Cykl: Ryzyko w ubezpieczeniach spółek IT – cz. 1

23.11.2021

uwierzytelnianie dwuskładnikowe

Rosnące wymagania ubezpieczycieli – uwierzytelnianie wieloskładnikowe

 

Chcielibyśmy zaprosić Państwa to śledzenia naszej serii publikacji związanych z ryzykiem ubezpieczeniowym w branży IT. Publikacje będą oparte na case studies, z którymi mieliśmy do czynienia w ostatnich miesiącach, zatem nie będzie to tylko wiedza teoretyczna, lecz wynikająca z codziennej praktyki zawodowej. Opisywane przypadki dotyczą poszukiwania przez nas ofert ubezpieczeń OC zawodowych oraz ubezpieczeń od ryzyk cybernetycznych (Cyber) dla spółek IT. W tej branży pewne elementy ww. ubezpieczeń takie jak „network security liability” oraz „privacy liability” przenikają się nawzajem.

Pierwszy przypadek dotyczy rosnących wymagań ubezpieczycieli w zakresie zabezpieczeń zdalnego dostępu do własnego oprogramowania oraz własnych systemów – zarówno tych opartych na chmurze, jak i „on premise”.

Rosnąca ilość ataków hackerskich przekłada się wprost proporcjonalnie na zwiększone ryzyko powstania szkody i wypłaty odszkodowania z ubezpieczenia OC zawodowego oraz ubezpieczenia Cyber. Większość ubezpieczycieli zareagowała na to podniesieniem składek. Jednakże ubezpieczyciele, w przypadku których skala ubezpieczeń, o których mowa powyżej, jest znacząca, nie mogą sobie pozwolić na bezpodstawne zwiększanie składek. W związku z tym starają się ograniczyć ryzyko poprzez określenie największych zagrożeń po stronie klienta i wprowadzenie odpowiednich narzędzi mających ograniczyć możliwość wystąpienia szkody.

Jak się okazuje, jednym z najsłabszych elementów jeśli chodzi o zabezpieczenia są zdalne dostępy do własnego oprogramowania i systemów – zarówno chmurowych, jak i lokalnych. Podczas ataków hackerzy wykorzystują obniżony poziom zabezpieczeń zdalnego dostępu do danego oprogramowania, po czym zdobywają dostęp do sieci organizacji (delivery), poruszają się po niej w celu uzyskania większej liczby informacji (lateral movement), a na końcu wydobywają interesujące ich dane (data exfiltration) i dokonują ich zaszyfrowania lub publikacji.

Jeden z ubezpieczycieli zwrócił na to szczególną uwagę i uzależnił możliwość zawarcia ubezpieczenia od posiadania wieloskładnikowego uwierzytelniania (MFA lub minimum 2FA) dla każdego oprogramowania lub systemu, posiadającego możliwość zdalnego logowania.

Jak się później okazało, nasz klient miał na tyle rozbudowaną własną infrastrukturę, że nie był w stanie zapewnić odpowiedniego poziomu zabezpieczeń dla swoich wszystkich systemów. Oferta ubezpieczyciela pozostawała zatem ważna, ale możliwość wystawienia polisy była zablokowana. Pozostałe oferty nie były brane pod uwagę – zakresy ochrony były znacznie węższe, a składki wyższe o ponad 50%.

Po wielu rozmowach przeprowadzonych z ubezpieczycielem udało się doprowadzić do kompromisu. Rozwiązanie okazało się dość proste: każdy użytkownik mógł dokonać zdalnego połączenia z oprogramowaniem i systemami po wcześniejszym połączeniu się poprzez VPN, który z kolei wymagał 2FA. Klient mógł wprowadzić takie rozwiązanie bardzo szybko i bez angażowania dużych nakładów finansowych, dzięki czemu ubezpieczyciel wystawił ostatecznie polisę.