Governance i zarządzanie ryzykiem ICT
Skuteczne cyberbezpieczeństwo w firmie ubezpieczeniowej zaczyna się od governance. Poniższe punkty powinny być zrealizowane lub zaplanowane na 2026 rok.
Zarząd i odpowiedzialność: wyznaczony członek zarządu odpowiedzialny za cyberbezpieczeństwo, regularne (minimum kwartalne) raportowanie stanu bezpieczeństwa ICT do zarządu, zatwierdzone przez zarząd ramy zarządzania ryzykiem ICT zgodne z DORA, budżet na cyberbezpieczeństwo adekwatny do profilu ryzyka.
Polityki i procedury: aktualna polityka bezpieczeństwa informacji, polityka klasyfikacji danych obejmująca dane medyczne, polis i roszczeń, polityka zarządzania dostępem (principle of least privilege), polityka zarządzania incydentami z procedurami eskalacji, polityka ciągłości działania i disaster recovery, polityka zarządzania ryzykiem dostawców ICT.
Rejestr ryzyk ICT: zidentyfikowane i ocenione ryzyka dla wszystkich krytycznych systemów (core insurance, claims management, broker integrations), regularne przeglądy i aktualizacje rejestru (minimum co pół roku), plany mitygacji dla ryzyk o wysokim i krytycznym poziomie.
Ochrona infrastruktury i sieci
Infrastruktura sieciowa ubezpieczyciela wymaga wielowarstwowej ochrony.
Segmentacja sieci: sieci z systemami core insurance odizolowane od sieci biurowej, osobne segmenty dla systemów claims management, underwritingu i portali klienta, mikrosegmentacja ograniczająca lateral movement, DMZ dla systemów eksponowanych na zewnątrz (portale, API brokerskie).
Zabezpieczenie perymetru: firewall nowej generacji (NGFW) z inspekcją ruchu SSL/TLS, system IDS/IPS z regułami specyficznymi dla sektora finansowego, Web Application Firewall (WAF) dla portali klienta i agenta, ochrona przed DDoS dla systemów dostępnych publicznie.
Zarządzanie podatnościami: regularne skanowanie podatności (minimum miesięcznie), łatanie krytycznych podatności w ciągu 24-48 godzin, hardening systemów operacyjnych i aplikacji, inwentaryzacja i eliminacja shadow IT.
Ochrona endpointów i tożsamości
Endpointy i tożsamości to najczęstsze wektory ataków na ubezpieczycieli.
Endpoint protection: EDR (Endpoint Detection and Response) na wszystkich stacjach roboczych i serwerach, antimalware z mechanizmami heurystycznymi i behavioral analysis, kontrola aplikacji (application whitelisting) na stacjach krytycznych, szyfrowanie dysków na wszystkich urządzeniach, zarządzanie urządzeniami mobilnymi (MDM) dla pracowników terenowych.
Zarządzanie tożsamością: MFA (uwierzytelnianie wieloskładnikowe) dla wszystkich użytkowników, SSO (Single Sign-On) z centralnym zarządzaniem, Privileged Access Management (PAM) dla kont administracyjnych, regularne przeglądy uprawnień (minimum kwartalnie), automatyczne wyłączanie nieaktywnych kont (po 30 dniach nieaktywności).
Szkolenia pracowników: regularne szkolenia z cyberbezpieczeństwa (minimum 2 razy w roku), symulacje phishingowe (minimum kwartalne), dedykowane szkolenia dla działów claims i underwriting (ze względu na specyficzne zagrożenia), szkolenie zarządu z cyberbezpieczeństwa (wymóg NIS2).
Ochrona danych i prywatność
Dane ubezpieczeniowe wymagają szczególnej ochrony ze względu na ich wrażliwość.
Data Loss Prevention: DLP na trzech warstwach — network, endpoint, cloud, polityki DLP specyficzne dla danych medycznych, polis i roszczeń, monitoring transferu danych do zewnętrznych systemów (w tym API brokerskie), automatyczne szyfrowanie danych wrażliwych w transit i at rest.
Zgodność z RODO: rejestr czynności przetwarzania obejmujący wszystkie kategorie danych ubezpieczeniowych, ocena skutków dla ochrony danych (DPIA) dla systemów przetwarzających dane medyczne, procedury realizacji praw podmiotów danych (dostęp, usunięcie, przenoszenie), umowy powierzenia z wszystkimi procesorami danych, powołany Inspektor Ochrony Danych (IOD).
Szyfrowanie: szyfrowanie danych at rest w bazach danych (AES-256), szyfrowanie komunikacji (TLS 1.2+ dla wszystkich połączeń), szyfrowanie backupów, zarządzanie kluczami kryptograficznymi (HSM lub cloud KMS).
Monitoring i reagowanie na incydenty
Zdolność do wykrywania i reagowania na incydenty jest kluczowa dla DORA.
Security Operations Center: SOC działający 24/7/365 (wewnętrzny lub managed), SIEM integrujący logi z wszystkich krytycznych systemów, reguły korelacji specyficzne dla sektora ubezpieczeniowego, SOAR automatyzujący typowe procedury reagowania, threat intelligence feeds dla sektora finansowego.
Incident response: przetestowany plan incident response (testy minimum raz w roku), zdefiniowane role i odpowiedzialności w zespole IR, procedury eskalacji zgodne z wymogami DORA (4h/72h/1m), procedury powiadamiania regulatorów (KNF, UODO), komunikacja kryzysowa — szablony i procedury, retainer z firmą forensics na wypadek poważnego incydentu.
Business continuity: plan ciągłości działania (BCP) dla scenariuszy cyberataków, plan disaster recovery (DRP) z regularnymi testami, backup zgodny z regułą 3-2-1-1 (3 kopie, 2 media, 1 off-site, 1 immutable), RTO i RPO zdefiniowane dla wszystkich krytycznych systemów.
Testowanie odporności cyfrowej
DORA wymaga regularnego testowania odporności — poniższe testy powinny być zaplanowane i realizowane.
Testy penetracyjne: testy penetracyjne infrastruktury (minimum raz w roku), testy penetracyjne aplikacji webowych (portale, API) — minimum raz w roku, testy penetracyjne API brokerskich — po każdej istotnej zmianie, red team exercises (dla ubezpieczycieli uznanych za istotne podmioty), TLPT (Threat-Led Penetration Testing) co 3 lata (dla podmiotów istotnych).
Inne testy: testy podatności (vulnerability assessment) — minimum miesięcznie, testy bezpieczeństwa sieci — minimum kwartalnie, testy wydajnościowe pod kątem odporności na DDoS, testy scenariuszowe (tabletop exercises) — minimum 2 razy w roku, testy odtwarzania z backupów — minimum kwartalnie, testy planu incident response — minimum raz w roku.
Dokumentacja: wyniki wszystkich testów dokumentowane i archiwizowane, plany naprawcze dla zidentyfikowanych luk, śledzenie statusu remediacji, raportowanie wyników testów do zarządu i KNF (na żądanie).
Zarządzanie dostawcami ICT
Sektor ubezpieczeniowy jest silnie uzależniony od dostawców — zarządzanie tym ryzykiem to wymóg DORA.
Inventaryzacja i ocena: aktualny rejestr wszystkich umów z dostawcami ICT, klasyfikacja dostawców (krytyczni, ważni, standardowi), due diligence bezpieczeństwa przed podpisaniem umowy, regularne audyty bezpieczeństwa dostawców krytycznych (minimum rocznie).
Umowy i SLA: klauzule bezpieczeństwa w umowach z dostawcami, prawo do audytu bezpieczeństwa dostawcy, obowiązek raportowania incydentów przez dostawcę, SLA obejmujące aspekty bezpieczeństwa, klauzule exit (strategia wyjścia w przypadku zmiany dostawcy).
Monitoring ciągły: monitoring poziomu bezpieczeństwa dostawców krytycznych, śledzenie podatności w produktach dostawców, plany kontynuacji na wypadek awarii dostawcy, regularna weryfikacja certyfikacji dostawców (ISO 27001, SOC 2).
Jak nFlo pomaga zrealizować checklistę
nFlo oferuje kompleksowe wsparcie w realizacji checklisty cyberbezpieczeństwa dla ubezpieczycieli. Nasze usługi pokrywają wszystkie obszary wymienione w niniejszej liście kontrolnej.
Assessment i gap analysis: identyfikujemy luki w obecnym stanie bezpieczeństwa względem wymogów DORA, NIS2 i best practices sektorowych. Projektujemy roadmapę wdrożenia z priorytetyzacją działań.
Wdrożenie: SOC managed 24/7 z regułami specyficznymi dla ubezpieczeń, DLP na trzech warstwach, testy penetracyjne i red team exercises, zarządzanie podatnościami i hardening, audyty bezpieczeństwa dostawców.
Ciągłe doskonalenie: monitoring i raportowanie, szkolenia pracowników i zarządu, regularne przeglądy i aktualizacje polityk. Z ponad 500 projektami i 98% retencją klientów, nFlo jest sprawdzonym partnerem cyberbezpieczeństwa dla sektora ubezpieczeniowego.
Cyberbezpieczeństwo w Twojej branży
Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:
Tematy powiązane
Zobacz również:
