RODO, DORA i NIS2 nakładają na przedsiębiorstwa z branży finansowej obowiązek szczególnego zabezpieczania danych. Jak robić to skutecznie? Jednym ze środków wskazywanych przez regulatora, KNF i Urząd Ochrony Danych Osobowych jest wieloskładnikowe uwierzytelnianie (MFA). Jak skutecznie wdrożyć takie rozwiązanie i czym grozi jego brak?
Wieloskładnikowe uwierzytelnianie, z angielskiego Multi-Factor Authentication (MFA), to zaawansowana metoda weryfikacji tożsamości użytkownika. Wymaga przeprowadzenia co najmniej dwóch niezależnych, trudnych do podrobienia etapów weryfikacji. Można w nich wykorzystać coś, co użytkownik zna (hasło), posiada (telefon) lub czym jest (biometria). Dlaczego jest taka ważna?
MFA – co na to prawo?
Choć rozporządzenie DORA i dyrektywa NIS2 nie narzucają konkretnych rozwiązań, z których należy skorzystać, by poprawić bezpieczeństwo danych, jednoznacznie wskazują na konieczność stosowania mechanizmów silnego uwierzytelniania.
W rozporządzeniu DORA znajdziemy wprost sformułowanie mówiące, że podmioty finansowe wdrażają silne mechanizmy uwierzytelniania. Innymi słowy – organizacje całego sektora finansowego, w tym firmy ubezpieczeniowe, są zobligowane do zaimplementowania takich rozwiązań. Wymóg ten wpisuje się w rekomendacje Komisji Nadzoru Finansowego, która w październiku 2022 r. uznała brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów za nieakceptowalne ryzyko.
Brak MFA a kary administracyjne
Na ocenę przygotowania polskich firm do wymogów DORA i NIS2 musimy jeszcze poczekać. Mamy już jednak praktyczne wskazówki dotyczące tego, jak organ nadzorczy interpretuje zasady określone w Rozporządzeniu o Ochronie Danych Osobowych w przypadku naruszeń tych danych.
– W Polsce zdarzyły się już sprawy dotyczące naruszenia danych zawartych w polisach ubezpieczeniowych. W jednym z przypadków UODO nałożył karę w wysokości 33 012 zł. Do incydentu doszło w wyniku wycieku loginów i haseł używanych do konfiguracji serwerów.
Organ nadzorczy zarekomendował między innymi stosowanie wieloskładnikowego uwierzytelniania do zabezpieczenia pracy zdalnej, same loginy i hasła nie są bowiem wystarczające – mówi Łukasz Łaguna, prawnik, członek zarządu Law4Tech.
MFA jest jednym z najlepszych sposobów zabezpieczenia się przed phishingiem, socjotechniką i kradzieżą uwierzytelnień. Nawet jeśli cyberprzestępca przejmie login i hasło użytkownika systemu, bez drugiego składnika uwierzytelniania nie będzie ich mógł skutecznie wykorzystać.
Szybkie wdrożenie MFA
Może się wydawać, że zmiana sposobu logowania do systemów firmy ubezpieczeniowej musi wiązać się z poważnymi pracami programistycznymi. I rzeczywiście, gdyby chciały one skorzystać z tradycyjnych rozwiązań wymagających zmian w kodzie, cały proces mógłby być czasochłonny.
– Nie musi tak jednak być. W Secfense opracowaliśmy rozwiązanie User Access Security Broker, które umożliwia wdrożenie MFA, w tym także najskuteczniejszego dziś FIDO2, na dowolnej aplikacji w 5 minut oraz przejście na passwordless, czyli uwierzytelnianie bez haseł, w całej organizacji, przy wykorzystaniu passkeys i bez ingerencji w kod.
Firma działająca w branży ubezpieczeń może więc niemal z dnia na dzień zacząć korzystać z silnego uwierzytelniania. Dzięki temu zapewni bezpieczeństwo pracownikom stacjonarnym oraz zdalnym, partnerom, dostawcom i oczywiście klientom – wyjaśnia Krzysztof Góźdź, dyrektor sprzedaży w Secfense.
Zastosowanie MFA w praktyce
Na wdrożenie MFA i tym samym zabezpieczenie danych pracowników, klientów oraz kontrahentów decyduje się coraz więcej firm związanych z branżą ubezpieczeń.
– Cyberbezpieczeństwo oraz wdrażanie najnowszych technologii jest priorytetem SALTUS Ubezpieczenia i asekuracji sp. z o.o. Ze szczególną uwagą podchodzimy do dbania o bezpieczeństwo danych naszych klientów. W umowach ubezpieczenia zawartych jest wiele wrażliwych danych. Szczególnie dotyczy to klientów korzystających z naszych ubezpieczeń zdrowotnych, gdzie zapewniamy klientom dostęp do ich historii leczenia. Dzięki współpracy z Secfense mogliśmy znacząco podnieść poziom bezpieczeństwa systemów i środowisk informatycznych.
W dobie czyhających cyberzagrożeń bezpieczeństwo teleinformatyczne stanowi kluczowy element strategii każdej organizacji, dbającej o ochronę danych klientów i systemów IT. Poprawa bezpieczeństwa często kojarzona jest z utrudnieniem dostępu do aplikacji. My zaproponowaliśmy naszym klientom i pośrednikom ubezpieczeniowym elastyczność w wyborze preferowanych metod uwierzytelniania. Dzięki temu nowy proces logowania jest dla nich płynny i bezproblemowy – mówi Iwona Kondracka, dyrektor zarządzająca ds. technologii i cyfryzacji ubezpieczeń w SALTUS.
Na podobny krok zdecydował się Sandis, integrator i dostawca oprogramowania dla branży ubezpieczeniowej, który wdrożył rozwiązanie Secfense w Grupie WAGAS (czytaj też na str. 8).
– W związku z wymaganiami DORA stanęliśmy przed wyzwaniem zabezpieczenia oferowanych przez nas aplikacji oraz aplikacji zewnętrznych dostawców. Zdecydowaliśmy się na wprowadzenie mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO, by użytkownicy aplikacji mogli się do nich bezpiecznie logować.
Po wnikliwej analizie wdrożenia organicznego oraz wdrożenia User Access Security Broker wybraliśmy to drugie rozwiązanie. Implementacja zabezpieczeń MFA na poziomie każdej aplikacji z osobna byłaby zbyt kosztowna, długotrwała i trudna w utrzymaniu – wyjaśnia Marcin Bobruk, założyciel i prezes zarządu Sandis.
Więcej informacji o User Access Security Broker można znaleźć na stronie www.secfense.com
