Zakłady ubezpieczeń muszą wypracować systemowe rozwiązania, które pozwolą im zabezpieczyć dane prawnie chronione przetwarzane w publicznej chmurze obliczeniowej przez agentów i multiagentów. Zgodnie z wymaganiami Komunikatu Chmurowego Komisji Nadzoru Finansowego odpowiedzialność firm ubezpieczeniowych obejmuje bezpieczeństwo danych nie tylko w ich własnych organizacjach, ale także w relacji z partnerami sprzedażowymi.
Jak zakłady ubezpieczeń mają dopilnować, by tysiące agentów i multiagentów korzystających z udostępnianych im w chmurze narzędzi nie naruszało stawianych przez regulatora wymagań?
Transformacja cyfrowa firm na całym świecie oszałamia skalą. Według szacunków agencji Statista, w samym tylko 2021 r. wydały one na cyfryzację 1,5 bln dol. W 2025 r. wydatki firm na transformację cyfrową wyniosą blisko 3 bln dol. – kilkakrotność polskiego PKB.
Zjawisko to obejmuje również sektor ubezpieczeń. Transformacja branży ubezpieczeniowej opiera się na dostępnych za pośrednictwem chmury narzędziach, którymi oblicza się składki, wystawia oferty czy gromadzi informacje o klientach. Wdrażając narzędzia cyfrowe, zakłady ubezpieczeniowe dostosowują się zarówno do warunków funkcjonowania dyktowanych przez pandemię, jak i zmieniających się trendów na rynku konsumenckim.
– Pandemia wymusiła na zakładach ubezpieczeniowych przeniesienie sprzedaży i obsługi produktów do sieci – mówi Jakub Walarus, Associate Partner z firmy EY.
– Równocześnie zmieniają się też oczekiwania klientów, dla których uzyskanie ochrony ubezpieczeniowej i korzystanie z niej ma być przyjazne i transparentne, a także, jak w przypadku innych usług, dostępne w kanałach cyfrowych. W odpowiedzi towarzystwa ubezpieczeniowe i ich sieci partnerskie wspólnie rozbudowują ekosystemy sprzedaży w kierunku omnichannel.
Chmura w ubezpieczeniach? To ma sens
Chmura staje się coraz powszechniejszym modelem korzystania z usług IT. Według Eurostatu w 2020 r. 36% przedsiębiorstw w UE korzystało z przetwarzania w chmurze, a w porównaniu z 2018 r. wykorzystanie chmury obliczeniowej wzrosło w Unii Europejskiej o 12%.
Zgodnie z tym trendem już w najbliższych latach większość firm przeniesie zasoby (a przynajmniej ich część) z własnych centrów danych do zewnętrznych operatorów. Eksperci zwracają przy tym uwagę na zagrożenia dla bezpieczeństwa informatycznego, będące wynikiem błędu przy konfiguracji czy implementacji popełnionego przez użytkownika chmury.
– Chmura oznacza szybką skalowalność, a to dla firm ubezpieczeniowych warunek sprawnej współpracy z rozproszoną i zróżnicowaną siecią sprzedaży – mówi Jan Anisimowicz, członek zarządu w firmie C&F.
– Wraz z kontem w systemie nowy agent otrzymuje dostęp do wszystkich niezbędnych zasobów z jednego miejsca i praktycznie od razu może zacząć sprzedawać polisy. To bardzo wygodne, ale niesie ze sobą wiele ryzyk głównie dlatego, że sieć sprzedaży zakładu ubezpieczeń może liczyć tysiące ludzi.
Trzydzieści tysięcy ryzyk
W charakterystycznym dla branży ubezpieczeniowej modelu sprzedaży opartym na agentach i multiagentach chmura oznacza możliwość szybkiego rozwoju sieci sprzedaży, ale i ryzyka związane z cyberbezpieczeństwem i prywatnością danych.
Agenci i multiagenci zbierają, przechowują i przetwarzają informacje o klientach (zarówno osobach fizycznych, jak i prawnych) zakładów ubezpieczeń, produktach ubezpieczeniowych i wystawionych ofertach w dostępnych w chmurze narzędziach własnych lub dostarczonych im przez zakłady ubezpieczeń. Informacje te mają status prawnie chronionych, a to oznacza konieczność zapewnienia im odpowiedniego poziomu bezpieczeństwa.
W styczniu 2020 r. Komisja Nadzoru Finansowego opublikowała Komunikat Chmurowy. Podkreśla on m.in., że nadrzędnym zadaniem wszystkich podmiotów nadzorowanych – w tym zakładów ubezpieczeniowych – jest zapewnienie bezpieczeństwa przetwarzanych informacji oraz zgodności sposobu i zakresu tego przetwarzania z prawem. W związku z relacjami z zakładami ubezpieczeń oraz na mocy samego Komunikatu tym samym wymaganiom podlegają również agenci wyłączni i multiagenci, a tych jest w Polsce ponad 30 tys.
Zakłady ubezpieczeń muszą więc (zostało to oficjalnie potwierdzone przez KNF w marcu 2021 r.) weryfikować agentów i multiagentów i zadbać o to, żeby spełniali wymagania KNF.
– Komisja Nadzoru Finansowego jasno definiuje odpowiedzialność zakładów ubezpieczeniowych w zakresie zabezpieczenia danych prawnie chronionych przetwarzanych w chmurze – komentuje Joanna Gałajda, menedżer z firmy EY Law.
– Oznacza to z jednej strony dodatkowe obowiązki, ale z drugiej może być okazją do budowy wizerunku przedsiębiorstwa spełniającego wysokie standardy bezpieczeństwa i tym samym – partnera godnego zaufania.
Wymagania minimalne Komunikatu Chmurowego
Zakłady ubezpieczeń powinny wypracować systemowe rozwiązania, które pozwolą im zabezpieczyć dane prawnie chronione w sposób określony w Komunikacie Chmurowym. Sprawę ułatwia zawarty w Komunikacie zestaw minimalnych wymagań organizacyjno-technicznych, które należy spełnić.
Należą do nich:
- Stworzenie udokumentowanego planu przetwarzania informacji w chmurze obliczeniowej;
- Wdrożenie mechanizmów szyfrowania określonych w Komunikacie;
- Monitorowanie środowiska przetwarzania informacji w usługach chmury obliczeniowej i zbieranie oraz przetwarzanie logów z usług chmurowych;
- Dostosowanie lub stworzenie dokumentacji dla procesów wskazanych w Komunikacie Chmurowym.
- Odpowiednie i udokumentowane kompetencje pracowników obszarów IT, bezpieczeństwa i ochrony danych osobowych;
- Zaadresowanie wszystkich wymagań Komunikatu Chmurowego w umowach z partnerami sprzedażowymi i weryfikacja podpisanych już umów;
- Wymagania dla samych dostawców usług chmurowych (m.in. spełnienie odpowiednich norm ISO) – tutaj podmiot nadzorowany powinien wziąć pod uwagę już na etapie wyboru dostawcy i konkretnej usługi chmurowej możliwości spełnienia przez dostawcę wymogów KNF;
– W praktyce wymagania zawarte w Komunikacie Chmurowym oznaczają dla zakładów ubezpieczeń konieczność długotrwałej i kosztownej procedury identyfikacji agentów i multiagentów, zbierania i przetwarzania informacji, kategoryzowania danych i analizy ryzyka – mówi Łukasz Krzewicki, ekspert ds. audytu, ryzyka i zgodnościw firmie C&F.
– Trudno zorganizować ten obszar bez wsparcia odpowiednich narzędzi informatycznych, które umożliwiają automatyzację czasochłonnych procesów przy zachowaniu zgodności z regulacjami.
EY i C&F: kluczem integracja i automatyzacja procesów
Rozwiązanie pozwalające w sposób systemowy zapewnić przestrzeganie wymagań Komunikatu Chmurowego opracowały wspólnie firmy EY i C&F. Polega ono na opracowaniu tego procesu w taki sposób, aby włączyć go w istniejące już procesy zarządzania stronami trzecimi i mechanizmy analizy ryzyk związanych ze współpracą z zewnętrznymi dostawcami, a następnie zautomatyzować przy zastosowaniu wyspecjalizowanego narzędzia informatycznego.
Warto zapoznać się z rozwiązaniem AdaptiveGRC (www.adaptivegrc.com), które wspiera proces obsługi agentów w kontekście zapewnienia ich zgodności z wytycznymi TU, jednocześnie automatyzując proces oraz upraszczając proces zarządzania akcjami naprawczymi.
Dzięki temu podejściu możliwa jest szybka identyfikacja agentów przetwarzających w chmurze (publicznej lub hybrydowej) dane prawnie chronione. W następnym kroku ułatwia ono ocenę ryzyka skutków utraty, ujawnienia informacji lub przerwania procesów krytycznych w zakładzie ubezpieczeń. Kolejnym etapem jest kategoryzacja dostawców na podstawie wyników oceny ryzyka i – w zależności od kategorii – prowadzenie okresowych ocen agentów i działania naprawcze w przypadku naruszeń wymagań KNF.
– Zakłady ubezpieczeń muszą weryfikować agentów i multiagentów oraz zadbać o to, żeby spełniali wymagania KNF. Podobne wyzwania będzie stawiał przed sektorem finansowym unijny Digital Operational Resilience Act (DORA), którego projekt zakłada wprowadzenie systemowego procesu zarządzania ryzykiem dostawców usług informatycznych – mówi Wojciech Dańczyszyn, starszy menedżer z firmy EY.
– Poziom uregulowania rynku rośnie, tak samo jak zakres odpowiedzialności. Sprostanie tym wyzwaniom będzie możliwe dzięki narzędziom IT i automatyzacji.
Skuteczne zarządzanie ryzykiem dostawców coraz bardziej must have
Komisja Europejska opublikowała 24 września 2020 r. projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego – Digital Operational Resilience Act (DORA). Rozporządzenie kierowane jest m.in. do podmiotów sektora finansowego. Jednym z kluczowych obszarów, na które DORA kładzie nacisk, jest wprowadzenie systemowego procesu zarządzania ryzykiem stron trzecich. Przed zawarciem umowy dotyczącej korzystania z usług technologii informatycznych i telekomunikacyjnych podmioty finansowe będą zobowiązane m.in.: ocenić, czy zewnętrzni dostawcy usług spełniają wymogi zawarte w DORA. Podobnie jak w przypadku Komunikatu Chmurowego i wymagań dotyczących agentów, to na podmiotach finansowych będzie leżała pełna odpowiedzialność za zapewnienie, że dostawcy te wymogi spełniają.
Dlatego już dzisiaj warto przeanalizować możliwość włączenia procesu oceny ryzyka operacji realizowanych przez agentów w chmurze obliczeniowej w szerszy proces zarządzania ryzykiem stron trzecich.
