„Dane o naszych relacjach z klientami, ich tożsamości i sytuacji finansowej stały się we współczesnym świecie niezwykle wrażliwe. O ich bezpieczeństwo trzeba dbać za wszelką cenę, a klientów informować o procedurach chroniących poufność przy każdej okazji. W sposób szczególny dbamy o przepływ informacji poprzez naszą stronę internetową, tak, aby dyskrecja współpracy z nami była w pełni zagwarantowana. Wprowadzamy najbardziej wyśrubowane standardy ochrony systemów informatycznych wyznaczanych przez polskie, europejskie i światowe regulacje.”
Do kwestii bezpieczeństwa informatycznego Grupa PZU podchodzi z ogromną uwagą. W firmie funkcjonuje i jest rozwijany wielowarstwowy system ochrony przeciw zagrożeniom cyberbezpieczeństwa. W niektórych spółkach wdrażane są dodatkowo wewnętrzne procedury, np. w spółkach Pekao Faktoring, Medica i REVIMED obowiązuje Procedura zarządzania bezpieczeństwem procesów IT.
W 2018 roku uruchomiono specjalną platformę szkoleniową GoPhish, która w przystępny sposób wyjaśnia zagrożenia płynące m.in. z wiadomości zawierających złośliwe elementy oraz nakłaniających do otwarcia podejrzanych stron. W 2019 roku szkolenia kontynuowano.
ok 25 tys. potencjalnych infekcji
ponad 198 mln prób połączenia w celu wysłania złośliwych wiadomości e-mail
ponad 882 tys. ataków wysokiego ryzyka
odwołania do ponad 8,5 mln niebezpiecznych zasobów
Dodatkowo:
zablokowano ponad 2,3 mln złośliwych wiadomości e-mail
40 tys. przeprowadzonych analiz
zaopiniowano 599 inicjatyw
przeprowadzono 183 manualne testy bezpieczeństwa
wykryto 300 tys. podatności na zagrożenia, w tym 28 tys. krytycznych
W przyszłości planowane jest dalsze rozwijanie systemów ochrony, m.in. wdrożenie produkcyjne systemu IPS, automatyzacja procesów SOC przez zakup systemu typu SOAR (Security Orchestration Automation and Response), przegląd rynku pod kątem narzędzi do analizy statycznej i dynamicznej kodu, rozbudowa już istniejących i zakupionych narzędzi bezpieczeństwa (np. PIM, VA, EDR), a także przeprowadzenie następnych kampanii antyphishingowych i innych form edukacji pracowników i agentów PZU.
Przeprowadzono cztery kampanie szkoleniowe polegające na tym, że pracownikom, którzy nieopatrznie otworzyli link do spreparowanych wiadomości, wyświetlał się film szkoleniowy Biura Bezpieczeństwa z informacją, jak unikać takich zagrożeń w przyszłości. Dodatkowo pracownicy mieli możliwość uczestniczenia w szeregu szkoleń, warsztatów i konferencji oraz pozyskania nowych certyfikacji (SANS GMON, Certified Information Security Manager – CISM).
Zgodnie z opublikowanymi danymi istnieje konieczność ciągłego prowadzenia kampanii antyphishingowych. Spośród osób, które zainteresowała treść e-maila, aż 88% kliknęło w podany link, a 67% podało swoje dane do logowania.
W 2019 roku przeprowadzono:
CyberSec – konferencje poświęcone cyberbezpieczeństwu
Celem wydarzeń jest budowanie świadomości ryzyka i kosztów związanych z zagrożeniami występującymi w sieci, w epoce przyspieszającej transformacji cyfrowej oraz rewolucji technologicznej, która zmienia funkcjonowanie wszystkich gałęzi gospodarki i obszarów życia obywateli. Incydenty związane z bezpieczeństwem grożą utratą zaufania klientów, a z drugiej strony odpowiednie zaadresowanie tego problemu może dać przewagę konkurencyjną.
PZU, jako doświadczony podmiot sektora finansowego, podchodzi do innowacji w szczególny sposób, uwzględniając kwestie bezpieczeństwa i zaufania.
PZU wspiera co roku organizacyjnie oraz merytorycznie konferencje poświęcone cyberbezpieczeństwu, organizowane przez Stowarzyszenie Instytut Kościuszki.
W 2019 roku były to konferencje:
W ramach tych konferencji odbyły się panele dyskusyjne, które skupiały się m.in. na takich zagadnieniach, jak: obrona cyfrowych demokracji, obrona antydronowa, bezpieczeństwo IIoT, cyfrowa transformacja usług finansowych, zagrożenia wynikające ze stosowania sztucznej inteligencji, wsparcie procesu tworzenia europejskiego systemu cyberbezpieczeństwa czy budowanie świadomości zagrożeń wśród rządów, organizacji międzynarodowych oraz kluczowych podmiotów sektora prywatnego.
W trakcie wydarzenia w Katowicach podpisana została deklaracja przedstawiająca w 10 punktach rekomendacje w kwestii zabezpieczenia światowego cyfrowego DNA. W merytorycznych dyskusjach brali udział przedstawiciele PZU.
W spółkach PZU oraz Grupy Pekao, a także w kilku spółkach zagranicznych wdrożono procedury zarządzania bezpieczeństwem procesów informatycznych. W Grupie PZU Zdrowie w tym obszarze zaimplementowano pakiet regulacji dotyczących przetwarzania danych osobowych, w tym polityki bezpieczeństwa zawierające wymagania dotyczące procesów IT. Z kolei w PTE PZU wprowadzono wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w powszechnych towarzystwach emerytalnych wydane przez KNF.
W 2019 roku w całej Grupie PZU odnotowano 3 705 przypadków incydentów w zakresie wycieku danych osobowych, z czego 1 632 w LINK4, 1 368 w PZU, 387 w PZU Życie, 95 przypadków w Grupie Pekao, 71 w Grupie Alior, 42 w Grupie PZU Zdrowie, 70 przypadków wycieku danych w spółkach zagranicznych oraz 40 w pozostałych spółkach Grupy. W 2018 roku w spółkach Grupy PZU zarejestrowano 678 incydentów w zakresie udostępnienia danych bez zgody podmiotu. Z tego 613 przypadków miało miejsce w LINK4, 27 w Grupie Alior, 5 w Grupie PZU Zdrowie, 2 W Grupie Pekao, 28 w spółkach zagranicznych, 2 w PZU Życie i 1 przypadek w PZU SA. Incydenty dotyczyły ujawnienia danych osobowych i danych objętych tajemnicą bankową lub ubezpieczeniową osobom nieuprawnionym. Związane były z przesłaniem korespondencji e-mailowej na niewłaściwy adres do osób nieuprawnionych i w większości wynikały z błędów ludzkich. Poziom zgłoszeń w LINK4 wynika z charakteru tego kanału sprzedaży – kanał direct oparty jest na danych osobowych przekazywanych przez klientów – liczne incydenty były związane z błędami w podanych przez klientów adresach mailowych. Wzrost ilości naruszeń w LINK4 w porównaniu do poprzedniego roku wynikał z większej świadomości pracowników i świadczy o skuteczności szkoleń z zakresu ochrony danych osobowych.
W 2018 roku do PZU oraz PZU Życie zostały złożone trzy skargi przez podmioty zewnętrzne. Skargi dotyczyły udostępnienia danych bez zgody podmiotu i zostały uznane przez organizację. W 2019 roku do PZU złożono łącznie 8 skarg od podmiotów zewnętrznych, natomiast do PZU Życie wpłynęły 3 skargi od podmiotów zewnętrznych. Wszystkie incydenty zostały poddane analizie, co pozwoli na udoskonalenie procesów. W ramach prowadzenia wewnętrznego postępowania wyjaśniającego w PZU potwierdzono 3 przypadki udostępnienia danych bez zgody podmiotu w których doszło do udostępnienia danych osobie trzeciej.
Wdrażanie i sprzedaż produktów oraz dostosowywanie oferty do zmieniających się potrzeb klientów stanowi ogromne wyzwanie dla systemów informatycznych Grupy. Aby zmiany przebiegały płynnie i nie zakłócały obsługi klientów, w organizacji wypracowano powtarzalną procedurę informatyczną zakładającą szeroki wybór testów i sposobów weryfikacji. Procedura gwarantuje wczesne wykrywanie zagrożeń i ewentualnych problemów oraz odpowiednie zarządzanie nimi.