Od pewnego czasu w rozmowach z przedstawicielami zakładów ubezpieczeń słyszymy podobną obserwację: digitalizacja przestała być projektem transformacyjnym wspierającym biznes, a stała się codziennością, która wymaga zupełnie innego sposobu myślenia o ryzyku.
Tempo zmian technologicznych, rosnąca zależność od danych i rozwiązań chmurowych oraz wykorzystanie sztucznej inteligencji sprawiają, że firmy funkcjonują dziś w warunkach ciągłego obciążenia operacyjnego. To z kolei zmienia samą definicję odporności. Nie chodzi już o przygotowanie planu ciągłości działania, analizę wpływu biznesowego czy regularne symulacje. Najważniejsza staje się zdolność organizacji do utrzymania kluczowych usług biznesowych w warunkach, które jeszcze kilka lat temu byłyby uznane za skrajne.
W tym kontekście trudno pominąć wpływ wojny w Ukrainie na sektor ubezpieczeń. Choć działania militarne nie dotyczą bezpośrednio Polski, to ich konsekwencje są odczuwalne. Rośnie skala cyberataków wymierzonych w krajowe instytucje, coraz częściej dochodzi do prób destabilizacji infrastruktury krytycznej, a elementy wojny hybrydowej stają się tłem dla działalności przestępczej, nakierowanej również na branżę ubezpieczeniową. W tym obszarze kluczową rolę odgrywa dezinformacja.
Ubezpieczyciele muszą więc przyjąć, że presja operacyjna nie jest chwilowym zjawiskiem, lecz nową codziennością funkcjonowania. W takim środowisku odporność – rozumiana jako zdolność do utrzymania usług mimo zakłóceń wywołanych czynnikami zewnętrznymi – nabiera realnego znaczenia.
W przeszłości dominowało myślenie o incydentach jako o czymś punktowym – zdarzeniu, które można wyizolować, rozwiązać i przywrócić system do normalności. Dziś zakłócenia mają charakter sieciowy, np. błąd modelu AI wpływa na decyzje underwritingowe, niedostępność jednego API wstrzymuje całą ścieżkę sprzedaży, a incydent u dostawcy chmury rozchodzi się daleko poza jego własne środowisko. Z tej perspektywy odporność nie jest tarczą ochronną, ale umiejętnością adaptacji w czasie rzeczywistym.
Regulacje UE jako fundament odporności, a nie ciężar administracyjny
W polskich firmach regulacje są często postrzegane jako dodatkowe obciążenie. Jeśli jednak przyjrzymy się bliżej regulacjom, takim jak DORA, AI Act, NIS2 czy rosnącej liczbie wytycznych technicznych dotyczących zarządzania ryzykami ICT, widać, że ich celem jest uporządkowanie sposobu, w jaki instytucje finansowe korzystają z technologii. DORA wprowadza do sektora ubezpieczeniowego pojęcie odporności w ujęciu, które dotychczas było raczej rzadko używane, podkreślając powiązania między procesami, systemami, dostawcami i danymi, koncentrując się na całościowym podejściu zamiast na pojedynczych elementach infrastruktury. Z kolei AI Act reguluje sposób, w jaki firmy mogą wykorzystywać modele w obszarach o znaczeniu krytycznym, co obejmuje także procesy wyceny ryzyka, detekcji nadużyć i oceny szkód.
W ujęciu praktycznym przepisy te zmuszają zakłady ubezpieczeń do wprowadzenia większej przejrzystości, ściślejszego monitorowania środowisk IT i bardziej rygorystycznego podejścia do zarządzania modelami AI. To właśnie buduje odporność. Firma, która wie, jak działa jej środowisko, jakie ma zależności i gdzie znajduje się granica tolerancji operacyjnej, ma dużo większą szansę utrzymać kluczowe usługi bez względu na to, gdzie pojawi się zakłócenie. I to jest realny cel regulacji UE – zwiększenie odporności gospodarki jako całości, a nie tylko zapewnienie zgodności na poziomie dokumentacji.
Warto też zwrócić uwagę, że zmienia się podejście regulatorów do ryzyka dostawców. Jeszcze kilka lat temu outsourcing IT postrzegano jako sposób na zwiększenie efektywności i dostęp do kompetencji. Dziś jest to obszar wymagający szczególnej uwagi, bo zakłócenie po stronie partnera technologicznego może mieć wpływ na cały sektor. To właśnie dlatego zarówno DORA, jak i powiązane wytyczne nadzorców nakładają większą odpowiedzialność za monitorowanie usług chmurowych, automatyzacji i elementów, które wcześniej uznawano za te „pod kontrolą dostawcy”.
Odporność jako element codziennego działania, a nie poboczny projekt
Największą zmianą, jaką obserwujemy w sektorze ubezpieczeń, jest zrozumienie, że odporność nie powstaje nagle, lecz jest efektem codziennych, konsekwentnie podejmowanych drobnych decyzji. To przejście od przekonania, że incydenty są rzadkimi przerwami od normalności, do uznania, że normalność sama w sobie stała się bardziej zmienna i nieprzewidywalna.
Rosnące wykorzystanie sztucznej inteligencji w procesach ubezpieczeniowych to kolejny element, który wymusza nowe podejście. Modele potrafią podejmować decyzje szybciej niż człowiek, ale też szybciej mogą popełnić błąd, który wpływa na tysiące klientów. Jeśli ktoś traktuje AI wyłącznie jako narzędzie optymalizacyjne, prędzej czy później trafi na granicę bezpieczeństwa. Jeśli natomiast włącza ją w architekturę odporności, z monitoringiem, walidacją modeli, scenariuszami awaryjnymi i jasną odpowiedzialnością, wtedy staje się ona naturalnym elementem wzmacniającym organizację.
Z tej perspektywy odporność to umiejętność świadomego upraszczania złożoności. Sztuką nie jest zbudowanie kolejnej warstwy zabezpieczeń, ale stworzenie takich procesów, które da się utrzymać nawet wtedy, gdy część systemu przestaje działać. Wymaga to połączenia kompetencji technologicznych, rozumienia biznesu i praktycznej wiedzy o tym, jak wygląda funkcjonowanie instytucji finansowej pod presją czasu. Ostatecznie najważniejsza jest odpowiedź na pytanie: czy w sytuacji zakłócenia potrafimy zapewnić klientom ciągłość obsługi? Jeśli tak – jesteśmy na właściwej drodze.
Odporność nie musi oznaczać zwiększonej złożoności. Wręcz przeciwnie, jest ona często efektem uporządkowania środowiska, zmniejszenia zależności, jasnego zdefiniowania tego, co naprawdę krytyczne, i dobrego zrozumienia, jak działają procesy w sytuacji kryzysowej. I choć może to zabrzmieć jak truizm, to w praktyce właśnie te elementy robią największą różnicę.
Michał Sosinka
Partner Associate, Zespół Cyberbezpieczeństwa, Deloitte
