Szybki rozwój cyfryzacji relacji ubezpieczycieli z klientami przyniósł wiele korzyści obu stronom. Upowszechnienie elektronicznych kanałów dostępu przyniosło ze sobą również liczne ryzyka mające wpływ na bezpieczeństwo środków finansowych i danych klientów. A mimo wielu działań edukacyjnych, prowadzonych m.in. przez ubezpieczycieli, liczba nadużyć, których ofiarami padają cyfrowi konsumenci, nadal rośnie. Dlatego Urząd Komisji Nadzoru Finansowego wystąpił do zakładów ubezpieczeń oraz reasekuracji ze stanowiskiem w sprawie działań w zakresie cyberbezpieczeństwa.
UKNF zalecił zakładom, aby we wszelkich działaniach dotyczących elektronicznych kanałów dostępu kierowały się zasadą „security first”, tj. stawiały bezpieczeństwo na pierwszym planie i podejmowały decyzje dotyczące kształtu procesów i produktów na podstawie rzetelnych analiz ryzyka, uwzględniających nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego, ale również zagrożenia dla klientów.
Zdaniem nadzoru, analizy te powinny obejmować także wymagania wobec warunków świadczenia usług zdalnych, aby zapewnić maksymalny do osiągnięcia w danych warunkach poziom bezpieczeństwa środków finansowych i danych klientów, oraz uwzględniać obecne trendy zagrożeń, wektory ataków na klientów, sposoby działań cyberprzestępców oraz potencjalne ryzyka wynikające z planowanych przez zakład działań – również w kontekście potencjalnego wpływu tych działań na cały sektor usług finansowych.
Wieloskładnikowe uwierzytelnianie w elektronicznych kanałach dostępu
UKNF wskazał, że duży nacisk należy położyć na wykorzystywane metody potwierdzania tożsamości. Szczególnie na to, czy i w jakim stopniu zastosowanie wieloskładnikowej weryfikacji tożsamości przyczyni się do zwiększenia poziomu bezpieczeństwa środków finansowych i danych klientów. Podobnie należy postąpić w przypadku innych mechanizmów zabezpieczających, takich jak np. weryfikacja miejsca i czasu logowania do elektronicznego kanału dostępu oraz urządzenia, z którego takie logowanie ma miejsce. Urząd jest zdania, że w świetle obecnych cyberzagrożeń brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem. Takie uwierzytelnienie należy też stosować w przypadku uzyskiwania przez użytkownika wglądu w informacje stanowiące tajemnicę ubezpieczeniową poprzez zdalne kanały dostępu, jak również dokonywania operacji związanych z zarządzaniem polisami, mogącymi mieć skutki finansowe, np. ustalanie numerów rachunków bankowych lub realizacja transferów. UKNF dopuszcza niestosowanie takiego mechanizmu wyłącznie wówczas, gdy w ocenie zakładu ryzyko dla klienta jest niskie. Urząd oczekuje niezwłocznego podjęcia przez ubezpieczycieli i reasekuratorów prac mających na celu wdrożenie wieloskładnikowego uwierzytelnienia klientów w elektronicznych kanałach dostępu.
Unikanie aktywnych linków w komunikacji z klientami
Nadzór zwrócił też uwagę na stosowanie przez cyberprzestępców metod socjotechnicznych. Prowadzone przez nich kampanie phishingowe, wykorzystujące SMS oraz wiadomości e-mail do rozsyłania linków internetowych, kierujących do fałszywych stron zakładów bądź stron zawierających złośliwe oprogramowanie wykradające poświadczenia klientów do logowania do elektronicznych kanałów dostępu, mogą być źródłem poważnych strat finansowych klientów. Dlatego Urząd jest zdania, że wysyłanie aktywnych linków do stron internetowych w wiadomościach e-mail (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych, a ubezpieczyciele i reasekuratorzy powinni dążyć do ograniczenia tej praktyki na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne lub inne kanały elektroniczne, które nie generują ryzyka oszustwa.
Zabezpieczenie komunikacji z klientami
Kolejnym istotnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów jest sposób zabezpieczania komunikacji z klientem prowadzonej z wykorzystaniem poczty elektronicznej. Organ nadzoru uznał za nieakceptowalne stosowane obecnie zabezpieczanie załączników w korespondencji e-mail hasłami, składającymi się np. z fragmentów numeru PESEL klienta, łatwymi do odgadnięcia za pomocą ogólnodostępnych narzędzi informatycznych, co jest sprzeczne z dobrymi praktykami w zakresie bezpieczeństwa.
Zdaniem UKNF forma komunikacji z klientem oraz metody jej ochrony powinny być poprzedzone pogłębioną analizą ryzyka, ukierunkowaną na zabezpieczenie danych i informacji, uwzględniającą również aspekty użyteczności i jakości interakcji użytkownika z elektronicznymi kanałami dostępu (tzw. user experience). Analiza powinna obejmować stanowisko właściwej ds. cyberbezpieczeństwa komórki, która będzie w stanie w rzetelny sposób ocenić, czy planowany sposób zabezpieczania korespondencji można uznać za bezpieczny. Niewłaściwe zabezpieczenie tych danych może być wykorzystane w celach przestępczych, a także skutkować naruszeniem ochrony danych objętych tajemnicą ubezpieczeniową lub innych danych osobowych, narażając zakład na straty wizerunkowe oraz ryzyko nałożenia administracyjnej kary pieniężnej.
Dlatego Urząd uważa, że korespondencja e-mail zawierająca załączniki, zwłaszcza z danymi objętymi tajemnicą ubezpieczeniową lub innymi danymi osobowymi, powinna być szyfrowana w sposób zapewniający poufność informacji, a odpowiednio długie i złożone hasło niezbędne do jej odszyfrowania powinno być przekazywane osobnym kanałem komunikacji, np. przez portal internetowy, aplikację mobilną lub SMS. Ale dopuszcza też możliwość ustawienia indywidualnego hasła do załączników przekazywanych drogą elektroniczną przez klienta. O ile uwzględnia to wskazane założenia i jest zgodne z polityką haseł zakładu. Zdaniem Urzędu przyczyni się to do zwiększenia bezpieczeństwa danych klienta, bez zmniejszenia użyteczności zdalnych kanałów dostępu.
Kontrola nad działalnością zewnętrznych usługodawców
Organ nadzoru przypomniał, że zgodnie z Wytycznymi KNF dotyczącymi zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, wydanymi dla sektora ubezpieczeniowego, od zakładów oczekuje się, że będą one sprawować skuteczną kontrolę także nad działalnością usługodawców zewnętrznych w zakresie świadczonych przez nich usług. Powinna ona dotyczyć w szczególności stosowanych przez takich usługodawców mechanizmów kontrolnych i być realizowana albo poprzez ich weryfikację, wykonaną bezpośrednio przez zleceniodawcę, albo przegląd wyników weryfikacji mechanizmów kontrolnych realizowanych – np. z wykorzystaniem ogólnoświatowych standardów w tym zakresie, takich jak SSAE 162 – przez audyt wewnętrzny usługodawców lub niezależnych audytorów zewnętrznych.
Edukacja klientów
Urząd ocenił również, że dotychczasowe działania w obszarze edukacji klientów są niewystarczające. Jego zdaniem budowanie ich świadomości w zakresie cyberbezpieczeństwa nie powinno obecnie skupiać się wyłącznie na bezpieczeństwie korzystania ze zdalnych kanałów dostępu do usług ubezpieczeniowych i być prowadzone w formie ograniczonej do publikowania informacji na stronie internetowej zakładu. UKNF zwrócił uwagę, że poprzestanie na działaniach edukacyjnych wykorzystujących internet jako medium przekazu prowadzi do ograniczenia lub pomijania pewnych grup konsumentów, co w konsekwencji skutkuje luką kompetencyjną w zakresie cyberbezpieczeństwa.
Wzmocnienie i konsekwencja działań budujących świadomość klientów dotyczącą cyberzagrożeń – w tym poprzez współpracę ze szkołami, środowiskiem akademickim i udział w kampaniach realizowanych przez instytucje konsumenckie – będzie miało bezpośrednie przełożenie na poziom bezpieczeństwa ich danych i środków finansowych. Takie działania edukacyjne korespondują z zaleceniami Rady Unii Europejskiej z 22 maja 2018 r. w sprawie kompetencji kluczowych w procesie uczenia się przez całe życie, w których wskazuje się m.in. na udział czynnika biznesowego w kształtowaniu kompetencji cyfrowych społeczeństwa, charakteryzującego się krytycznym i odpowiedzialnym korzystaniem z technologii cyfrowych.
Będą kontrole
Urząd zapowiedział też, że działania zakładów w zakresie cyberbezpieczeństwa, ze szczególnym uwzględnieniem aspektów wskazanych w stanowisku oraz czynności podejmowanych w celu dostosowania działalności do wymagań nowo tworzonego rozporządzenia DORA, będą podlegały analizom i ocenom podczas czynności nadzorczych prowadzonych przez KNF – zarówno w zakresie postępowań inspekcyjnych, jak i analiz o charakterze systemowym.
Artur Makowiecki
news@gu.com.pl