Jaka szkoda… gdy cyberprzeszkoda?

0
466

Wpływ rozwijających się technologii informatycznych na rynek ubezpieczeń to fakt. Zmiany legislacyjne dotyczące polskiego cyberbezpieczeństwa i rewizja Dyrektywy NIS podążają śladem postępu rozwiązań IT, a te z kolei próbują dogonić nowe możliwości cyberprzestępców. Czy jednak gonitwa w rozwiązaniach technologicznych wystarczy? Czy ulepszone przepisy powinny dotyczyć wyłącznie nowych obszarów swojego oddziaływania?

Ubezpieczyciel i jego klient w czasach pracy zdalnej to obecnie jeden z najbardziej aktualnych tematów i będzie trwale związany z zagrożeniami analogicznymi do tych występujących w cyberbezpieczeństwie reszty sektora finansowego. Podobnie jak w bankowości – ograniczony kontakt międzyludzki przekłada się na ograniczoną liczbę oddziałów, spotkań i wzmożoną aktywność za pośrednictwem urządzeń elektronicznych.

Zagrożenia cyber to nie tylko zagrożenie informatyczne

Coraz większe uzależnienie od rozwiązań IT generuje zwiększoną zależność od typowych dla nich słabości. Szczególnie w dobie pandemii, kiedy podmioty sektora finansowego testują wydajność swojej infrastruktury teleinformatycznej.

Zawsze jest coś do poprawienia – odporność na cyberprzestępcę, braki informatyczne albo jak przejść „przepięcie systemu” przy dostępności usług. Największym problemem wydaje się nieostrożność człowieka, ponieważ przeważająca liczba zdarzeń, wywołana zamierzonym działaniem cyberprzestępcy polega nie na przełamaniu (prawie zawsze bardzo dobrze zaprojektowanych i przetestowanych) zabezpieczeń podmiotu świadczącego usługę finansową, ale na niestosowaniu przez klienta przeznaczonych specjalnie dla niego zabezpieczeń czy wykorzystaniu ludzkiej nieostrożności i braku podstawowej wiedzy na temat posługiwania się narzędziami dostarczanymi przez podmioty.

Słowem, cyberprzestępca najczęściej posługuje się klientem lub pracownikiem podmiotu sektora finansowego, czyli nie wprost, ale za naszym pośrednictwem atakuje cyfrowe zabezpieczenia. Jeśli by popatrzeć szerzej, poza oceny infrastruktury teleinformatycznej jednego podmiotu i wziąć pod uwagę analogiczne zagrożenia z poziomu wszystkich relacji ubezpieczyciel – agent – klient, których celem jest nawiązanie lub realizacja umowy ubezpieczenia przy współistnieniu dostawców usług cyfrowych, rysuje się łańcuch zdarzeń, którego powtarzające się „ludzkie” ogniwa wyglądają najsłabiej.

Taka wiedza determinuje optykę potrzeby wzmożonej uwagi na potencjalną szkodliwość człowieka na etapie nie tylko organizacji, ale również kooperanta i klienta.

Wobec klienta może wystarczyć poprawiona kampania edukacyjna czy wymuszone zachowania przy logowaniu do panelu klienta (celem ukrócenia nagminnego wywoływania internetowych stron podmiotów finansowych z reklam i innych niepewnych źródeł) bądź sprecyzowana klauzula w umowie o świadczenie usług (gdzie zawarte będą bardziej precyzyjne i bardziej odpowiadające rzeczywistości wymogi techniczne i behawioralne klienta przy „cyfrowym” korzystaniu z usług ubezpieczyciela).

Natomiast zabezpieczenie łańcucha dostaw, współpracy z kooperantami i przede wszystkim pracy własnego personelu zależą również od powołania, utrzymywania i doskonalenia właściwych procesów zarządzania ryzykiem, incydentami, a więc adekwatnymi do zbadanego ryzyka działaniami na rzecz wykrywania i naprawiania problemów bezpieczeństwa informacji.

Kto planuje i wykonuje cyberdziałania ubezpieczycieli

Warto zadać sobie pytanie, na ile, poza zaangażowaniem działu IT i cyber, powinny wziąć sobie ten temat do serca zarządy. Istnieją dwie zasadnicze kwestie, które dotyczą zarządów podmiotów dostarczających produkty ubezpieczeniowe (i to nie tylko te, które wyraźnie kojarzą się ze świadczeniem usług online).

Pierwsza: na ile zarząd jest uświadomiony w nowych prawidłowościach rynku, w tym zagadnień IT i cyber, ponieważ nieuświadomiony będzie w dobrej wierze trzymał się rozwiązań nieprzystających do obecnych zagrożeń.

Druga: jak zarząd ocenia outsourcing IT w swojej organizacji, ponieważ zarówno podział na obszary warte i niewskazane do obsługi zewnętrznej, jak i wybór odpowiedniego kooperanta i użytych przy tym środków staje się coraz istotniejszym tematem z punktu widzenia cyberbezpieczeństwa.

Oba z powyższych błędów na poziomie zarządczym będą ograniczały wdrażanie nowych lub utrudniały wykonywanie już prowadzonych (słusznych) działań przez IT i cyber w takim podmiocie.

Warto dodać, że nieuświadomiony zarząd nie będzie w stanie zmaterializować potrzeby prowadzenia właściwego dialogu poza swoją organizacją i nie przyczyni się do mitygacji zagrożeń w obecnym stanie, który określam jako stan rozproszonych unormowań, gdzie ciągle brakuje jednej regulacji, spójnej, prostej, uniwersalnej dla wszystkich podmiotów (gdzie wspólnym mianownikiem jest cyberbezpieczeństwo).

Na koniec trochę optymizmu, aby nikt nie pomyślał, że zapomniałem o starej dobrej szkole łatania dziur – otóż pomysłowym może spodobać się sposób, w którym odwołam się do przewodniego wątku tej wypowiedzi, czyli do „błędu człowieka” i jego nastawienia, które determinuje subiektywne poczucie bezpieczeństwa przy podejmowaniu decyzji na styku z infrastrukturą teleinformatyczną. Nie zawsze trzeba wyważać otwarte drzwi – jeśli ktoś w innej dziedzinie życia/gospodarki radzi sobie z nieświadomością przez odpowiednie dozowanie informacji u odbiorcy, to warto na to zwrócić uwagę. Choćby na kampanie zdrowia i użytą w nich psychologię. Jak to często bywa, czasem działa wiedza, a czasem strach.

Krzysztof Dębiński
analityk cyberbezpieczeństwa z Komisji Nadzoru Finansowego

Publikacja wyraża wyłącznie poglądy autora i nie może być utożsamiana z oficjalnym stanowiskiem Urzędu Komisji Nadzoru Finansowego (UKNF).

Prezentowane treści mają charakter informacyjny i nie mogą być utożsamiane ze stanowiskami UKNF, które dostępne są na stronie www.knf.gov.pl.