Cyberbezpieczeństwo

Środki bezpieczeństwa zapobiegające utracie i wyciekowi danych w systemach i urządzeniach końcowych PZU tworzą rozbudowany i wielowarstwowy system.

W 2025 roku PZU wdrożył innowacyjny system wczesnego wykrywania cyberzagrożeń. Rozwiązanie to pozwala zespołom ds. cyberbezpieczeństwa PZU przyspieszyć identyfikację potencjalnych incydentów i skutecznie na nie reagować. Przedsięwzięcie jest realizowane we współpracy z polskim startupem Riffsec. System wczesnego ostrzegania o cyberzagrożeniach Riffsec monitoruje internet, deep web i darknet pod kątem wykrywania naruszenia danych – od wycieków loginów i haseł po incydenty związane z marką. Zbierane przez Riffsec dla PZU informacje obejmują m.in. sytuacje potencjalnie zagrażające poufności danych (w tym loginów i haseł), monitoring rozmów cyberprzestępców na temat PZU czy monitoring rejestracji domen podobnych do PZU. Platforma przypomina też o opłacaniu domen i certyfikatów SSL ubezpieczyciela. Eksperci PZU mają także stały dostęp do informacji o nowych atakach na inne organizacje, jak również o najnowszych wirusach i typach oszustw wykorzystywanych przez cyberprzestępców.

Dodatkowo PZU prowadził działania obejmujące m.in. tematyczne szkolenia dla pracowników, zarówno wdrożeniowe, jak i odświeżające, które poruszały kluczowe zagadnienia dotyczące ochrony danych, cyberbezpieczeństwa i przeciwdziałania przestępczości. Szczególną wagę PZU przywiązuje do podnoszenia świadomości pracowników przez kampanie edukacyjne oraz spotkania z ekspertami, które koncentrowały się na tematach bezpieczeństwa informacji i zagrożeń, takich jak dezinformacja. W 2025 roku wewnętrzne materiały informacyjne publikowano w intranecie, a eksperci prowadzili cykliczne spotkania online. W 2025 roku PZU włączyło się jako partner w kampanię Scamming Out! redakcji Pulsu Biznesu i Bankier.pl, której celem było budowanie świadomości społecznej na temat cyberbezpieczeństwa.

W Link4 publikowano w intranecie wewnętrzne materiały informacyjne, a wiedza pracowników w zakresie cyberzagrożeń była sprawdzana przez cykliczne testy phishingowe.

Zespół Cyberbezpieczeństwa w PZU Zdrowie przeprowadził program szkoleń dla pracowników spółki oraz spółek zależnych, którego celem było podniesienie świadomości pracowników w obszarze cyberzagrożeń. Szkolenia miały charakter praktyczny i angażujący, a ich kluczowe elementy obejmowały:

• prezentację rzeczywistych scenariuszy zagrożeń – uczestnicy poznali najczęściej występujące metody ataków, takie jak phishing, socjotechnika czy próby przejęcia kont, wraz z omówieniem ich skutków w środowisku biznesowym i prywatnym;
• pokazy technik hakerskich na żywo – szkolenia zawierały demonstracje rzeczywistych metod wykorzystywanych przez cyberprzestępców, w tym przełamywania haseł, ataków na aplikacje webowe oraz wykorzystania podatności w systemach. Dzięki temu uczestnicy mogli zobaczyć, jak łatwo nieświadome działanie może prowadzić do kompromitacji danych;
• omówienie najlepszych praktyk bezpieczeństwa – przedstawiono konkretne sposoby zabezpieczania kont, urządzeń i danych, a także procedury reagowania na podejrzane zdarzenia w pracy i w życiu prywatnym;
• interaktywne ćwiczenia i dyskusje – uczestnicy mieli możliwość zadawania pytań, analizowania przypadków oraz udziału w symulacjach, które pozwoliły przećwiczyć właściwe reakcje w sytuacjach kryzysowych.

Program szkoleń został zaprojektowany tak, aby nie tylko przekazać wiedzę teoretyczną, ale również uświadomić pracownikom realne ryzyka i nauczyć ich praktycznych sposobów ochrony przed zagrożeniami.

W TUW PZUW wysyłane były informacyjne newslettery, których celem jest poszerzanie wiedzy pracowników w zakresie bezpieczeństwa informacji i cyberataków. W 2025 roku TUW PZUW zorganizował Cyber Day, podczas którego przeprowadzono szkolenia dla pracowników dotyczące cyberataków oraz bezpieczeństwa informacji. Przez cały dzień pracownicy i współpracownicy mieli okazję porozmawiać z ekspertami w zakresie cyberbezpieczeństwa.

W 2025 roku BALTA włączyła zagadnienia związane z cyberbezpieczeństwem do procesu onboardingu nowych pracowników w ramach obowiązkowego programu szkoleniowego. Po dołączeniu do firmy każdy pracownik jest zobowiązany do zapoznania się z Polityką Przetwarzania Informacji i Zasadami Dopuszczalnego Użytkowania oraz do ukończenia testu wiedzy z tego zakresu.

W ramach Grupy PZU istotnym elementem są również działania podejmowane przez Grupę Pekao oraz Grupę Alior, które koncentrowały się na ochronie systemów informatycznych oraz edukacji pracowników i klientów.

Grupa Pekao w ramach realizacji Strategii Bezpieczeństwa Teleinformatycznego na lata 2025-2027 podejmuje działania mające na celu zwiększenie bezpieczeństwa klientów w zakresie ochrony danych osobowych. Wprowadzane są rozwiązania wspierające bezpieczne korzystanie z usług bankowych, w tym mechanizmy weryfikacji tożsamości oraz zabezpieczenia komunikacji z klientem. Przykładem jest rozwój funkcji wspierających identyfikację pracownika i klienta w aplikacjach mobilnych, co znacząco zwiększa bezpieczeństwo kontaktów telefonicznych z klientami oraz minimalizuje ryzyko utraty środków przez klientów w wyniku oszustw. Grupa Pekao prowadzi również działania edukacyjne i komunikacyjne w obszarze cyberbezpieczeństwa, w tym kampanie informacyjne oraz szkolenia dla klientów i pracowników. W zakresie zwiększania świadomości na temat cyberbezpieczeństwa realizowany jest program edukacyjny cyberPEKAO, który promuje wiedzę o cyberbezpieczeństwie poprzez szkolenia, webinaria i warsztaty dla różnych grup społecznych. Bank organizuje wydarzenia branżowe, takie jak Dni Cyberbezpieczeństwa w Oddziałach Banku oraz Akademia cyberPEKAO – konferencja dla klientów i pracowników. Ważnym elementem jest również współpraca z portalem CyberDefence24, poruszającym problematykę cyberbezpieczeństwa, na którym jest prowadzona dedykowana strefa Banku. Dodatkowo we współpracy z redakcją portalu opublikowano komiks o cyberbezpieczeństwie dla dzieci. Uruchomiono również ogólnopolską kampanię edukacyjną ,,cyberPEKAO – znak, który chroni’’.

W Grupie Alior w 2025 roku funkcjonowały narzędzia szacowania ryzyk związanych z cyberbezpieczeństwem oraz procedury zapewniające wczesne wykrywanie zagrożeń i właściwe nimi zarządzanie. Spółka opracowała również plany reagowania na incydenty informatyczne w sposób minimalizujący wpływ cyberataków na usługi krytyczne/kluczowe i zapobiegający kradzieży tożsamości. Wszystkie krytyczne i kluczowe systemy informatyczne, które przetwarzają dane klientów oraz uczestniczą w realizacji transakcji finansowych, poddawane są dogłębnym testom bezpieczeństwa. Grupa Alior przeprowadza także automatyczne testy podatności na cyberataki. Ich wyniki dostarczają kompleksowych informacji o stanie bezpieczeństwa środowiska IT i pozwalają na systematyczne ograniczanie ryzyka. Dodatkowo zespół specjalistów prowadzi całodobowy monitoring bezpieczeństwa infrastruktury bankowej oraz bezpieczeństwa transakcji klientów. Wszyscy pracownicy banku regularnie uczestniczą w obowiązkowych szkoleniach podnoszących świadomość zagrożeń w obszarze bezpieczeństwa IT. Szkolenia kończące się testem wiedzy są również obowiązkowe dla każdej osoby rozpoczynającej pracę w organizacji. Bank dba również o podnoszenie świadomości klientów w zakresie bezpieczeństwa IT. Materiały dotyczące zagrożeń są regularnie publikowane na stronie internetowej banku, w mediach społecznościowych, newsletterach oraz w aplikacji mobilnej. Grupa Alior uruchomiła także specjalną stronę dotyczącą cyberbezpieczeństwa „Phishing-Stop”.

Grupa PZU inwestuje w rozwój i modernizację swoich systemów bezpieczeństwa IT. Regularnie przeprowadzane audyty i testy podatności pozwalają Grupie PZU na wczesne wykrywanie i eliminowanie zagrożeń. Cyberbezpieczeństwo jest nieprzerwanie traktowane przez Grupę PZU jako kluczowy element strategii, obejmujący zarówno centralne struktury, jak i poszczególne podmioty zależne.

W 2025 roku PZU wdrożył rozporządzenie DORA. Unijne rozporządzenie mające na celu wzmocnienie odporności operacyjnej instytucji finansowych na zagrożenia cyfrowe i cyberataki przez wprowadzenie jednolitych standardów bezpieczeństwa IT w całej Unii Europejskiej. PZU wdrożył odpowiednie procedury oraz udostępnił wszystkim pracownikom szkolenie e-learningowe.