Rozwój cyfryzacji przyniósł korzyść zarówno ubezpieczycielom, jak i ich klientom, ale upowszechnienie elektronicznych kanałów dostępu niesie ze sobą również liczne ryzyka mające wpływ na bezpieczeństwo środków finansowych i danych klientów. Dotyczy to zarówno osób aktywnie korzystających z nowoczesnych technologii i form komunikacji, jak i osób, które z takich kanałów korzystają sporadycznie. W związku z tym Komisja Nadzoru Finansowego wskazuje, jakich zasad powinni przestrzegać asekuratorzy i reasekuratorzy w obszarze cyberbezpieczeństwa.

Sprawdź w LEX: Zgłaszanie incydentów przez operatorów usług kluczowych - poradnik >>>

Najważniejsze jest bezpieczeństwo

KNF podkreśla, ze ubezpieczyciele powinni stosować zasadę „security first”, która polega na stawianiu bezpieczeństwa na pierwszym planie i podejmowaniu decyzji dotyczących kształtu procesów i produktów w oparciu o przeprowadzenie rzetelnych analiz ryzyka, które
muszą uwzględniać nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego zakładu, ale również zagrożenia związane z korzystaniem z jego usług przez klientów. Oszczędność nie może wpływać na jakość tych analiz.
Nadzorca zwraca też uwagę na to, że wybór metod potwierdzania tożsamości klientów korzystających z elektronicznych kanałów dostępu powinien być dokonywany z uwzględnieniem ryzyka związanego z tymi kanałami. W opinii Urzędu Komisji, w obliczu zintensyfikowanych działań cyberprzestępców, brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem. Takie uwierzytelnianie klienta powinno być stosowane w przypadku uzyskiwania przez użytkownika wglądu w informacje stanowiące tajemnicę ubezpieczeniową poprzez zdalne kanały dostępu ubezpieczyciela, jak również w sytuacji dokonywania przez klienta operacji związanych z zarządzaniem produktami ubezpieczeniowymi mogącymi nieść skutki finansowe, takimi jak ustalanie numerów rachunków bankowych lub realizacja transferów środków pieniężnych. 

Czytaj w LEX: Kompetencje w gospodarce cyfrowej - pragmatyczne wskazówki jak je budować >>>

Unikanie aktywnych linków w komunikacji z klientami

Główną metodą ataków na klientów instytucji finansowych są działania socjotechniczne, wykorzystywane przez cyberprzestępców do podszywania się pod legalnie działające instytucje finansowe i inne organizacje, w celu pozyskania danych i poświadczeń klientów do
logowania do elektronicznych kanałów dostępu, wykorzystywanych następnie do kradzieży danych lub środków finansowych. Przestępcze działania i ataki realizowane są poprzez wszystkie dostępne kanały komunikacji zdalnej, wykorzystywane również przez ubezpieczycieli do kontaktów z klientami, tj. kanał telefoniczny, wiadomości SMS, wiadomości e-mail oraz media społecznościowe, a działania te są na bieżąco dostosowywane przez przestępców do dynamicznie zmieniającej się rzeczywistości. Od wielu lat zarówno instytucje finansowe, jak i organizacje działające na rzecz edukacji w zakresie cyberbezpieczeństwa, ostrzegają przed nierozważnym uruchamianiem linków otrzymywanych w wiadomościach SMS lub wiadomościach e-mail, zwracając uwagę na wysokie ryzyko z tym związane.

KNF stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach e-mail (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych, a ubezpieczyciele powinni dążyć do ograniczenia tej praktyki na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne  lub inne kanały elektroniczne, które nie generują ryzyka oszustwa.

Hasła powinny być skomplikowane

Kolejnym istotnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów, jest sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej. Stosowane praktyki, polegające na zabezpieczaniu
załączników przekazywanych w korespondencji e-mail prostymi czy krótkimi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do
odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, organ nadzoru uznaje za nieakceptowalne. Przekazywane w ten sposób informacje noszą znamiona informacji chronionych, bądź też zawierają dane osobowe, a budowanie prostych lub krótkich haseł jest sprzeczne z dobrymi praktykami w zakresie bezpieczeństwa.

Niewłaściwe zabezpieczenie tych danych może być wykorzystane w celach przestępczych – np. do phishingu ukierunkowanego na konkretną osobę bądź grupę osób (spear phishing) – a także skutkować naruszeniem ochrony danych objętych tajemnicą ubezpieczeniową lub innych danych osobowych.

Korespondencja e-mail zawierająca załączniki, zwłaszcza z danymi objętymi tajemnicą ubezpieczeniową lub innymi danymi osobowymi, powinna być szyfrowana w sposób zapewniający poufność informacji, a odpowiednio długie i złożone hasło niezbędne do jej odszyfrowania powinno być przekazywane osobnym kanałem komunikacji, np. przez portal internetowy, aplikację mobilną lub SMS.