Cyberbezpieczeństwo to temat, który bardzo często powraca, ale nigdy nie ulega przedawnieniu. W celu ochrony danych klientów powstaje wiele przepisów, do których przedsiębiorstwa muszą się dostosować. Szczególnie firmy ubezpieczeniowe, które działają na wielu danych wrażliwych.
Bezpieczeństwo klienta jako priorytet
Szybki rozwój technologiczny i przeniesienie usług do cyfrowej rzeczywistości wymogły na firmach jeszcze większą dbałość o bezpieczeństwo danych klientów.
5 października 2022 r. UKNF przedstawił nowe wytyczne dotyczące działań zakładów ubezpieczeń i reasekuracji w obszarze cyberbezpieczeństwa. Jedną z nich była zasada security first. Przestrzegając jej firma planująca jakiekolwiek działania biznesowe, powinna uwzględnić w nich bezpieczeństwo informatyczne zarówno swoje jak
i klienta. Ponadto ocena ryzyka w tym obszarze powinna brać pod uwagę:
- możliwie najwyższy poziom ochrony środków finansowych i danych klientów,
- aktualne trendy w zagrożeniach i metodach działań cyberprzestępców,
- jaki wpływ mogą mieć działania zaplanowane przez towarzystwo ubezpieczeń na cały sektor usług finansowych.
Pozostałe zalecenia KNF to m.in.:
- stosowanie wieloskładnikowego uwierzytelniania w elektronicznych kanałach dostępu,
- zmiana sposobu szyfrowania załączników w korespondencji e-mail na hasła bardziej skomplikowane niż np. fragment nr PESEL,
- kontrola nad działalnością zewnętrznych usługodawców,
- unikanie aktywnych linków w komunikacji z klientem.
Szczególnie ostatnia wytyczna wywołuje wiele emocji wśród firm ubezpieczeniowych.
Czy aktywne linki zostaną zakazane?
Wiele towarzystw ubezpieczeniowych wytyczną odnoszącą się do aktywnych linków w komunikacji traktuje jako całkowity zakaz ich stosowania. Jednak do tej pory
w żadnym dokumencie wystosowanym przez UKNF nie było takiej informacji. Ponadto w piśmie z dnia 5 października 2022 r. kierowanym do zakładów ubezpieczeń
w kwestii aktywnych linków wskazuje on na działania socjotechniczne, wykorzystywane przez cyberprzestępców
do podszywania się pod legalnie działające instytucje finansowe i inne organizacje. UKNF wskazał także, iż zakłady powinny dążyć do ograniczenia tej praktyki (wysyłania aktywnych linków) na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne, lub inne kanały elektroniczne, które nie generują ryzyka oszustwa.
Aktualnie obowiązujące przepisy prawa, rekomendacje czy też wytyczne nie zakazują zakładom ubezpieczeń używania w komunikacji z Klientami aktywnych linków. Takiego zakazu nie wprowadza również DORA, która wchodzi w życie 17 stycznia 2025. Na pewno kierując się zasadą „security first” oraz oceną ryzyka bezpieczeństwa, należałoby dążyć do wyeliminowania aktywnych linków tam, gdzie może to skutkować pozyskaniem przez cyberprzestępców danych i poświadczeń klientów do logowania się. Takie działania mogą doprowadzić do kradzieży danych lub środków finansowych. Postępując zgodnie z powyższymi zasadami i wytycznymi UKNF nie powinniśmy całkowicie rezygnować ze stosowania linków w procesach obsługi Klientów – wyjaśnia Michał Pruchniewicz, Specjalista ds. compliance i ochrony danych osobowych Europ Assistance Polska.
Jakie zmiany wprowadzi DORA?
DORA jest unijnym rozporządzeniem, które wejdzie w życie 17 stycznia 2025 r. Jej głównym celem jest zwiększenie operacyjnej odporności cyfrowej. Dzięki niej firmy
z sektora finansowo-ubezpieczeniowego mają być przygotowane na najgorszy scenariusz: ataki cyfrowe, awarie technologiczne bądź inne sytuacje kryzysowe. Rozporządzenie ma na względzie również dobro klientów korzystających m.in. z usług ubezpieczeniowych. Ochrona ich danych ma być na najwyższym poziomie, jak również firmy mają zapewnić ciągłość swoich usług nawet w przypadku awarii.
Wzmacnianie operacyjne odporności cyfrowej instytucji finansowych ma polegać na tworzeniu jednolitych systemów bezpieczeństwa sektora bankowo-ubezpieczeniowego we wszystkich krajach UE. Kluczowe elementy budowania tego bezpieczeństwa to:
- zarządzanie ryzykiem ICT,
- usprawnienie współpracy oraz wymiana informacji między podmiotami finansowymi a organami krajowymi i unijnymi, aby skutecznie reagować na cyberzagrożenia,
- wspieranie wdrażania nowoczesnych rozwiązań technologicznych w instytucjach finansowych.
Rozporządzenie DORA ma wprowadzić przepisy, które wyeliminują braki i niespójności w niektórych z obecnych regulacji dotyczących cyberbezpieczeństwa podmiotów finansowych. Koncentruje się na zarządzaniu ryzykiem, raportowaniu incydentów, testowaniu odporności operacyjnej i monitorowaniu ryzyka. Celem DORA jest podniesienie świadomości zagrożeń wynikających z cyfryzacji i operacyjnej niewydolności, które mogą osłabić stabilność sektora finansowego. Wdrażanie rozwiązań
z rozporządzenia ma zagwarantować większą stabilność systemu finansowego UE i uczynić korzystanie z usług cyfrowych bezpieczniejszym - tłumaczy Piotr Przecherski, Radca Prawny Europ Assistance Polska.
Edukacja klienta jako fundament
Towarzystwa ubezpieczeniowe powinny aktywnie budować świadomość klientów na temat cyberzagrożeń. Pomocnym w tym mogą być:
- Kampanie edukacyjne: webinary, warsztaty lub kampanie informacyjne o zagrożeniach takich jak phishing, malware czy wyłudzenia danych. Materiały mogą być udostępniane w formie infografik czy filmów instruktażowych.
- Proaktywna komunikacja: informowanie klientów o nowych cyberzagrożeniach oraz udzielanie porad dotyczących bezpiecznego korzystania z usług cyfrowych.
- Interaktywne narzędzia szkoleniowe: testy lub quizy online, które uczą rozpoznawania prób wyłudzeń i podejrzanych aktywności.
- Odpowiedzialność instytucji: wdrażanie jasnych procedur zgłaszania incydentów oraz edukowanie klientów, jak reagować w przypadku naruszenia bezpieczeństwa.
Działania edukacyjne na pewno podniosą świadomość i przygotowanie klientów na ewentualne próby kradzieży ich danych osobowych bądź dostępowych. Zwiększając swoją wiedzę, będą oni bardziej wyczuleni na działania cyberprzestępców. Dzięki temu jeszcze lepiej będą mogli zadbać o bezpieczeństwo swoich cyfrowych kont
i znajdujących się tam informacji. Aby im to ułatwić, planujemy stworzyć kilka krótkich materiałów wideo pt. Cyberbezpieczeństwo w ramach usług assistance. Mamy nadzieję, że zwiększy to zaufanie klientów do oferowanych przez nas rozwiązań technologicznych oraz obniży ryzyko skutecznych cyberataków – mówi Marcin Zieliński, Dyrektor Generalny Europ Assistance Polska.