Przedstawione zagrożenia dotyczą sytuacji, w której podmiotem świadczącym usługi ubezpieczenia będzie zarówno operator usługi kluczowej, powołany na skutek uznania w drodze decyzji administracyjnej organu właściwego do spraw cyberbezpieczeństwa, którym w sektorze finansowym jest Komisja Nadzoru Finansowego, jak i podmiot nieposiadający takiego statusu.
W pierwszym przypadku pewne działania podnoszące cyberbezpieczeństwo będą wymagane z mocy ustawy o krajowym systemie cyberbezpieczeństwa. Jest to np. obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, który wiąże się z prowadzeniem systematycznego szacowania ryzyka wystąpienia incydentu i zarządzaniem tym ryzykiem czy wykonywaniem cyklicznych audytów, z których pierwszy powinien zakończyć się do roku od momentu uzyskania statusu operatora usługi kluczowej.
Nie będzie jednak podnosić cyberbezpieczeństwa podmiotu ubezpieczającego ani ogólnego poziomu cyberbezpieczeństwa w sektorze takie działanie, które zakładałoby niższe standardy podmiotu jedynie dlatego, że nie jest on operatorem usługi kluczowej.
Każdy dojrzały podmiot dostarczający produkt ubezpieczeniowy stara się zapewnić atrakcyjną ofertę i dbałość o dobry wizerunek na tle konkurencji. Jest to inwestycja, a nie koszt, i rozumiana jest przez dbałość o tajemnicę przedsiębiorstwa.
Czy zapewnianie cyberbezpieczeństwa dotyczy tylko poziomu zarządczego?
Coraz częściej też widać, że dbałość ta powinna nie tylko, ale przede wszystkim dotyczyć wewnętrznych struktur ubezpieczyciela, ponieważ to celowe lub nieuświadomione działania pracowników powodują wypływ cennych danych lub osłabienie struktur teleinformatycznych.
Powstaje więc pytanie, czy należyta dbałość o firmę i mitygacja nowych zagrożeń jest twardo zespolona ze statusem operatora usługi kluczowej i wynikającymi z tego pomocniczymi obostrzeniami, czy w rzeczywistości pozostaje kwestią dobrego zarządzania, skalibrowanego na aktualne trendy ryzyk. Zwolennicy tej drugiej propozycji zrozumieją potrzebę zbudowania, wdrożenia i utrzymywania polityki bezpieczeństwa teleinformatycznego, co nie jest tożsame z posiadaniem certyfikatu ISO do wywieszenia na ścianie.
Nie jest tajemnicą, że dobre zarządzanie wybroni się niezależnie od zdobytej certyfikacji. Przy takim podejściu do uzyskania jest nie tylko lepsza świadomość pracowników i przejrzystość działań w podmiocie, ale przede wszystkim tam, gdzie dane mogą uciekać najchętniej, czyli u kooperantów i na połączeniach z nimi. Stosowana bowiem polityka będzie wymuszała odpowiednie standardy w tych najsłabszych punktach.
Jak podnieść i utrzymać wysoki poziom cyberbezpieczeństwa?
Rozumiem nowe zagrożenia i jak łatwo stracić zaufanie klientów, dlatego chcę podnieść i utrzymać wysoki poziom cyberbezpieczeństwa mojej organizacji, ale jak to zrobić i o czym pamiętać, żeby utrzymać rozsądną relację między konieczną zmianą i inwestycją a wydaniem pieniędzy na niepotrzebne usługi i koszty?
Gdyby sięgnąć do zamysłu dyrektywy NIS, a więc Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE, to od razu pojawia się pewna myśl przewodnia, dotycząca harmonizacji rynku.
Z punktu widzenia zarządzania przedsiębiorstwem idea zachowania standardów osiąganych przez operatorów usług kluczowych i dostawców usług cyfrowych pozwala nie odstawać od mediany i wzmacniać konkurencyjność.
Niebycie adresatem ustawy w rozumieniu przynależności przedsiębiorstwa, jako elementu, do krajowego systemu cyberbezpieczeństwa nie stanowi argumentu, aby nie sprostać wymaganiom zapewniającym status nie najsłabszego ogniwa w sektorze ubezpieczeniowym. Analogicznie do coraz powszechniejszego modelu przepływu danych chronionych przedsiębiorstwa przez infrastrukturę wykraczającą poza zasoby tego przedsiębiorstwa należy budować pewną całość, której poszczególne elementy będą zachowywały minimalny standard bezpieczeństwa.
Zasadne może okazać się zatem stosowanie podejścia odpowiedniego do tego u podmiotów składających się na krajowy system cyberbezpieczeństwa, nawet jeśli dany podmiot do tego grona zaliczany nie jest.
Najważniejsza zasada, która przyświeca tak obranej strategii, dotyczy wdrożenia procesów przed narzędziami. Zdolność szerokiego spojrzenia na indywidualne potrzeby konkretnego przedsiębiorstwa pozwoli skutecznie rozpoznać cele, zagrożenia i wybrać narzędzia i systemy. Te ostatnie to tylko sposób na osiąganie bezpieczeństwa na skomplikowanej drodze, przez którą firmę może poprowadzić jedynie kadra zarządzająca świadoma zagrożeń nie tylko czysto technicznych, ale również np. socjotechnicznych.
Tylko takie podejście pozwala na zbudowanie właściwej polityki w organizacji, opartej na poprawnie rozpoznanych celach i na podstawie właściwie zaprojektowanych procesów informacyjnych.
Warto dodać, że przyjęcie optyki zarządzania przedsiębiorstwem, która zakłada powyższą koncepcję, stanowi o bezpieczniejszym adaptowaniu produktów związanych z nowymi technologiami.
Co mi daje inwestycja w bezpieczeństwo?
Ubezpieczyciel, który zbuduje i utrzyma dostosowany do swoich potrzeb system zarządzania bezpieczeństwem informacji, będzie bardziej gotowy dołączyć kolejne funkcjonalności do istniejącej struktury.
Chcąc wzbogacić swoją ofertę o usługi ubezpieczeniowe, bazujące na przetwarzaniu choćby danych behawioralnych czy geolokalizacyjnych klientów, ubezpieczyciel będzie mógł lepiej dobrać ofertę cenową ubezpieczenia, dopasowując taki element infrastruktury teleinformatycznej do już istniejącego u siebie systemu.
Dobrze zbudowany System Zarządzania Bezpieczeństwem Informacji pozwoli mi nie tylko lepiej zarządzać organizacją i spokojniej przejść audyt, ale ułatwi podłączanie nowych „modułów”, w których będzie mogło być bezpieczniej przetwarzanych więcej informacji w ustalony wcześniej sposób.
Krzysztof Dębiński
analityk cyberbezpieczeństwa
Departament Cyberbezpieczeństwa
Urząd Komisji Nadzoru Finansowego
audytor wewnętrzny ISO 27001 i ISO 22301
Publikacja wyraża wyłącznie poglądy autora i nie może być utożsamiana z oficjalnym stanowiskiem Urzędu Komisji Nadzoru Finansowego (UKNF). Prezentowane treści mają charakter informacyjny i nie mogą być utożsamiane ze stanowiskami UKNF, które dostępne są na stronie www.knf.gov.pl.