Jak firmy ubezpieczeniowe mają zwiększyć cyberbezpieczeństwo klientów? Są wytyczne UKNF
Jak zauważa w stanowisku w sprawie działań zakładów ubezpieczeń i reasekuracji w zakresie cyberbezpieczeństwa UKNF, w Polsce nastąpił dynamiczny rozwój elektronicznych kanałów dostępu do usług świadczonych przez te firmy.
„Powszechność takiej formy świadczenia usług niesie za sobą również szereg ryzyk mających wpływ na bezpieczeństwo środków finansowych i danych klientów chronionych przepisami prawa, w tym tajemnicą ubezpieczeniową” – podkreśla UKNF.
Obserwowana jest tendencja wzrostowa liczby nadużyć, których ofiarami są konsumenci korzystający z elektronicznych kanałów dostępu do usług finansowych.
– czytamy w stanowisku UKNF w sprawie działań zakładów ubezpieczeń i reasekuracji w zakresie cyberbezpieczeństwa.
Cyberbezpieczeństwo na pierwszym miejscu
Jak podkreśla UKNF, zakłady ubezpieczeniowe powinny przede wszystkim kierować się zasadą „security first”.
Czytaj także: Cyberprzestępcy odchodzą od typowych ataków hakerskich; jakie metody teraz stosują?
„Polega ona na stawianiu bezpieczeństwa na pierwszym planie i podejmowaniu decyzji dotyczących kształtu procesów i produktów w oparciu o przeprowadzenie rzetelnych analiz ryzyka, które
muszą uwzględniać nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego Zakładu, ale również zagrożenia związane z korzystaniem z jego usług przez klientów” – podkreśla UKNF.
Wprowadzenie uwierzytelnienia wieloskładnikowego
W opinii UKNF, w obliczu zintensyfikowanych działań cyberprzestępców, brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem. Stąd Urząd oczekuje od zakładów ubezpieczeniowych natychmiastowego podjęcia prac zmierzających do wprowadzenia tego typu uwierzytelniania.
„Takie uwierzytelnianie klienta powinno być stosowane w przypadku uzyskiwania przez użytkownika wglądu w informacje stanowiące tajemnicę ubezpieczeniową poprzez zdalne kanały dostępu Zakładu, jak również w sytuacji dokonywania przez klienta operacji związanych z zarządzaniem produktami ubezpieczeniowymi mogącymi nieść skutki finansowe, takimi jak ustalanie numerów rachunków bankowych lub realizacja transferów środków pieniężnych. Brak stosowania
uwierzytelniania wieloskładnikowego w takich przypadkach może być dopuszczalny jedynie w sytuacji, gdy w wyniku przeprowadzonych analiz Zakład oceni, że ryzyko dla klienta jest niskie” – podkreśla UKNF.
Unikanie aktywnych linków
UKNF wskazuje również na niebezpieczeństwo związane z atakami phishingowymi tak chętnie wykorzystywanymi przez cyberprzestępców. Tego typu ataki mogą prowadzić nie tylko do utraty środków finansowych klientów firm ubezpieczeniowych, ale także danych objętych tajemnicą ubezpieczeniową lub innych danych osobowych.
Stąd UKNF zaleca zakładom ubezpieczeniowym unikanie aktywnych linków do stron internetowych w wiadomościach e-mail (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów.
Zabezpieczenie komunikacji z klientami
Kolejnym istotnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów, na które wskazuje w swoim stanowisko UKNF, jest sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej.
„Stosowane praktyki, polegające na zabezpieczaniu załączników przekazywanych w korespondencji e-mail prostymi czy krótkimi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, organ nadzoru uznaje za nieakceptowalne” – podkreśla UKNF.
„Korespondencja e-mail zawierająca załączniki, zwłaszcza
z danymi objętymi tajemnicą ubezpieczeniową lub innymi danymi osobowymi, powinna być szyfrowana w sposób zapewniający poufność informacji, a odpowiednio długie i złożone hasło niezbędne do jej odszyfrowania powinno być przekazywane osobnym kanałem komunikacji,
np. przez portal internetowy, aplikację mobilną lub SMS” – dodaje UKNF.
Jako akceptowalne rozwiązanie w tym zakresie, Urząd wskazuje umożliwienie klientowi ustawienia indywidualnego hasła do załączników przekazywanych drogą elektroniczną.
Kontrola nad działalnością zewnętrznych usługodawców
UKNF przypomina również, że od firm ubezpieczeniowych oczekuje się, że „będą one sprawować skuteczną kontrolę także nad działalnością
usługodawców zewnętrznych w zakresie świadczonych przez nich usług – zarówno podmiotów zewnętrznych wykonujących usługi na zlecenie zakładów, jak i działających w imieniu lub na rzecz zakładów pośredników ubezpieczeniowych”.
Edukacja klientów
Na koniec UKNF podkreśla znaczenie działań edukacyjnych zmierzających do zapewnienia cyberbezpieczeństwa klientom, które nie powinny ograniczać się jedynie do informacji zamieszczanych na stronach internetowych firm ubezpieczeniowych.
„Wzmocnienie i konsekwencja działań w zakresie budowania świadomości klientów w obszarze cyberzagrożeń związanych z wykorzystaniem nowoczesnych technologii – w tym poprzez współpracę ze szkołami, środowiskiem akademickim i udział w kampaniach realizowanych przez instytucje konsumenckie – będzie miało bezpośrednie przełożenie na poziom bezpieczeństwa ich danych i środków finansowych” – podkreśla Urząd.
W podsumowaniu UKNF przypomina, że działania ubezpieczycieli w zakresie cyberbezpieczeństwa będą przedmiotem zainteresowania i kontroli ze strony nadzoru finansowego.