Jak zabezpieczono Everest

PZU wdraża system Everest, który docelowo zastąpi dotychczas wykorzystywany system Insurer. Wdrożenie prowadzono w metodyce Agile, przy czym integralną częścią systemu było zapewnienie bezpieczeństwa nowej aplikacji.

Poprzedni system wyewoluował z rozwiązania oddziałowego do rejestracji zdarzeń księgowych i polis. Był to stary system, który był napisany w przestarzałej architekturze i nieefektywny, a jego czas życia dobiegł końca razem ze zmianą modelu biznesowego PZU S.A. Nowy system korzysta z nowoczesnej architektury baz danych, serwerów aplikacyjnych oraz front-endu webowego. Wdrożenie prowadzono w metodyce Agile, a jednym z najważniejszych procesów było zapewnienie bezpieczeństwa. Dzięki temu udało się uniknąć dużych problemów, usuwając poważne przeciwności na wczesnym etapie projektu.

Przemysław Henschke, CIO i członek zarządu PZU Życie S.A. mówi: „Pierwszy raz miałem do czynienia z projektem Agile na taką skalę – zespół ma do 400 osób. Zgodnie z założeniami Agile'a testy integracyjne, wydajnościowe i bezpieczeństwa robiliśmy już od wczesnych sprintów, a zatem o niektórych problemach wiedzieliśmy bardzo wcześnie. Problemy głównie antycypowaliśmy – spodziewaliśmy się błędów w oprogramowaniu, niezgodności integracyjnych, niedostatków wydajnościowych. To wszystko wystąpiło, ale wykryliśmy problemy na wczesnym etapie i wiedzieliśmy, że pewne elementy nie są tak dobre, jak byśmy chcieli. Bazując na doświadczeniach, uważam, że warto jak najwcześniej w cyklu produktu wprowadzić wszystko, co się nazywa zapewnieniem jakości – w tym także zaawansowane testy bezpieczeństwa i badania wydajności”.

Zobacz również:

Zdrowy rozsądek przede wszystkim

Bardzo wiele problemów udało się ominąć dzięki działaniom, które można nazwać zdroworozsądkowymi. Na przykład sam proces przetargowy był sformalizowany i konserwatywne podejście się sprawdziło.

Przemysław Henschke wyjaśnia: „Na co dzień działamy w sposób sformalizowany i tak samo podeszliśmy do tego przetargu. Postawiliśmy ścisłe wymagania i założenia odnośnie do interakcji z dostawcami. Proces ten był dokładny w szczegółach i oparty na najlepszych wzorcach. Cena nie była jedynym argumentem przy rozstrzyganiu przetargu. Zdrowy rozsądek nakazywał zapewnienie bieżącego bezpieczeństwa projektu. Zabezpieczyliśmy dokumentację, sprzęt i pomieszczenia, gdzie pracowali specjaliści. Kontrolowaliśmy czy dokumentacja nie jest kopiowana, wynoszona, w tym celu wdrożyliśmy specjalny system DLP. W tym samym czasie stworzyliśmy odpowiedni dział bezpieczeństwa IT, który współdziałał z oficerem bezpieczeństwa firmy, a rozwiązania zastosowane dla Everesta zostały potem użyte w innych miejscach firmy. W porównaniu do dawnego IT to był prawdziwy skok jakościowy”.

Usprawnienia i zabezpieczenia

Podczas wdrożenia wielokrotnie analizowano dostępną funkcjonalność także pod kątem bezpieczeństwa i w kilku przypadkach wprowadzono dość znaczące zmiany. Jedną z nich było uzależnienie wyświetlanych informacji od poziomu dostępu względem danego klienta. O tej zmianie Przemysław Henschke mówi: „Chcieliśmy, by system pozwalał na różny dostęp do konkretnych danych klienta, zależnie od tego, czy zalogowany jest agent, jego szef lub kolega, który chce istniejącemu klientowi sprzedać nowy produkt. Musieliśmy wprowadzić dobre zabezpieczenia danych klientów przed wyciekiem. To były bardzo poważne zmiany, ale wprowadziliśmy je na samym początku projektu i dokładnie testowaliśmy w trakcie wdrożenia”.

Przy wdrażaniu systemu należało opracować i wdrożyć zabezpieczenia przed niepożądanymi akcjami ze strony pracowników wewnątrz, a także przed atakami z zewnątrz. To jest system dostępny z Internetu, a zatem należało podjąć odpowiednie środki zaradcze, w tym sieciowe zapory aplikacyjne. Nie są to jednak jedyne zabezpieczenia. Równie ważne są opcje wbudowane w samą aplikację. Były one od razu wprowadzane na każdym poziomie – od poziomu baz danych i systemów operacyjnych, przez poziom funkcjonalny aplikacji, aż do najwyższej klasy zapór sieciowych, chroniących komunikację na styku front-endu z Internetem.

Nawet tak zaawansowany projekt miał swoją słabą stronę, a było nim złośliwe oprogramowanie na obcym komputerze. Przemysław Henschke wyjaśnia: „Jedną z nieprzyjemnych niespodzianek w dziedzinie bezpieczeństwa sprawiło nam złośliwe oprogramowanie na komputerze agenta. Malware próbował podmienić rachunek, na który miały przychodzić składki. Wykryliśmy atak, podjęliśmy kroki zaradcze i teraz jesteśmy zabezpieczeni na podobne ataki. Sytuacja nie jest prosta, my niestety nie mamy kontroli nad komputerami partnerów czy agentów. To jest jedno z zagrożeń, spodziewamy się jeszcze innych. Mamy otwarty duży projekt, nad którym ciągle pracujemy” - dodaje.

Bezpieczeństwo to proces i ludzie

Oprócz zabezpieczeń technicznych w aplikacji niezbędne było także przeprowadzenie odpowiednich szkoleń, by uniknąć znanych problemów. Zagrożenie atakami z elementami socjotechniki jest dość duże i niezbędne były szkolenia. Pracownicy często chcą pomóc klientowi albo współpracownikom i robią rzeczy, które z punktu widzenia bezpieczeństwa nie są całkowicie poprawne i mogą być wykorzystane przez napastnika. Przemysław Henschke informuje: „zorientowaliśmy się, że potrzebujemy zwracać więcej uwagi na ludzi. Prowadziliśmy kilka akcji uświadamiających, w których informowaliśmy o ryzyku związanym z działaniami takimi jak otwieranie załączników z nieznanych wiadomości. Niestety stwierdziliśmy, że niektórzy pracownicy nadal dali się złapać na ostatnio popularny spam: maile zawierające złośliwe oprogramowanie, udające faktury od znanych dostawców. Oznacza to, że musimy jeszcze lepiej zadbać o świadomość pracowników. Pracujemy nad tym w dwóch działach – bezpieczeństwo IT, a także bezpieczeństwo ogólne, w skali firmy. Oba działy ze sobą ściśle współpracują”.