) na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne, lub inne kanały elektroniczne, które nie generują ryzyka oszustwa. 

– Aktualnie obowiązujące przepisy prawa, rekomendacje czy też wytyczne nie zakazują zakładom ubezpieczeń używania w komunikacji z Klientami aktywnych linków. Takiego zakazu nie wprowadza również DORA, która wchodzi w życie 17 stycznia 2025.  Na pewno kierując się zasadą „security first” oraz oceną ryzyka bezpieczeństwa, należałoby dążyć do wyeliminowania aktywnych linków tam, gdzie może to skutkować pozyskaniem przez cyberprzestępców danych i poświadczeń klientów do logowania się. Takie działania mogą doprowadzić do kradzieży danych lub środków finansowych. Postępując zgodnie z powyższymi zasadami i wytycznymi UKNF nie powinniśmy całkowicie rezygnować ze stosowania linków w procesach obsługi Klientów – wyjaśnia Michał Pruchniewicz, Specjalista ds. compliance i ochrony danych osobowych Europ Assistance Polska. 

Jakie zmiany wprowadzi DORA? 

DORA to unijne rozporządzenie, które wejdzie w życie już 17 stycznia 2025 r. Regulacja ta ma za zadanie zwiększyć operacyjną odporność cyfrową. Dzięki niej firmy z sektora finansowo-ubezpieczeniowego mają być przygotowane na taki scenariusz jak: ataki cyfrowe, awarie technologiczne bądź inne sytuacje kryzysowe. Rozporządzenie ma na uwadze także dobro klientów korzystających m.in. z usług ubezpieczeniowych. Ochrona ich danych ma być na najwyższym poziomie, jak również firmy mają zapewnić ciągłość swoich usług nawet w przypadku awarii. 

Wzmacnianie operacyjne odporności cyfrowej instytucji finansowych ma opierać się na tworzeniu jednolitych systemów bezpieczeństwa sektora bankowo-ubezpieczeniowego we wszystkich krajach UE. Istotne elementy budowania tego bezpieczeństwa stanowi: 

  • zarządzanie ryzykiem ICT, 
  • usprawnienie współpracy oraz wymiana informacji między podmiotami finansowymi a organami krajowymi i unijnymi, aby skutecznie reagować na cyberzagrożenia, 
  • wspieranie wdrażania nowoczesnych rozwiązań technologicznych w instytucjach finansowych. 

– Rozporządzenie DORA ma wprowadzić przepisy, które wyeliminują braki i niespójności w niektórych z obecnych regulacji dotyczących cyberbezpieczeństwa podmiotów finansowych. Koncentruje się na zarządzaniu ryzykiem, raportowaniu incydentów, testowaniu odporności operacyjnej i monitorowaniu ryzyka. Celem DORA jest podniesienie świadomości zagrożeń wynikających z cyfryzacji i operacyjnej niewydolności, które mogą osłabić stabilność sektora finansowego. Wdrażanie rozwiązań z rozporządzenia ma zagwarantować większą stabilność systemu finansowego UE i uczynić korzystanie z usług cyfrowych bezpieczniejszym – tłumaczy Piotr Przecherski, Radca Prawny Europ Assistance Polska. 

Z całą pewnością towarzystwa powinny aktywnie budować świadomość klientów na temat cyberzagrożeń. Pomóc w tym mogą: 

  • kampanie edukacyjne, takie jak webinary, warsztaty lub kampanie informacyjne o zagrożeniach takich jak phishing, malware czy wyłudzenia danych, 
  • proaktywne komunikowanie się, czyli informowanie klientów o nowych cyberzagrożeniach oraz udzielanie porad dotyczących bezpiecznego korzystania z usług cyfrowych, 
  • interaktywne narzędzia szkoleniowe, takie jak testy lub quizy online, które uczą rozpoznawania prób wyłudzeń i podejrzanych aktywności, 

Istotna jest także odpowiedzialność instytucji, czyli wdrażanie jasnych procedur zgłaszania incydentów oraz edukowanie klientów, jak reagować w przypadku naruszenia bezpieczeństwa. 

– Działania edukacyjne na pewno podniosą świadomość i przygotowanie klientów na ewentualne próby kradzieży ich danych osobowych bądź dostępowych. Zwiększając swoją wiedzę, będą oni bardziej wyczuleni na działania cyberprzestępców. Dzięki temu jeszcze lepiej będą mogli zadbać o bezpieczeństwo swoich cyfrowych kont i znajdujących się tam informacji. Aby im to ułatwić, planujemy stworzyć kilka krótkich materiałów wideo pt. Cyberbezpieczeństwo w ramach usług assistance. Mamy nadzieję, że zwiększy to  zaufanie klientów do oferowanych przez nas rozwiązań technologicznych oraz obniży ryzyko skutecznych cyberataków – mówi Marcin Zieliński, Dyrektor Generalny Europ Assistance Polska. 

Źródło: Europ Assistance Polska