Bezpieczeństwo osobowe

Automatyzowanie procesów ochrony kryptograficznej w dużym stopniu ogranicza udział czynnika ludzkiego, ale nie może wyeliminować go całkowicie - jedynie przenosi go na inny poziom. Zawsze są osoby, które proces wdrażały i znają sekrety decydujące o zachowaniu bezpieczeństwa oraz takie, które proces kontrolują (np. mogą go czasowo zatrzymać i ponownie uruchomić lub zainicjować z nowymi parametrami). Ponadto zawsze są osoby, od decyzji których zależy dziedzina i zakres zastosowań danego procesu.

Na ogół osoby z niższego poziomu są dobierane przez decydentów z poziomu wyższego. W bankowości, gdzie istotnym czynnikiem działającym na wyobraźnię pracowników wszystkich szczebli jest atraktor mirażu łatwego wzbogacenia się, bardzo pożądana byłaby możliwość wykorzystania badań postaw etycznych na wzór oceny formalnych kryteriów merytorycznych - udokumentowanego wykształcenia, stażów i umiejętności dodatkowych. Nie jest to niestety ani proste technicznie, ani prawnie umocowane.

Testami psychologicznymi można stwierdzić u osoby badanej istnienie lub brak pewnych predyspozycji, np. skłonności do hazardu lub do unikania ryzyka, umiejętności podejmowania decyzji w trudnych warunkach (stres, ograniczony zasób informacji lub zalew szumu informacyjnego itd.) lub skłonności do ucieczki od odpowiedzialności, ale nie sposób sprawdzić jej poziomu etycznego. Testy psychologiczne nie dadzą odpowiedzi na pytanie, jak zachowa się kandydat do pracy, gdy spostrzeże okazję do łatwego wzbogacenia się przy niedostrzegalnym przez niego ryzyku wykrycia.

Kodeks pracy enumeratywnie wymienia listę informacji, jakich można żądać od pracownika przy jego zatrudnianiu. Są to dokumenty potwierdzające tożsamość i wykształcenie, w tym staż zawodowy. W stosunku do zatrudnianych na niektórych stanowiskach, również ustawowo wymienionych, można dodatkowo żądać zaświadczenia o niekaralności lub poświadczenia bezpieczeństwa osobowego. Ubiegający się o pracę może odmówić przedłożenia innych dokumentów Z drugiej strony, pracodawca nie ma obowiązku zatrudnienia ubiegającego się o pracę, ani tłumaczenia się dlaczego jednemu odmówił, a innego zatrudnił. Dotyczy to również zmiany stanowiska lub powierzania nowych funkcji i zadań.

Najłatwiej jest sprawdzić i potwierdzić udokumentowanie kwalifikacji i stażu pracy. Okres próbny, obecnie powszechnie stosowany, może dać przesłanki do oceny rzeczywistych kompetencji i odpowiedzialności. Odporność na pokusy czy umiejętność dochowania tajemnicy są możliwe do sprawdzenia tylko przy okazji powstania takich sytuacji. Spotkałem się z osobami, które były poddawane takim testom w systemie rekrutacji ze sztucznie zaaranżowanymi sytuacjami, stosowanym przez niektóre instytucje, ale odbywało się to po drugiej stronie Atlantyku. W Polsce stosowanie takich prowokacji wobec kandydatów do pracy lub pracowników jest nielegalne. Takie uprawnienia mają jedynie organy ścigania wobec osób podejrzanych o działalność przestępczą.

Niezakazaną, ale i nieusankcjonowaną prawnie formą sprawdzania kandydatów jest "prywatne" zasięganie opinii o kandydacie u poprzednich pracodawców. Skuteczność tej metody jest dość ograniczona - gdy ktoś chce się pozbyć niewygodnego podwładnego nie będzie potencjalnego nowego pracodawcy ostrzegał o negatywnych aspektach jego osobowości, natomiast gdy będzie chciał zatrzymać - nie będzie go zachwalał.

Niedoceniana kryptografia

Na poziomie zarządzania merytoryczna znajomość problemów informatyki jest w bankowości prawie regułą, natomiast ze znajomością zagadnień kryptologicznych jest już znacznie gorzej, na ogół bywa ona bardzo powierzchowna. Analiza różnych rekomendacji wskazuje, że ich autorzy, doświadczeni bankowcy, praktycy z wyższych i najwyższych poziomów struktury organizacyjnej oraz naukowcy teoretycy mają świadomość potrzeby stosowania ochrony kryptograficznej. Natomiast brak jest w nich wskazań punktów krytycznych ochrony kryptograficznej, co byłoby istotną pomocą dla kadry zarządzającej i operacyjnej.

Nigdzie w dokumentach, które mają być swoistymi drogowskazami dobrej praktyki i według których są w dużej części budowane check listy bankowych audytorów, nie spotkałem wymagań dotyczących administrowania kluczami kryptograficznymi i innymi sekretami, od których zależy bezpieczeństwo wymiany lub przetwarzania informacji. Skutek jest taki, że na poziomie zarządczym (a jeszcze częściej na poziomie operacyjnym) podejmuje się błędne decyzje dotyczące różnych "drobnych" zabezpieczeń - np. chodzi o przechowywanie PIN-ów razem z kartami bankowymi przygotowanymi do wydania (wysłania) klientom, powtórnego wydrukowania kopert z tymi samymi listami haseł jednorazowych do autoryzacji w bankowości internetowej lub z TELEPIN-ami dla bankowości telefonicznej, przesyłania kluczy kryptograficznych tym samym kanałem, który mają zabezpieczać, lekceważenie ujawnianych różnych niedobrych praktyk personelu wykonawczego itd., itp.

Od czynnika ludzkiego nie ma ucieczki - zawsze jest jakiś punkt wykonawczy lub węzeł decyzyjny, w którym funkcjonuje człowiek, od którego zależy jakość efektu końcowego. Zakładając, że większość ludzi ma dobrą wolę i sama z siebie będzie stosować tzw. dobre praktyki, jeśli tylko będzie je znać, należy propagować wiedzę o zasadach stosowania różnych form kryptografii i technik pokrewnych, zarówno wśród bankowców, jak i w instytucjach okołobankowych czy wśród samych klientów.

Niestety nie można założyć, że wszyscy zatrudnieni wykazują dobrą wolę, ani wykryć i wyeliminować osób "złej woli" przed wykonaniem przez nich czynu niezgodnego z etyką lub prawem. Wobec tego, oprócz wypracowywania i propagowania wzorów dobrej praktyki, wszystkie czynności bankowe muszą być rejestrowane oraz systematycznie i na bieżąco kontrolowane.

Krzysztof M. Święcicki jest głównym specjalistą Biura Bezpieczeństwa Banku Gospodarki Żywnościowej SA. Artykuł został opracowany na podstawie referatu wygłoszonego przez autora na IX Krajowej Konferencji Zastosowań Kryptografii Enigma 2005.