Aktualności

„Security first” w towarzystwach ubezpieczeniowych – nowe stanowisko KNF w zakresie cyberbezpieczeństwa

„Security first” w towarzystwach ubezpieczeniowych – nowe stanowisko KNF w zakresie cyberbezpieczeństwa
24 października 2022
„Security first” w towarzystwach ubezpieczeniowych – nowe stanowisko KNF w zakresie cyberbezpieczeństwa

Silne uwierzytelnianie, zasady szyfrowania i „security first” – 19 października 2022 r. UKNF opublikował nowe stanowisko w sprawie działań zakładów ubezpieczeń i reasekuracji w zakresie cyberbezpieczeństwa. Tłem stanowiska jest wzrostowa tendencja występowania zdarzeń, których ofiarami są konsumenci korzystający z elektronicznych form komunikacji i zbliżająca się perspektywa wejścia w życie rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), do którego dostosowanie się będzie podlegało ocenie podczas czynności nadzorczych prowadzonych przez KNF.

Stanowisko porusza 6 wytycznych kierowanych do zakładów ubezpieczeń, o których pamiętać powinny być inne podmioty rynku finansowego:

    • zasada „security first” – zasada obliguje do stawiania na pierwszym miejscu bezpieczeństwa IT przy planowaniu założeń biznesowych, co dotyczyć ma nie tylko bezpieczeństwa informatycznego zakładu, ale również bezpieczeństwa klienta korzystającego z jego usług. Ocena ryzyka w tym zakresie powinna uwzględniać maksymalny w danych warunkach poziom bezpieczeństwa środków finansowych i danych klientów, trendy zagrożeń i sposoby działania cyberprzestępców, a także wpływ planowanych działań zakładu ubezpieczeń na cały sektor usług finansowych;
    • stosowanie wieloskładnikowego uwierzytelniania w elektronicznych kanałach dostępu – KNF oczekuje od zakładów ubezpieczeń niezwłocznego rozpoczęcia prac wdrażających wieloskładnikowe uwierzytelnienie klienta w elektronicznych kanałach dostępu do usług. W ocenie UKNF brak wieloskładnikowego uwierzytelnienia klienta jest ryzykiem nieakceptowalnym. Zastosowanie wieloskładnikowego uwierzytelnienia powinno mieć zastosowanie w sytuacji gdy użytkownik zdalnie:
      • uzyskuje wgląd w tajemnice ubezpieczeniową,
      • dokonuje operację związaną z zarządzaniem produktem ubezpieczeniowym mogącym mieść skutek finansowy, taką jak transfer środków pieniężnych czy ustalanie numerów rachunków bankowych;
    • unikanie aktywnych linków w komunikacji z klientami – jedną z wiodących metod stosowanych przez cyberprzestępców, których ofiarami padają użytkownicy jest podszywanie się pod instytucje zaufania publicznego i wyłudzanie danych służących do logowania za pomocą przesyłania tzw. aktywnych linków przekierowujących do fałszywych stron internetowych. Stosowanie aktywnych linków w oficjalnej komunikacji z klientem przez instytucję finansową stoi w sprzeczności z prowadzoną od lat kampanią edukującą użytkowników internetu. Komunikaty powinny być przekazywane poprzez informacje statyczne czy aplikacje mobilne;
    • zmiana sposobów zabezpieczania komunikacji z klientami – w ocenie UKNF stosowanie przez zakłady ubezpieczeń szyfrowania załączników mailowych poprzez proste czy krótkie hasła, takie jak używanie fragmentów numeru PESEL czy jego kombinacji z datą urodzenia, numerem telefonu czy innym hasłem możliwym do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych jest nieakceptowalne. W oczekiwaniu UKNF korespondencja e-mail zawierająca załączniki, zwłaszcza zawierające dane osobowe czy tajemnicę ubezpieczeniową, powinna być zabezpieczona odpowiednio długim i złożonym hasłem udostępnianym osobnym kanałem komunikacji, np. przez SMS. Dopuszczalne jest też umożliwienie ustawienia przez klienta indywidualnego hasła do załączników;
    • kontrola nad działalnością zewnętrznych usługodawców – wynikająca z wytycznych KNF dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w sektorze ubezpieczeniowym. Kontrola ta powinna być wykonywana albo bezpośrednio przez zakład albo poprzez weryfikację wyników pokontrolnych prowadzonych przez samych usługodawców czy audytorów zewnętrznych.
    • edukacja klientów – budowanie świadomości klientów w zakresie cyberbezpieczeństwa jedynie w formie publikowania informacji na stronie internetowej zakładu jest w ocenie UKNF niewystarczające. Ograniczenie internetu jako jedynego medium przekazu prowadzi do ograniczenia grup docelowych i skutkuje luką kompetencyjną w tym zakresie.

Na koniec UKNF wskazuje, że działania zakładów ubezpieczeniowych w zakresie cyberbezpieczeństwa, z uwzględnieniem aspektów wskazanych w stanowisku oraz czynności podejmowanych w celu dostosowania działalności do wymagań nowo tworzonego rozporządzenia DORA, będą podlegały analizom i ocenom podczas czynności nadzorczych prowadzonych przez Komisję Nadzoru Finansowego – zarówno w zakresie postępowań inspekcyjnych, jak i analiz o charakterze systemowym.

Kancelaria Raczyński Skalski & Partners
Interesuje Cię ten temat?
Skontaktuj się z nami,
aby poznać naszą ofertę.

Powiązane

„Security first” w towarzystwach ubezpieczeniowych – nowe stanowisko KNF w zakresie cyberbezpieczeństwa
24 października 2022

Silne uwierzytelnianie, zasady szyfrowania i „security first” - 19 października 2022 r. UKNF opublikował nowe…

„Security first” w towarzystwach ubezpieczeniowych – nowe stanowisko KNF w zakresie cyberbezpieczeństwa
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.