Silne uwierzytelnianie, zasady szyfrowania i „security first” – 19 października 2022 r. UKNF opublikował nowe stanowisko w sprawie działań zakładów ubezpieczeń i reasekuracji w zakresie cyberbezpieczeństwa. Tłem stanowiska jest wzrostowa tendencja występowania zdarzeń, których ofiarami są konsumenci korzystający z elektronicznych form komunikacji i zbliżająca się perspektywa wejścia w życie rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), do którego dostosowanie się będzie podlegało ocenie podczas czynności nadzorczych prowadzonych przez KNF.
Stanowisko porusza 6 wytycznych kierowanych do zakładów ubezpieczeń, o których pamiętać powinny być inne podmioty rynku finansowego:
-
- zasada „security first” – zasada obliguje do stawiania na pierwszym miejscu bezpieczeństwa IT przy planowaniu założeń biznesowych, co dotyczyć ma nie tylko bezpieczeństwa informatycznego zakładu, ale również bezpieczeństwa klienta korzystającego z jego usług. Ocena ryzyka w tym zakresie powinna uwzględniać maksymalny w danych warunkach poziom bezpieczeństwa środków finansowych i danych klientów, trendy zagrożeń i sposoby działania cyberprzestępców, a także wpływ planowanych działań zakładu ubezpieczeń na cały sektor usług finansowych;
- stosowanie wieloskładnikowego uwierzytelniania w elektronicznych kanałach dostępu – KNF oczekuje od zakładów ubezpieczeń niezwłocznego rozpoczęcia prac wdrażających wieloskładnikowe uwierzytelnienie klienta w elektronicznych kanałach dostępu do usług. W ocenie UKNF brak wieloskładnikowego uwierzytelnienia klienta jest ryzykiem nieakceptowalnym. Zastosowanie wieloskładnikowego uwierzytelnienia powinno mieć zastosowanie w sytuacji gdy użytkownik zdalnie:
- uzyskuje wgląd w tajemnice ubezpieczeniową,
- dokonuje operację związaną z zarządzaniem produktem ubezpieczeniowym mogącym mieść skutek finansowy, taką jak transfer środków pieniężnych czy ustalanie numerów rachunków bankowych;
- unikanie aktywnych linków w komunikacji z klientami – jedną z wiodących metod stosowanych przez cyberprzestępców, których ofiarami padają użytkownicy jest podszywanie się pod instytucje zaufania publicznego i wyłudzanie danych służących do logowania za pomocą przesyłania tzw. aktywnych linków przekierowujących do fałszywych stron internetowych. Stosowanie aktywnych linków w oficjalnej komunikacji z klientem przez instytucję finansową stoi w sprzeczności z prowadzoną od lat kampanią edukującą użytkowników internetu. Komunikaty powinny być przekazywane poprzez informacje statyczne czy aplikacje mobilne;
- zmiana sposobów zabezpieczania komunikacji z klientami – w ocenie UKNF stosowanie przez zakłady ubezpieczeń szyfrowania załączników mailowych poprzez proste czy krótkie hasła, takie jak używanie fragmentów numeru PESEL czy jego kombinacji z datą urodzenia, numerem telefonu czy innym hasłem możliwym do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych jest nieakceptowalne. W oczekiwaniu UKNF korespondencja e-mail zawierająca załączniki, zwłaszcza zawierające dane osobowe czy tajemnicę ubezpieczeniową, powinna być zabezpieczona odpowiednio długim i złożonym hasłem udostępnianym osobnym kanałem komunikacji, np. przez SMS. Dopuszczalne jest też umożliwienie ustawienia przez klienta indywidualnego hasła do załączników;
- kontrola nad działalnością zewnętrznych usługodawców – wynikająca z wytycznych KNF dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w sektorze ubezpieczeniowym. Kontrola ta powinna być wykonywana albo bezpośrednio przez zakład albo poprzez weryfikację wyników pokontrolnych prowadzonych przez samych usługodawców czy audytorów zewnętrznych.
- edukacja klientów – budowanie świadomości klientów w zakresie cyberbezpieczeństwa jedynie w formie publikowania informacji na stronie internetowej zakładu jest w ocenie UKNF niewystarczające. Ograniczenie internetu jako jedynego medium przekazu prowadzi do ograniczenia grup docelowych i skutkuje luką kompetencyjną w tym zakresie.
Na koniec UKNF wskazuje, że działania zakładów ubezpieczeniowych w zakresie cyberbezpieczeństwa, z uwzględnieniem aspektów wskazanych w stanowisku oraz czynności podejmowanych w celu dostosowania działalności do wymagań nowo tworzonego rozporządzenia DORA, będą podlegały analizom i ocenom podczas czynności nadzorczych prowadzonych przez Komisję Nadzoru Finansowego – zarówno w zakresie postępowań inspekcyjnych, jak i analiz o charakterze systemowym.
