Wprowadzenie do problemu / definicja luki
Departament Usług Finansowych stanu Nowy Jork (NYDFS) nałożył ponad 19 mln USD kar na ośmiu ubezpieczycieli komunikacyjnych za naruszenia stanowego rozporządzenia cyber (23 NYCRR Part 500). Słabe kontrole bezpieczeństwa w publicznie dostępnych aplikacjach do kalkulacji składek umożliwiły przestępcom dostęp do danych niepublicznych (m.in. numerów prawa jazdy i dat urodzenia) nowojorczyków. Sprawę szeroko opisał Insurance Journal.
W skrócie
- 8 firm (m.in. Farmers, Hartford, Liberty Mutual, State Auto) zgodziło się na kary pieniężne – łącznie ponad 19 mln USD.
- NYDFS potwierdził, iż wektorem były naruszenia w narzędziach do wyceny polis online oraz portalach agencyjnych.
- To kolejny krok po głośnych ugodach z 2024 r. (GEICO, Travelers – razem 11,3 mln USD) oraz po licznych wcześniejszych „consent orders”.
- Podstawą prawną pozostaje rozporządzenie 23 NYCRR Part 500 – zestaw wymagań cyber dla instytucji finansowych i ubezpieczycieli.
Kontekst / historia / powiązania
NYDFS prowadzi konsekwentne egzekwowanie Part 500 od 2017 r., a ostatnie zmiany i wytyczne (m.in. dotyczące AI i ryzyk stron trzecich) zaostrzają oczekiwania wobec „Covered Entities”. W 2024 r. stan ukarał GEICO i Travelers za podobne incydenty, gdzie atakujący pozyskiwali numery praw jazdy przez narzędzia do wyceny i wykorzystywali je w oszustwach (np. świadczenia z tytułu bezrobocia). W 2025 r. widzimy eskalację – pakiet kar obejmuje już ośmiu ubezpieczycieli.
Analiza techniczna / szczegóły luki
Z komunikatów regulatora i relacji branżowych wynika, iż najważniejsze słabości dotyczyły:
- Public-facing web apps (kalkulatory składki, portale agentów) – niewystarczające zabezpieczenia przed automatyzacją i enumeracją danych (np. brak skutecznego rate limiting, nieadekwatne CAPTCHA, brak detekcji anomalii).
- Kontrola dostępu i uwierzytelnianie – w niektórych przypadkach atakujący wykorzystywali skradzione poświadczenia lub błędy logiki aplikacji, by pobierać NPI (nonpublic information).
- Niedojrzałe TPRM (third-party risk management) i testy bezpieczeństwa – narzędzia wyceny często bazują na usługach zewnętrznych; Part 500 wymaga formalnych ocen ryzyka, testów i monitoringu.
Regulacja 23 NYCRR Part 500 wprost nakazuje m.in.: program cyber oparty na ocenie ryzyka, MFA, szyfrowanie NPI, testy (penetracyjne, w tym vulnerability assessments), plan IR, raportowanie incydentów i nadzór senior managementu/CISO.
Praktyczne konsekwencje / ryzyko
- Finanse i rezerwy: kary administracyjne to koszt natychmiastowy; ryzyko roszczeń klientów i postępowań grupowych może eskalować łączny koszt incydentów.
- Zgodność i nadzór: NYDFS pokazał, iż narzędzia konsumenckie i agencyjne są na celowniku – brak „kompletnej” zgodności z Part 500 będzie sankcjonowany.
- Ryzyko dla klientów: dane z prawa jazdy + data urodzenia to „zestaw startowy” do fraudów tożsamościowych (np. zasiłki, linie kredytowe), co potwierdza historia GEICO/Travelers.
Rekomendacje operacyjne / co zrobić teraz
Dla ubezpieczycieli, MGA i insurtechów:
- Hardening aplikacji wyceny: włączenie bot management (risk-based), dynamicznych CAPTCHA, adresowania „IDOR/BOLA”, twarde rate limiting i tarcza przed „credential stuffing”.
- MFA wszędzie, gdzie jest NPI (w tym portale agentów + ograniczenia dostępu kontekstowego).
- Data minimization: nie udostępniaj numerów praw jazdy/DoB w plaintext; tokenize/masquerade wyniki zapytań; wprowadź „progressive disclosure”.
- Proaktywne testy: pentesty skupione na logice biznesowej i scenariuszach „bulk enumeration”, testy anty-automatyzacyjne; chaos engineering dla warstw rate-limit.
- Monitoring i telemetria: UEBA/behavioral analytics + alerty na anomalię pobrań danych (np. nienaturalne wzorce zapytań).
- TPRM: dowody zgodności dostawców z Part 500 (MFA, szyfrowanie, logging, IR), prawo do audytu, testy red-team na integracjach.
- Procedury IR i notyfikacji zgodne z Part 500 (timing, zakres raportowania), tabletopy z udziałem prawników i PR.
- Secure SDLC: SAST/DAST + testy manualne „business logic abuse”, wymuszaj security gates przed deployem.
Dla agentów i brokerów:
- Wymagaj od dostawców narzędzi wyceny MFA, logów niezmienialnych i raportów z testów; egzekwuj klauzule bezpieczeństwa w umowach.
Dla klientów/posiadaczy polis:
- Włącz monitoring kredytowy i alerty tożsamości (zamrożenie raportu kredytowego, alerty 2FA w DMV/urzędu).
- Zmieniaj hasła w serwisach powiązanych; ostrożnie podchodź do phishingu „na ubezpieczyciela”.
Różnice / porównania z innymi przypadkami
Sprawy z 2024 r. (GEICO, Travelers) dotyczyły mniejszej liczby podmiotów i skoncentrowanych incydentów; aktualne działanie NYDFS to zbiorczy pakiet wobec ośmiu firm, co sygnalizuje wzorzec ryzyka w całym segmencie kalkulatorów online i zaostrzenie egzekwowania Part 500. Dodatkowo agencje stanowe publikowały wytyczne dot. nowych ryzyk (np. AI), które podnoszą poprzeczkę kontroli – firmy, które nie zaktualizowały programów cyber, będą narażone na podobne kary.
Podsumowanie / najważniejsze wnioski
- Publiczne narzędzia wyceny to krytyczny punkt ekspozycji dla ubezpieczycieli – muszą być traktowane jak systemy wysokiego ryzyka.
- Part 500 pozostaje ostrym narzędziem egzekucji – regulator wymaga realnej, a nie deklaratywnej zgodności.
- Inwestycje w bot mitigation, kontrolę dostępu, telemetrię i TPRM obniżają ryzyko kar i szkód wizerunkowych.
- Branża powinna przyjąć standard „least data, least exposure” w całym łańcuchu wyceny i sprzedaży.
Źródła / bibliografia
- Insurance Journal: „8 Auto Insurance Providers to Pay $19M Over Data Breaches”, 3 listopada 2025. (Insurance Journal)
- NYDFS – komunikat prasowy: „Superintendent Harris Secures More than $19 Million…”, 14 października 2025. (dfs.ny.gov)
- Biuro Prokurator Generalnej NY – komunikat ws. GEICO/Travelers (11,3 mln USD), 25 listopada 2024. (dfs.ny.gov)
- 23 NYCRR Part 500 – tekst rozporządzenia (PDF). (Governor Kathy Hochul)
- Reuters – tło ws. kar dla GEICO/Travelers (2024) i działań NYDFS. (Reuters)
