Magdalena Seliga Magsel Pośrednictwo Ubezpieczeniowe Agent ubezpieczeniowy
Brak ocen
Skontaktuj się
Udogodnienia Kup polisę online
Dojazd do klienta
Stacjonarnie / online
Bezpłatna konsultacja
Niestandardowe godziny
Karta płatnicza / gotówka / przelew
Ubezpieczenia
Ubezpieczenie Na życie
Dowiedz się więcej
Ubezpieczenie Zdrowotne
Dowiedz się więcej
Ubezpieczenie NNW
Dowiedz się więcej
Ubezpieczenie Komunikacyjne
Dowiedz się więcej
Ubezpieczenie Majątkowe
Dowiedz się więcej
Ubezpieczenie Turystyczne
Dowiedz się więcej
Ubezpieczenie Zawodowe
Dowiedz się więcej
Towarzystwa ubezpieczeniowe
InterRisk
Compensa
Wiener
Uniqa
ErgoHestia
Link4
MTU
Generali
PZU
Proama
TUZ Ubezpieczenia
UNUM
Warta
Allianz
Signal Iduna
Vienna Life
Open Life
TUW TUW
Opinie
Średnia ocen
Brak ocen
Dodaj opinię
Wróć

Bezpieczne przechowywanie danych ubezpieczeniowych: własne bazy czy chmury?

Array

Moje ostatnie artykuły na blogach Alwisa i Mapy Agentów o cyberubezpieczeniach dla  małych i średnich firm oraz osób fizycznych, w tym prowadzących działalność gospodarczą wywołały zwiększone zainteresowanie tymi problemami. Wśród wielu poruszanych problemów najczęściej agenci pytali o sposób przechowywania swoich danych ubezpieczeniowych: we własnych bazach (systemach, komputerach) czy np. w powszechnie dostępnych chmurach. Chodzi o takie zabezpieczenie danych, aby po pierwsze były całkowicie bezpieczne i po drugie, aby głównie dane osobowe klientów  nie wydostały się (wyciekły) i nie naraziły agenta na uciążliwe sankcje. Tu muszę nadmienić, że są to  problemy bardzo ważne, ale także trudne do podjęcia i rozwiązania na kilku płaszczyznach. O większość problemów technicznych związanych z zabezpieczeniami i przechowywaniem danych w chmurach, należy pytać specjalistów od informatyki. Ja natomiast przedstawię te zagadnienia od strony funkcjonowania dystrybutora ubezpieczeń, czyli agenta i OFWCA.

Wyzwanie bezpieczeństwa dla Multiagenta, Agentów i OFWCA w świetle wytycznych UKNF

Zagadnienia te trochu inaczej wyglądają ze strony: multiagenta, agenta i osoby wykonującej czynności agencyjne (OFWCA).

Praktycznie

  • Multiagent, czyli dystrybutor wykonujący czynności agencyjne na rzecz kilku (wielu) zakładów ubezpieczeń powinien spełniać wszystkie wymogi określone już w styczniu 2020 r., kiedy UKNF opublikował “Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Pomimo tego, że komunikat UKNF nie jest formalnie aktem prawnym (jak ustawa, rozporządzenie) to nakłada określone obowiązki na dystrybutorów ubezpieczeń i przestrzeganie tych wytycznych podlega kontroli przez UKNF, UODO. To bardzo uciążliwe i obowiązkowe analizy bezpieczeństwa, opracowania zabezpieczeń oraz konieczna ich rejestracja w UKNF. I dotyczy każdego multiagenta, nawet tego, który samodzielnie współpracuje z dwoma ZU. Także agenta, ale ten jednoosobowy jest w prawnej sytuacji zbliżonej do OFWCA.
  • OFWCA i agent ten jednoosobowy, z zasady powinny w pełni realizować zadania wynikające z wymienionych powyżej wytycznych UKNF. Praktycznie jest to niemożliwe do wykonania i uważam, że zbędne, ale każdy (agent, OFWCA) musi znać te wytyczne i postępować zgodnie z nimi, bez opracowywania dokumentacji dotyczącej bezpieczeństwa itd. Jeśli jednak OFWCA podpisuje umowę o korzystanie z chmury do przechowywania danych z określonym dostawcą tej usługi, to musi robić to w uzgodnieniu ze swoim Agentem. Bo to agent musi zgłosić ten fakt do rejestru w UKNF. A samodzielny agent musi to zrobić we własnym imieniu. Wszystko to z tego powodu, że nasi kontrahenci np. zakłady ubezpieczeniowe, porównywarki itd. także korzystają z chmur pomimo, że nas o tym nie informują. Praktycznie, jeśli dystrybutor ubezpieczeń korzysta z programu instalowanego na komputerze (np. ZU) to regulacje o “przetwarzaniu danych w chmurze” także jego dotyczą. To stąd właśnie – uważam że mylnie – Polska Izba Ubezpieczeń (PIU) w opublikowanym stanowisku w 2022 roku “Standardzie wdrożeń przetwarzania informacji w chmurze obliczeniowej (…) zaleca, żeby agenci zgłaszali do UKNF nawet zakłady ubezpieczeń, które reprezentują, a które korzystają w swoich systemach z rozwiązań chmurowych!
  • Praktycznie OFWCA przechowuje dane we własnej bazie elektronicznej, ale korzysta z systemów ZU, które są obecne w chmurach. Osobiście uważam, że ma obowiązek znać i stosować ogólne wytyczne UKNF w tej sprawie, ale bez tworzenia dokumentacji  itd. To zadanie dla jego multiagenta i zakładów ubezpieczeń..

Przechowywanie danych: własny komputer vs. chmury

Podstawowe pytanie brzmi: które przechowywanie danych jest bezpieczniejsze? Czy przechowywanie na własnym komputerze, czy w chmurach. Oba rozwiązania obciążone są wieloma ryzykami, bo nie ma w stu procentach bezpiecznego rozwiązania.

Dobrze zabezpieczone własne systemy, przy zachowaniu wszystkich zasad bezpieczeństwa ich wykorzystania i pracy dają dobrą gwarancję ich przechowywania. Zagrożeniem są natomiast nieprzewidziane wydarzenia związane z awariami, uszkodzeniami, zniszczeniem i utratą sprzętu, np. pożary, zalania, przepięcia, lub nawet zwykłe upadki i rozbicia komputerów. Z zasady odzyskiwane dane po takich zdarzeniach są niekompletne, często nienadające się do dalszego wykorzystywania, aby zapewnić później, w miarę bieżącą działalność należy zawsze wykonywać tzw. kopie bezpieczeństwa na nośnikach zewnętrznych (dyski zewnętrzne, pendrive itp.) i przechowywać je w innych strefach „ogniowych”. Z praktyki wiem, że podstawowym problemem jest tutaj żelazna dyscyplina w ich stosowaniu w określonych terminach.

Musimy mieć także świadomość, że dane z takiej naszej bazy danych mogą być ujawnione: wykradzione w różnych celach przez przestępców (hakerów) za pośrednictwem złośliwego oprogramowania, przez różne zabiegi socjotechniczne itd. Częstymi przypadkami są kradzieże lub zgubienie mobilnych komputerów z przechowywanymi danymi do tego nie zaszyfrowanymi, łatwymi do wykorzystania.

Gromadzenie danych w chmurze: nowoczesne rozwiązanie z licznymi gwarancjami

Wszystkie te problemy minimalizuje przechowywanie danych w chmurze. Działający na rynku, dostawcy usług przechowywania danych w chmurze, posiadają odpowiednią infrastrukturę techniczną oraz wypracowane procedury zapewniające w zasadzie pełne bezpieczeństwo danych. To nie tylko supernowoczesne, najnowsze zastosowania inżynierii informatycznej, ale także systematyczne audyty i certyfikacje ze strony niezależnych instytucji międzynarodowych. To także okresowe badania tzw. wytrzymałości systemów i ich zabezpieczeń. Dane w takich chmurach są przechowywane w różnych częściach świata, co zabezpiecza je przed katastrowanymi zdarzeniami jak np.: trzęsienia ziemi, tsunami, wielkie pożary czy nawet wojny i podobne zdarzenia. Ponadto dostęp do przechowywanych danych przez osoby niepowołane,  jest bardzo  kontrolowany na wielu poziomach: od fizycznych zabezpieczeń budynków, systemów,  i  infrastruktury, aż do kompleksowych zabezpieczeń na poziomie oprogramowania. Wszystkie zagadnienia bezpieczeństwa są  regulowane przez procedury zgodnie z podstawową zasadą „minimum dostępów i uprawnień, jakie pracownik potrzebuje”,  wszystko jest szyfrowane i wielopoziomowo zabezpieczane.

W praktyce dystrybutorzy ubezpieczeń korzystają z systemu mieszanego: przechowują dane we własnej bazie odpowiednio zabezpieczonej oraz korzystają pośrednio z przechowywania danych w chmurach głównie za pośrednictwem ZU, nawet nie wiedząc o tym. W każdym przypadku agenci i OFWCA muszą przestrzegać regulacji dotyczących bezpieczeństwa danych i przechowywania danych w chmurach (wspomniane już wytyczne UKNF).

Ewolucja danych w świetle wzrastającej dominacji rozwiązań chmurowych

W najbliższych latach sytuacja będzie się jednak przechylała na korzyść chmur. Już dzisiaj widzimy, że od chmury nie mamy praktycznie ucieczki, bo większość nowych wersji oprogramowania — włącznie z najpopularniejszymi systemami operacyjnymi, (Windows, Apple, Android) – wykorzystuje rozwiązania chmurowe. Dziś już najbardziej podstawowe czynności w działalności agencji, (np. wysyłanie e-maili, gromadzenie kontaktów, przechowywanie wiadomości itd. ) wiąże się prawie w stu procentach przypadków z powierzaniem danych do jakiejś chmury: Google, Apple czy Microsoft. Wiele czynności administracyjno-archiwizacyjnych oraz ustawień konfiguracyjnych systemów itp./ jest niejako z „z automatu” zapisywane online. Zgodnie z wymogami prawa, wszystkie te stosowane chmury powinny być poddane analizie ryzyka w każdej agencji, a po jej pomyślnym przejściu, opracowaniu raportu bezpieczeństwa, powinny zostać zgłoszone do KNF. I to — obok ceny usług przechowywania w chmurach — jest największym problemem w niskim stosowaniu chmur do przechowywania danych w dystrybucji ubezpieczeń. Obecnych wymagań prawnych nie jest w stanie zrealizować ponad 90% agentów. I uważam, że jest to także praktycznie niepotrzebne. Jeśli dystrybutor ubezpieczeń nie zawiera własnej umowy o świadczenie usług na przechowywanie danych, a korzysta głównie z dostarczonych aplikacji i programów np. ZU, porównywarek, to cały ciężar sprawdzania i weryfikowania spraw bezpieczeństwa powinna spadać na głównego odbiorcę usługi i dostawcę. Oczywiście, stosowanie ogólnych zasad bezpieczeństwa danych w chmurach obowiązują bez wyjątku wszystkich.

Podsumowanie

Pewnym hamulcem w korzystaniu z chmur przez agentów są nieuzasadnione obawy agentów o przejęciu i wykorzystaniu bazy danych agenta przez konkurencje lub dla innych celów. Jest to jeszcze relikt z przeszłości, kiedy to wykradano bazy, „handlowano” adresami przez nieuczciwe podmioty. Obecnie jest to praktycznie niemożliwe, ponieważ wprowadzone przepisy RODO nałożyły na każdego posiadacza danych bardzo konkretne obowiązki. Po prostu nie wolno stosować danych osobowych bez odpowiedniej podstawy prawnej i poinformowania właściciela danych o podstawie ich stosowania. Jeśli otrzymamy jakieś dane, kupimy, lub zdobędziemy w inny sposób, to nie wolno nam ich stosować bez jasno określonej podstawy prawnej. Za nieprzestrzeganie tych zasad grożą nam konkretne kary wynikające z przepisów RODO.