Systemy i ludzie

W zabezpieczeniach kryptograficznych w bankowości kluczową rolę często odgrywa tzw. czynnik ludzki.

W zabezpieczeniach kryptograficznych w bankowości kluczową rolę często odgrywa tzw. czynnik ludzki.

Przedmiotem działania współczesnego banku jest informacja o stanie i przepływach funduszy na rachunkach klientów i bankowych kontach księgowych. Przeważająca większość obrotu odbywa się bezgotówkowo. Obrót gotówką - fizycznymi znakami pieniężnymi w postaci banknotów i monet stanowi margines i również jest odwzorowywany poprzez operacje księgowe. Złoto, dawniej podstawa obrotu bankowego, obecnie jest sprowadzone do roli "żelaznej rezerwy" banków emisyjnych i jest surowcem przemysłowym i jubilerskim.

Przejście ze złota na znaki pieniężne nie spowodowało żadnej istotnej rewolucji w technice wspomagającej pracę banków. Banknot, podobnie jak sztabka złota, jest fizycznym przedmiotem. Każda transakcja polegała na przekazaniu przedmiotu będącego wartością lub znaku pieniężnego, który sam w sobie nie stanowi wartości, a jedynie umownie ją odwzorowuje. Pomiędzy uczestnikami transakcji w jedną stronę są przekazywane towar lub usługa, a w drugą przedmiot reprezentujący wartość. Transakcja przebiega bezpośrednio pomiędzy obu jej stronami, a zmieniający się posiadacze przedmiotów reprezentujących wartość pozostają anonimowi.

W obrocie bezgotówkowym zamiast bezpośredniego przekazywania gotówki pomiędzy kontrahentami (stronami transakcji) banki transferują umowną (wirtualną) wartość z rachunku nabywcy na rachunek sprzedawcy poprzez wniesienie do księgi bankowej odpowiednich zapisów. Bank zna obie strony operacji finansowej, jej wielkość i moment jej wykonania (oczywiście w przypadku osób trzecich, niebiorących bezpośredniego udziału w tej operacji, wszystkie jej aspekty muszą być utrzymane w całkowitej tajemnicy, co jest konieczne dla zapewnienia swobody obrotu gospodarczego i stanowi podstawowy wymóg prawa bankowego).

Potrzeba kryptografii

Z wielu względów, z których najważniejszymi są koszt i sprawność, a w szczególności szybkość, prowadzenie ksiąg rachunkowych w bankach i dokonywanie wszystkich operacji odbywa się praktycznie wyłącznie elektronicznie. Specyfika tej technologii powoduje istotne zagrożenie dla informacji przetwarzanej w bankach, w szczególności tej jej części, która stanowi wirtualne odwzorowanie wartości.

Pieniądz w dowolnej postaci jest wartością bardzo atrakcyjną zarówno dla "zawodowego" świata przestępczego, jak i dla tych, którzy wkraczają na drogę przestępstwa jedynie okazjonalnie. Ponadto banki i podmioty okołobankowe (m.in. Generalny Inspektor Informacji Finansowej, Biuro Informacji Kredytowej, Międzybankowa Informacja Gospodarcza, pośrednicy kredytowi), posiadają zasoby innych informacji bardzo gorących gospodarczo, których nieodpowiedzialne ujawnienie mogłoby poczynić olbrzymie szkody (oczywiście to wiedza, która niektórym osobom daje nadzwyczajny pożytek).

Zarówno wirtualny pieniądz, jak i pozostałe zasoby informacji posiadanej i wymienianej przez banki są dla świata przestępczego atraktorem o wielkiej sile przyciągania. Dlatego dla zapobieżenia potencjalnym stratom trzeba je bardzo starannie zabezpieczać. Pomijając zagrożenia związane z zawodnością techniki, głównym niebezpieczeństwem jest chciwość ludzka - ta sama, przed którą w epoce wymiany gotówkowej broniły zabezpieczenia budowlane, mechaniczne i zbrojne straże. W erze powszechnego stosowania technologii komputerowej zabezpieczenia te stały się niewystarczające i przy obecnym stanie wiedzy i rozwoju technologii muszą być uzupełniane przez odpowiednie stosowanie technik kryptograficznych. W teletransmisji kryptografię stosuje się do uwierzytelniania korespondujących stron, uwierzytelniania wymienianych komunikatów-dokumentów oraz kontroli ich integralności i utajniania przesyłanych informacji. Ponadto techniki kryptograficzne stosuje się w przyjmowaniu zleceń drogą elektroniczną - do uwierzytelnienia osoby zleceniodawcy - oraz w przechowywaniu informacji, zwłaszcza na urządzeniach przenośnych łatwo narażonych na zawładnięcie przez osoby niepowołane - tutaj podstawowym zastosowaniem jest utajnianie zapisów informacji.

Przy ocenie wpływu czynnika ludzkiego na uzyskiwane poziomy bezpieczeństwa informacji przetwarzanej elektronicznie trzeba je odpowiednio pogrupować:

I Właścicielski

Właściciel/Grono udziałowców/Rada Nadzorcza

II Zarządzania

Prezes/Zarząd/Szefowie pionów

III Operacyjny

Szefowie podstawowych komórek organizacyjnych

IV Wykonawczy

Grupy wykonawcze i ich liderzy/

Samodzielne stanowiska

Pierwszy z nich stanowi poziom strategicznych decyzji podejmowanych przez organy właścicielskie - właścicieli lub rady nadzorcze reprezentujące właścicieli, dotyczących kierunków działania. W przypadku banków mogą to być decyzje dotyczące wyboru segmentów rynkowych i grup produktów dla tych segmentów, źródeł pozyskiwania kapitałów oraz struktury zarządzania bankiem, wyboru zarządu banku itd.

Znajomość problematyki bezpieczeństwa wśród decydentów na poziomie właścicielskim nie ma bezpośredniego wpływu na rzeczywiście uzyskiwany poziom bezpieczeństwa. Tym niemniej jest jednak istotne, czy właściciel ma świadomość spraw bezpieczeństwa i prezentuje pogląd, że jest to sprawa ważna lub czy nie uznaje za stosowne poświęcać tej sprawie uwagi. Skutkiem praktycznym jest ustawienie problematyki bezpieczeństwa w strukturze zarządzania.

Na poziomie zarządzania zapadają najważniejsze decyzje mające wpływ na przyszłe bezpieczeństwo informacji. Tu dokonuje się wyboru rozwiązań technologicznych wspierających misję i realizację celów wytyczonych w strategii banku, określa się budżet na poszczególne przedsięwzięcia, określa granice dopuszczalnego ryzyka oraz rozlicza się osiągnięte wyniki. Do prerogatyw poziomu zarządzania należy również stanowienie wewnętrznego prawa i zatwierdzanie procedur wykonawczych.

Od trafności decyzji organizacyjnych, podejmowanych na poziomie zarządzania, w zasadniczy sposób zależy poziom bezpieczeństwa informacji przetwarzanych w banku. Zespół decyzji dotyczący wyboru technologii przetwarzania i zastosowania technik zabezpieczeniowych determinuje możliwość uzyskania pożądanego poziomu bezpieczeństwa i koszt jego osiągnięcia.

Z kolei poziom operacyjny jest odpowiedzialny za wypracowywanie projektów, szczegółowych rozwiązań w ramach decyzji zarządu, wdrażanie zatwierdzonych projektów oraz nadzór nad bezpośrednimi wykonawcami i interweniowanie w koniecznych przypadkach oraz składanie sprawozdań, a następnie nadzór nad prawidłowością eksploatacji. Szczególna rola przypada "właścicielom" poszczególnych systemów informatycznych, w tym określanie poziomu ochrony, reguł dostępu dla bezpośrednich wykonawców (użytkowników systemu informatycznego), decyzje i propozycje decyzji dotyczących zmian w systemie, w tym jego rozwoju lub wycofywania z eksploatacji. Jego rolą jest nadzór nad wdrażaniem zaleceń po okresowych kontrolach i audytach bezpieczeństwa.

Na poziomie operacyjnym odbywa się rozwiązywanie różnych problemów eksploatacyjnych oraz nadzorowanie wyników biznesowych i opracowywanie sprawozdań.

Od osób zatrudnionych na poziomie wykonawczym oczekuje się prawidłowego stosowania i wykonywania zarówno formalnie ustanowionych procedur, jak i procedur stosowanych zwyczajowo na danym stanowisku. Chodzi także o nieprzekraczanie swoich kompetencji oraz raportowanie incydentów i zauważonych zagrożeń.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200