Przeprowadzka, zastosowanie nowocześniejszego systemu operacyjnego, a przede wszystkim wzmożona rotacja kadr informatycznych skłoniły Bank Austria Creditanstalt Poland SA do wprowadzenia kompleksowej polityki bezpieczeństwa. Jej elementem stały się m.in. standaryzacja procedur administracyjnych i konfiguracji systemów.

Działalność współczesnych banków w coraz mniejszym stopniu polega na obrocie gotówką. W czasach, w których nabierają wartości informacje o klientach, transakcjach, bieżącej sytuacji na rynkach, blokady techniczne i pisemne procedury nie rozwiązują problemu bezpieczeństwa. Newralgicznym punktem są ludzie - pracownicy banku. Mając to na uwadze, Bank Austria Creditanstalt Poland SA przystąpił do opracowania kompleksowej polityki bezpieczeństwa.

Bankowe wymagania

Potrzeba wprowadzenia kompleksowego systemu bezpieczeństwa zrodziła się w Banku Austria Creditanstalt (BA/CA) po migracji systemów biurowych z Windows 3.11 do Windows NT 4.0. W procesie tym brało udział wiele osób, w wyniku czego konfiguracje zarówno serwerów, jak i stacji roboczych istotnie się różniły. Ponadto proces migracji zbiegł się w czasie z przeprowadzką centrali banku oraz jednego z głównych jego oddziałów do nowej siedziby, jak również ze wzmożoną fluktuacją kadr informatycznych, co spowodowało utratę wiedzy o istniejących systemach i kompetencji pracowników odpowiedzialnych za ich utrzymanie.

Zarząd banku postanowił uzdrowić sytuację, w której brak spójnej kontroli nad zasobami informatycznymi banku i ich bezpieczeństwem. Stwierdzono jednak, że do opracowania i wdrożenia całościowej polityki bezpieczeństwa systemów informatycznych potrzebna będzie kompetentna pomoc. Do tego celu wybrano w drodze przetargu warszawską firmę Orion Instruments Polska, Oddział Security Net. "Warunki przetargu przewidywały, że firma zewnętrzna musi wdrożyć rozwiązania bezpieczeństwa bez istotnej ingerencji w istniejące systemy. Wymagaliśmy ponadto, aby wprowadzane zmiany nie ograniczały przyszłego rozwoju posiadanych przez bank systemów" - mówi Piotr Królikowski, dyrektor Departamentu Organizacyjno-Technicznego w Ban- ku Austria Creditanstalt Poland SA. "Dodatkowym warunkiem było dostarczenie rozwiązania przyjaznego użytkownikowi, które nie stwarzałoby pokus do obchodzenia przyjętych ograniczeń" - dodaje.

Co tydzień o bezpieczeństwie

Wstępny etap projektu polegał na zapoznaniu się z warunkami i zwyczajami pracy w banku oraz określeniu wzajemnych oczekiwań. Pracownicy Orion Instruments przeprowadzili szczegółowy audyt, mający na celu zapoznanie się z istniejącymi zabezpieczeniami systemów informatycznych oraz zachowaniami pracowników - zarówno użytkowników, jak i administratorów. Efektem prac był liczący ponad 2500 stron dokument, zawierający szczegółowy opis luk w systemie bezpieczeństwa oraz ich stanu, a w części podsumowującej - także wnioski i zalecenia. Dopiero na tym etapie uzgodniono ostateczny zakres prac i dokumentacji oraz harmonogram projektu. Następnie pracownicy Orion Instruments stworzyli wstępne wersje dokumentów składających się na politykę bezpieczeństwa, przekazując je później do konsultacji delegowanym do koordynacji projektu pracownikom Wydziału Informatyki.

"Podczas projektu co tydzień spotykaliśmy się z przedstawicielami banku, aby omówić bieżący postęp prac" - mówi Krzysztof Kleszyński, koordynator projektu ze strony Orion Instruments Security Net. W trakcie prac powstało kilkadziesiąt dokumentów, zawierających m.in. ogólne wytyczne w zakre- sie polityki bezpieczeństwa, założenia bezpiecznej pracy poszczególnych systemów, usług i serwerów, założenia i metody kontroli dostępu, ochrony anty- wirusowej i szyfrowania informacji, a także opis aspektów prawnych, związanych z funkcjonowaniem systemów informatycznych w banku.

Z papieru w życie

Wdrożenie systemu bezpieczeństwa systemów informatycznych zostało w Banku Austria Creditanstalt Poland SA potraktowane kompleksowo. Objęło odpowiednie środki techniczne oraz procedury organizacyjne, dotyczące zarówno pracowników, jak i administratorów. Aby utrzymać kontrolę nad posiadanymi systemami informatycznymi, postanowiono scentralizować zarządzanie nimi - m.in. wszystkie serwery pracujące w oddziałach przygotowano do zdalnej administracji. Ponadto dla każdego systemu używanego w banku opracowano standardową procedurę instalacji i wskazówki konfiguracyjne. "Nie chodzi o to, że nie mamy zaufania do administratorów. Dzięki unifikacji nawet nowy administrator może łatwo odtworzyć lokalnie konfigurację zdalnego serwera. Liczy się czas i niezawodność" - wyjaśnia Piotr Królikowski.

Bieżące monitorowanie wielu serwerów pracujących jednocześnie nie jest możliwe ze względu na ogromną ilość informacji zapisywaną w plikach log, dlatego bank zdecydował się na zakup systemu LogCaster, pozwalającego na centralne, automatyczne monitorowanie logów systemu Windows NT wszystkich serwerów oraz wybranych stacji roboczych o szczególnym znaczeniu. Umożliwia on swobodne definiowanie alarmów i raportów kojarzonych praktycznie z dowolnym zdarzeniem w sieci, np. próba uzyskania nie autoryzowa- nego dostępu, zatrzymanie działania aplikacji antywirusowej, instalacja nie autoryzowanego przez bank oprogramowania na stacji roboczej itd. Pozwala też na współpracę z innymi systemami, np. alarmowym, dostępu do pomieszczeń czy przeciwpożarowym. Dla poprawy wydajności i komfortu pracy Wydziału Informatyki wdrożono oprogramowanie Microsoft Systems Management Server. W celu zapewnienia poufności danych przesyłanych za pośrednictwem poczty elektronicznej zastosowano Key Management Server - moduł dostarczany wraz z Microsoft Exchange Server - pozwalający na szyfrowanie poczty z zastosowaniem podpisów cyfrowych oraz oprogramowanie PGPDisk do szyfrowania zawartości dysków twardych na komputerach przenośnych. Bank wykorzystuje także serwer MS Proxy, pozwalający m.in. na kontrolę dostępu do Internetu, oraz oprogramowanie WebTrends Professional Suite, analizujące ruch internetowy.

Poważnie potraktowano kwestię fizycznego dostępu do urządzeń sieciowych i serwerów. "W praktyce raz na jakiś czas musimy udostępnić pomieszczenia, w których znajdują się serwery i urządzenia sieciowe, osobom z zewnątrz, np. w celu konserwacji klimatyzacji. W takich przypadkach przez cały czas towarzyszy im specjalnie poinstruowany pracownik ochrony" - twierdzi Piotr Królikowski.

Pracownik ograniczony?

Każdy pracownik banku otrzymał kopię dotyczących go procedur i zaleceń, zobowiązując się pisemnie do ich przestrzegania. Wprowadzenie nowej polityki bezpieczeństwa wiązało się z wieloma zmianami, które użytkownicy mogli odczytać jako ograniczanie praw. Przykładowo, pracownikom zabroniono instalowania jakiegokolwiek oprogramowania na stacjach roboczych, a nawet zmiany "tapety" na pulpicie Windows. Przed odejściem od komputera pracownik ma obowiązek zablokować dostęp do niego innym osobom. Wzrosły także wymagania co do poziomu skomplikowania haseł.

Mając świadomość, jak użytkownicy mogą zareagować na drobne nawet próby ograniczania ich dotychczasowych praw dostępu, pracownicy Orion Instruments wspólnie z Wydziałem Informatyki banku przez ponad miesiąc opracowywali strategię informacyjną, a następnie przeszkolili wszystkich pracowników banku. "Przyjęliśmy strategię uświadamiania ludzi, odwołując się do ich odpowiedzialności i profesjonaliz-mu pracowników instytucji finansowej. Oczywiście pojawiały się protesty i niezadowolenie, jednak tylko do pewnego czasu. Jak się okazało, nasze wysiłki nie poszły na marne" - kończy Piotr Królikowski.