Moje ostatnie artykuły na blogach Alwisa i Mapy Agentów o cyberubezpieczeniach dla małych i średnich firm oraz osób fizycznych, w tym prowadzących działalność gospodarczą wywołały zwiększone zainteresowanie tymi problemami. Wśród wielu poruszanych problemów najczęściej agenci pytali o sposób przechowywania swoich danych ubezpieczeniowych: we własnych bazach (systemach, komputerach) czy np. w powszechnie dostępnych chmurach. Chodzi o takie zabezpieczenie danych, aby po pierwsze były całkowicie bezpieczne i po drugie, aby głównie dane osobowe klientów nie wydostały się (wyciekły) i nie naraziły agenta na uciążliwe sankcje. Tu muszę nadmienić, że są to problemy bardzo ważne, ale także trudne do podjęcia i rozwiązania na kilku płaszczyznach. O większość problemów technicznych związanych z zabezpieczeniami i przechowywaniem danych w chmurach, należy pytać specjalistów od informatyki. Ja natomiast przedstawię te zagadnienia od strony funkcjonowania dystrybutora ubezpieczeń, czyli agenta i OFWCA.
Wyzwanie bezpieczeństwa dla Multiagenta, Agentów i OFWCA w świetle wytycznych UKNF
Zagadnienia te trochu inaczej wyglądają ze strony: multiagenta, agenta i osoby wykonującej czynności agencyjne (OFWCA).
Praktycznie
- Multiagent, czyli dystrybutor wykonujący czynności agencyjne na rzecz kilku (wielu) zakładów ubezpieczeń powinien spełniać wszystkie wymogi określone już w styczniu 2020 r., kiedy UKNF opublikował “Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej“. Pomimo tego, że komunikat UKNF nie jest formalnie aktem prawnym (jak ustawa, rozporządzenie) to nakłada określone obowiązki na dystrybutorów ubezpieczeń i przestrzeganie tych wytycznych podlega kontroli przez UKNF, UODO. To bardzo uciążliwe i obowiązkowe analizy bezpieczeństwa, opracowania zabezpieczeń oraz konieczna ich rejestracja w UKNF. I dotyczy każdego multiagenta, nawet tego, który samodzielnie współpracuje z dwoma ZU. Także agenta, ale ten jednoosobowy jest w prawnej sytuacji zbliżonej do OFWCA.
- OFWCA i agent ten jednoosobowy, z zasady powinny w pełni realizować zadania wynikające z wymienionych powyżej wytycznych UKNF. Praktycznie jest to niemożliwe do wykonania i uważam, że zbędne, ale każdy (agent, OFWCA) musi znać te wytyczne i postępować zgodnie z nimi, bez opracowywania dokumentacji dotyczącej bezpieczeństwa itd. Jeśli jednak OFWCA podpisuje umowę o korzystanie z chmury do przechowywania danych z określonym dostawcą tej usługi, to musi robić to w uzgodnieniu ze swoim Agentem. Bo to agent musi zgłosić ten fakt do rejestru w UKNF. A samodzielny agent musi to zrobić we własnym imieniu. Wszystko to z tego powodu, że nasi kontrahenci np. zakłady ubezpieczeniowe, porównywarki itd. także korzystają z chmur pomimo, że nas o tym nie informują. Praktycznie, jeśli dystrybutor ubezpieczeń korzysta z programu instalowanego na komputerze (np. ZU) to regulacje o “przetwarzaniu danych w chmurze” także jego dotyczą. To stąd właśnie – uważam że mylnie – Polska Izba Ubezpieczeń (PIU) w opublikowanym stanowisku w 2022 roku “Standardzie wdrożeń przetwarzania informacji w chmurze obliczeniowej (…) zaleca, żeby agenci zgłaszali do UKNF nawet zakłady ubezpieczeń, które reprezentują, a które korzystają w swoich systemach z rozwiązań chmurowych!
- Praktycznie OFWCA przechowuje dane we własnej bazie elektronicznej, ale korzysta z systemów ZU, które są obecne w chmurach. Osobiście uważam, że ma obowiązek znać i stosować ogólne wytyczne UKNF w tej sprawie, ale bez tworzenia dokumentacji itd. To zadanie dla jego multiagenta i zakładów ubezpieczeń..
Przechowywanie danych: własny komputer vs. chmury
Podstawowe pytanie brzmi: które przechowywanie danych jest bezpieczniejsze? Czy przechowywanie na własnym komputerze, czy w chmurach. Oba rozwiązania obciążone są wieloma ryzykami, bo nie ma w stu procentach bezpiecznego rozwiązania.
Dobrze zabezpieczone własne systemy, przy zachowaniu wszystkich zasad bezpieczeństwa ich wykorzystania i pracy dają dobrą gwarancję ich przechowywania. Zagrożeniem są natomiast nieprzewidziane wydarzenia związane z awariami, uszkodzeniami, zniszczeniem i utratą sprzętu, np. pożary, zalania, przepięcia, lub nawet zwykłe upadki i rozbicia komputerów. Z zasady odzyskiwane dane po takich zdarzeniach są niekompletne, często nienadające się do dalszego wykorzystywania, aby zapewnić później, w miarę bieżącą działalność należy zawsze wykonywać tzw. kopie bezpieczeństwa na nośnikach zewnętrznych (dyski zewnętrzne, pendrive itp.) i przechowywać je w innych strefach „ogniowych”. Z praktyki wiem, że podstawowym problemem jest tutaj żelazna dyscyplina w ich stosowaniu w określonych terminach.
Musimy mieć także świadomość, że dane z takiej naszej bazy danych mogą być ujawnione: wykradzione w różnych celach przez przestępców (hakerów) za pośrednictwem złośliwego oprogramowania, przez różne zabiegi socjotechniczne itd. Częstymi przypadkami są kradzieże lub zgubienie mobilnych komputerów z przechowywanymi danymi do tego nie zaszyfrowanymi, łatwymi do wykorzystania.
Gromadzenie danych w chmurze: nowoczesne rozwiązanie z licznymi gwarancjami
Wszystkie te problemy minimalizuje przechowywanie danych w chmurze. Działający na rynku, dostawcy usług przechowywania danych w chmurze, posiadają odpowiednią infrastrukturę techniczną oraz wypracowane procedury zapewniające w zasadzie pełne bezpieczeństwo danych. To nie tylko supernowoczesne, najnowsze zastosowania inżynierii informatycznej, ale także systematyczne audyty i certyfikacje ze strony niezależnych instytucji międzynarodowych. To także okresowe badania tzw. wytrzymałości systemów i ich zabezpieczeń. Dane w takich chmurach są przechowywane w różnych częściach świata, co zabezpiecza je przed katastrowanymi zdarzeniami jak np.: trzęsienia ziemi, tsunami, wielkie pożary czy nawet wojny i podobne zdarzenia. Ponadto dostęp do przechowywanych danych przez osoby niepowołane, jest bardzo kontrolowany na wielu poziomach: od fizycznych zabezpieczeń budynków, systemów, i infrastruktury, aż do kompleksowych zabezpieczeń na poziomie oprogramowania. Wszystkie zagadnienia bezpieczeństwa są regulowane przez procedury zgodnie z podstawową zasadą „minimum dostępów i uprawnień, jakie pracownik potrzebuje”, wszystko jest szyfrowane i wielopoziomowo zabezpieczane.
W praktyce dystrybutorzy ubezpieczeń korzystają z systemu mieszanego: przechowują dane we własnej bazie odpowiednio zabezpieczonej oraz korzystają pośrednio z przechowywania danych w chmurach głównie za pośrednictwem ZU, nawet nie wiedząc o tym. W każdym przypadku agenci i OFWCA muszą przestrzegać regulacji dotyczących bezpieczeństwa danych i przechowywania danych w chmurach (wspomniane już wytyczne UKNF).
Ewolucja danych w świetle wzrastającej dominacji rozwiązań chmurowych
W najbliższych latach sytuacja będzie się jednak przechylała na korzyść chmur. Już dzisiaj widzimy, że od chmury nie mamy praktycznie ucieczki, bo większość nowych wersji oprogramowania — włącznie z najpopularniejszymi systemami operacyjnymi, (Windows, Apple, Android) – wykorzystuje rozwiązania chmurowe. Dziś już najbardziej podstawowe czynności w działalności agencji, (np. wysyłanie e-maili, gromadzenie kontaktów, przechowywanie wiadomości itd. ) wiąże się prawie w stu procentach przypadków z powierzaniem danych do jakiejś chmury: Google, Apple czy Microsoft. Wiele czynności administracyjno-archiwizacyjnych oraz ustawień konfiguracyjnych systemów itp./ jest niejako z „z automatu” zapisywane online. Zgodnie z wymogami prawa, wszystkie te stosowane chmury powinny być poddane analizie ryzyka w każdej agencji, a po jej pomyślnym przejściu, opracowaniu raportu bezpieczeństwa, powinny zostać zgłoszone do KNF. I to — obok ceny usług przechowywania w chmurach — jest największym problemem w niskim stosowaniu chmur do przechowywania danych w dystrybucji ubezpieczeń. Obecnych wymagań prawnych nie jest w stanie zrealizować ponad 90% agentów. I uważam, że jest to także praktycznie niepotrzebne. Jeśli dystrybutor ubezpieczeń nie zawiera własnej umowy o świadczenie usług na przechowywanie danych, a korzysta głównie z dostarczonych aplikacji i programów np. ZU, porównywarek, to cały ciężar sprawdzania i weryfikowania spraw bezpieczeństwa powinna spadać na głównego odbiorcę usługi i dostawcę. Oczywiście, stosowanie ogólnych zasad bezpieczeństwa danych w chmurach obowiązują bez wyjątku wszystkich.
Podsumowanie
Pewnym hamulcem w korzystaniu z chmur przez agentów są nieuzasadnione obawy agentów o przejęciu i wykorzystaniu bazy danych agenta przez konkurencje lub dla innych celów. Jest to jeszcze relikt z przeszłości, kiedy to wykradano bazy, „handlowano” adresami przez nieuczciwe podmioty. Obecnie jest to praktycznie niemożliwe, ponieważ wprowadzone przepisy RODO nałożyły na każdego posiadacza danych bardzo konkretne obowiązki. Po prostu nie wolno stosować danych osobowych bez odpowiedniej podstawy prawnej i poinformowania właściciela danych o podstawie ich stosowania. Jeśli otrzymamy jakieś dane, kupimy, lub zdobędziemy w inny sposób, to nie wolno nam ich stosować bez jasno określonej podstawy prawnej. Za nieprzestrzeganie tych zasad grożą nam konkretne kary wynikające z przepisów RODO.