Cyberatak, który dotyka towarzystwo ubezpieczeniowe, utrata danych klientów czy przejęcie i wykorzystanie konta pracownika albo agenta ubezpieczyciela to nie tylko problem techniczny, ale przede wszystkim wyzwanie dla wizerunku. I nadszarpnięcie zaufania, które jest podstawą w całej branży finansowej.
Dobrze pamiętam przypadki wycieku danych klientów czy e-maile ze złośliwymi załącznikami od agentów ubezpieczeniowych. Już samo czytanie doniesień o cyberatakach na instytucje zaufania publicznego budzi niepokój. Doświadczenie ich na własnej skórze naprawdę skłania do rozważenia, czy powierzanie nie tylko danych, ale i pieniędzy albo spokoju ducha w ręce firm, które nie są w stanie zabezpieczyć kont własnych pracowników i agentów, na pewno jest dobrym pomysłem.
Sektor finansowy czekają jednak zmiany, które mogą stanowczo podnieść poziom nie tylko bezpieczeństwa, ale i zaufania obecnych oraz potencjalnych klientów. Mówię o rozporządzeniu DORA oraz dyrektywie NIS 2, które weszły w życie na początku tego roku. Te nowe regulacje Unii Europejskiej mają zwiększyć odporność branży na cyberzagrożenia.
Jakie zmiany czekają ubezpieczycieli?
Firmy ubezpieczeniowe podlegają pod nowe prawo, zatem już dziś muszą się przyjrzeć swoim zabezpieczeniom i ogólnemu przygotowaniu na cyberataki. Pewną trudnością może być to, że przepisy, o których wspominam, nie precyzują, czego dokładnie oczekują od firm. Sporo zależy od ich wielkości i skali działania.
Kluczowe jest na pewno wprowadzenie podstawowych zasad cyberhigieny, na którą składają się między innymi stosowanie zasady zerowego zaufania, aktualizacja oprogramowania, zarządzanie dostępem czy podnoszenie świadomości pracowników.
DORA daje jednak jedną konkretną wskazówkę. W rozporządzeniu pada jednoznaczne sformułowanie: podmioty finansowe wdrażają silne mechanizmy uwierzytelniania. Instytucje finansowe nie mogą mieć w tym przypadku żadnych wątpliwości – regulacja wymaga implementacji silnych mechanizmów uwierzytelniania.
Co na to Komisja Nadzoru Finansowego i UODO?
Wymaganie to pozostaje w zgodzie z aktualnymi rekomendacjami krajowych instytucji nadzorczych. Już w październiku 2022 r. Komisja Nadzoru Finansowego podkreśliła w jednym ze swoich pism, że „brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem”.
Urząd Ochrony Danych Osobowych z kolei odniósł się do tej technologii m.in. przy sprawie Morele. W decyzji z 10 września 2019 r. pisał: „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa”.
Instytucje, które chcą być zgodne z nowym rozporządzeniem oraz z wytycznymi Komisji Nadzoru Finansowego, muszą zadbać o silne uwierzytelnianie.
Czym jest MFA?
Czym jednak jest to silne uwierzytelnianie i jak je wdrożyć w firmie ubezpieczeniowej?
Uwierzytelnianie wieloskładnikowe (MFA, multi-factor authentication) jest jednym z najlepszych sposobów zabezpieczenia zasobów firmowych przed phishingiem, socjotechnikami i kradzieżą uwierzytelnień. Znacznie podnosi bezpieczeństwo procesu logowania, ponieważ wprowadza co najmniej dwa niezależne składniki uwierzytelniania. Mogą nimi być: coś, co dana osoba wie (składnik wiedzy, np. wzory blokady, hasła, kody PIN, osobiste pytania), coś, co dana osoba ma (składnik posiadania, czyli obiekt fizyczny – klucz kryptograficzny lub smartfon), albo to, kim dana osoba jest (składnik cechy, oparty na danych biometrycznych – rozpoznawanie twarzy, linii papilarnych czy głosu). Dzięki temu do systemów firmy czy do e-mailowych skrzynek pracowniczych nie dostanie się osoba, która tym drugim składnikiem nie dysponuje.
Silne uwierzytelnianie podnosi bezpieczeństwo firm. Jednak wdrożenie go w całym przedsiębiorstwie, na wszystkich aplikacjach, często jest problematyczne. Wymaga czasu i angażuje programistów.
Żeby uniknąć tych trudności, jako Secfense wprowadziliśmy na rynek rozwiązanie User Access Security Broker, z którego dziś korzysta już m.in bank BNP Paribas Polska, Centralny Ośrodek Informatyki czy PKP Intercity.
Rozwiązanie pozwala na wdrożenie MFA na dowolnej aplikacji w kilka minut, bez konieczności ingerencji w jej kod. Dzięki temu jesteśmy w stanie zabezpieczyć całą organizację w naprawdę krótkim czasie – od 7 do 14 dni. Dodatkowo broker Secfense umożliwia wdrożenie dowolnej metody uwierzytelniania, w tym także najskuteczniejszego dziś FIDO2 czy Passkeys.
Gdzie szukać dodatkowych informacji?
Wiem, że temat nie jest łatwy. Wiem, że budzi dużo pytań i wątpliwości. Dlatego poprosiliśmy prawników z Law4Tech o analizę obu dokumentów – DORA i NIS 2 pod kątem obowiązków, jakie nakładają na instytucje finansowe. Na podstawie tej niezależnej analizy przygotowaliśmy raport, który wyjaśnia, kogo dotyczą nowe regulacje, czego wymagają, kto jest odpowiedzialny za wdrożenie zmian oraz jakie kary czekają przedsiębiorstwa za niedostosowanie się do przepisów.
Raport specjalny Analiza regulacji DORA i NIS2 w kontekście cyberbezpieczeństwa przedsiębiorstw w UE znajdziecie na stronie: secfense.com/ebook
Krzysztof Góźdź
dyrektor sprzedaży w Secfense
POBIERZ | SUBSKRYBUJ W APPLE PODCASTS | SUBSKRYBUJ W SPOTIFY
