Jednym ze skutków rosnącego ryzyka cyber jest tworzenie wielu przepisów chroniących dane klientów, do których przedsiębiorstwa muszą się dostosować. Szczególnie firmy ubezpieczeniowe, które działają na wielu informacjach wrażliwych – przypomina Europ Assistance Polska.
Szybki rozwój technologiczny i przeniesienie usług do cyfrowej rzeczywistości zmuszają firmy do zwiększenia dbałości o bezpieczeństwo danych klientów. 5 października 2022 r. Urząd Komisji Nadzoru Finansowego przedstawił nowe wytyczne dotyczące działań zakładów ubezpieczeń i reasekuracji w obszarze cyberbezpieczeństwa. Jedną z nich była zasada security first: firma planująca jakiekolwiek działania biznesowe powinna uwzględnić w nich bezpieczeństwo informatyczne swoje i klienta. Wśród wytycznych nadzoru szczególnie wiele emocji wśród ubezpieczycieli wzbudziło zalecenie unikania aktywnych linków w komunikacji z klientem.
Czy aktywne linki zostaną zakazane?
Dla wielu zakładów ta wytyczna oznacza całkowity zakaz stosowania aktywnych linków. Europ Assistance Polska zwraca uwagę, że do tej pory w żadnym dokumencie UKNF nie było jednak takiej informacji. Ponadto w w/w piśmie Urząd wskazuje na działania socjotechniczne, wykorzystywane przez cyberprzestępców do podszywania się pod legalnie działające instytucje finansowe i inne organizacje. Nadzór podkreślił, że zakłady powinny dążyć do ograniczenia wysyłania aktywnych linków na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne czy też inne kanały elektroniczne, które nie generują ryzyka oszustwa.
– Aktualnie obowiązujące przepisy prawa, rekomendacje czy też wytyczne nie zakazują zakładom ubezpieczeń używania w komunikacji z klientami aktywnych linków. Takiego zakazu nie wprowadza również DORA, która wchodzi w życie 17 stycznia. Na pewno kierując się zasadą „security first” oraz oceną ryzyka bezpieczeństwa, należałoby dążyć do wyeliminowania aktywnych linków tam, gdzie może to skutkować pozyskaniem przez cyberprzestępców danych i poświadczeń klientów do logowania się. Takie działania mogą doprowadzić do kradzieży danych lub środków finansowych. Postępując zgodnie z powyższymi zasadami i wytycznymi UKNF, nie powinniśmy całkowicie rezygnować ze stosowania linków w procesach obsługi klientów – wyjaśnia Michał Pruchniewicz, specjalista ds. compliance i ochrony danych osobowych Europ Assistance Polska.
Jakie zmiany wprowadzi DORA?
Głównym celem rozporządzenia DORA jest zwiększenie operacyjnej odporności cyfrowej. Dzięki niej firmy z sektora finansowo-ubezpieczeniowego mają być przygotowane na najgorszy scenariusz: ataki cyfrowe, awarie technologiczne bądź inne sytuacje kryzysowe. Akt ma na względzie również dobro klientów korzystających m.in. z usług ubezpieczeniowych. Ochrona ich danych ma być na najwyższym poziomie, jak również firmy mają zapewnić ciągłość swoich usług nawet w przypadku awarii.
– Rozporządzenie DORA ma wprowadzić przepisy, które wyeliminują braki i niespójności w niektórych z obecnych regulacji dotyczących cyberbezpieczeństwa podmiotów finansowych. Koncentruje się na zarządzaniu ryzykiem, raportowaniu incydentów, testowaniu odporności operacyjnej i monitorowaniu ryzyka. Celem DORA jest podniesienie świadomości zagrożeń wynikających z cyfryzacji i operacyjnej niewydolności, które mogą osłabić stabilność sektora finansowego. Wdrażanie rozwiązań z rozporządzenia ma zagwarantować większą stabilność systemu finansowego UE i uczynić korzystanie z usług cyfrowych bezpieczniejszym – tłumaczy Piotr Przecherski, radca prawny Europ Assistance Polska.
Edukacja klienta jako fundament
– Działania edukacyjne na pewno podniosą świadomość i przygotowanie klientów na ewentualne próby kradzieży ich danych osobowych bądź dostępowych. Zwiększając swoją wiedzę, będą oni bardziej wyczuleni na działania cyberprzestępców. Dzięki temu jeszcze lepiej będą mogli zadbać o bezpieczeństwo swoich cyfrowych kont i znajdujących się tam informacji. Aby im to ułatwić, planujemy stworzyć kilka krótkich materiałów wideo pt. „Cyberbezpieczeństwo w ramach usług assistance”. Mamy nadzieję, że zwiększy to zaufanie klientów do oferowanych przez nas rozwiązań technologicznych oraz obniży ryzyko skutecznych cyberataków – mówi Marcin Zieliński, dyrektor generalny Europ Assistance Polska.
(AM, źródło: Europ Assistance Polska)
