Bezpieczeństwo z certyfikatem

Wdrożenie Infrastruktury Klucza Publicznego w PZU Życie jest największym tego typu przedsięwzięciem w Polsce funkcjonującym w ramach jednej firmy.

Wdrożenie Infrastruktury Klucza Publicznego w PZU Życie jest największym tego typu przedsięwzięciem w Polsce funkcjonującym w ramach jednej firmy.

"Spośród zrealizowanych przez nas do tej pory projektów PKI wdrożenie w PZU Życie bije pod względem rozległości spektrum dostępnych usług wszystkie pozostałe" - mówi Grzegorz Klasa, kierownik Działu Wdrożeń w Unizeto - wykonawcy Systemu Certyfikatów - i kierownik projektu ze strony dostawcy. Na uwagę zasługuje także fakt, że projekt objął zarówno pracowników PZU Życie, jak i współpracowników firmy.

W trakcie prac nad wdrożeniem zmieniał się jego zakres, pojawiała się bowiem potrzeba dodania nowych elementów. Jak przyznają przedstawiciele PZU Życie, choć nie brakowało im wystarczającej wiedzy o mechanizmach funkcjonowania i możliwościach zastosowania PKI, to dopiero w czasie wdrożenia pojawiały się nowe informacje dotyczące szczegółów funkcjonowania centrum certyfikacji, a także zależności związanych z wykorzystaniem funkcjonalności dostarczanej przez System Certyfikatów.

Skąd się wzięło przekonanie o potrzebie oparcia się na fundamencie PKI? "Trudno o inne tak kompleksowe rozwiązanie. Nasze potrzeby mogliśmy oczywiście zaspokoić za pomocą wyspecjalizowanych rozwiązań cząstkowych, ale w dłuższej perspektywie mielibyśmy z nimi poważne problemy ze względu na to, iż trudno taką rozproszoną strukturą zarządzać" - wyjaśnia Krzysztof Olszewski, kierownik projektu, a jednocześnie kierownik Zespołu Ochrony i Bezpieczeństwa Systemów w Biurze Informatyki PZU Życie. "PKI oczywiście niemało kosztuje, ale jest opłacalnym rozwiązaniem, gdyż traktuje się je jako podstawę systematycznego rozwoju różnych usług" - dodaje Grzegorz Klasa.

Alternatywą dla budowy własnej infrastruktury PKI byłoby wykorzystanie modelu outsourcingowego, w którym PZU Życie korzystałoby z certyfikatów obsługiwanych przez zewnętrznego ich wystawcę. "Ze względu na kwestie gwarancji dostępności Systemu Certyfikatów wewnątrz spółki ten model nie mógł zostać zrealizowany" - twierdzi Krzysztof Olszewski.

Rozliczne korzyści

Bezpieczeństwo z certyfikatem

Krzysztof Olszewski, kierownik projektu, a jednocześnie kierownik Zespołu Ochrony i Bezpieczeństwa Systemów w Biurze Informatyki PZU Życie

Wdrożenie Infrastruktury Klucza Publicznego w PZU Życie miało na celu podniesienie poziomu bezpieczeństwa przesyłanych i przetwarzanych informacji oraz wsparcie systemu zarządzania dokumentami w spółce, w tym wyeliminowanie niedogodności typowych dla obiegu dokumentów w formie papierowej. Chodziło również o zapewnienie bezpiecznego przepływu danych elektronicznych między różnymi jednostkami - pracownikami, agentami oraz osobami zajmującymi się obsługą ubezpieczeń grupowych w zakładach pracy. System Certyfikatów stanowi także podporę systemu zarządzania uprawnieniami użytkowników. Umożliwia także z dowolnego miejsca bezpieczne połączenia z zasobami informatycznymi spółki.

Pod koniec 2002 r. wykonano wdrożenie pilotażowe o ograniczonym zasięgu z wykorzystaniem zewnętrznych certyfikatów dostarczonych przez Unizeto, cały system natomiast zaczął funkcjonować w połowie ub.r. Kilka kolejnych miesięcy zajęło wprowadzanie go w placówkach terenowych oraz szkolenie kolejnych grup pracowników (ok. 1400 osób). Zakres szkolenia obejmował nową funkcjonalność wykorzystywanych do tej pory w PZU Życie rozwiązań - przede wszystkim szyfrowania dokumentów i poczty elektronicznej, w tym również załączników do listów elektronicznych.

Punkt widzenia użytkownika

Przy wdrożeniu trzeba było poradzić sobie z niejednorodnością środowiska pracy użytkowników, którzy na swoich komputerach dysponowali różnymi systemami operacyjnymi Windows - od 95 aż po XP. "Nie można było dokonać upgrade'u starszych wersji, bo z założenia nasz system miał być transparentny dla istniejącej w PZU Życie infrastruktury informatycznej" - mówi Ałła Stoliarowa-Myć, konsultant-wdrożeniowiec w Unizeto. Chodziło m.in. o to, by w maksymalnym stopniu wykorzystać istniejące zaplecze aplikacyjno-sprzętowe. Trzeba było więc przetestować funkcjonowanie wszystkich dostarczonych przez Unizeto narzędzi w tych różnych środowiskach, przy czym pewne kłopoty sprawiały starsze wersje . Użytkownik wykorzystuje oprogramowanie proCertum Combi, autorski produkt Unizeto, będący wielofunkcyjnym narzędziem do składania podpisu elektronicznego, szyfrowania, znakowania czasem, poświadczania danych itd. Docelowo do oprogramowania wprowadzono funkcję kuriera elektronicznego, czyli czegoś na kształt listów poleconych, tyle że w postaci elektronicznej.

Funkcjonalność Systemu Certyfikatów zintegrowano z podstawowym w PZU Życie, czyli pakietem Microsoft Office. "Każde rozwiązanie zwiększające poziom bezpieczeństwa jednocześnie utrudnia życie użytkownikom. Powstaje więc tutaj pewien naturalny konflikt i dylemat, jak to zrobić, by podnieść poziom bezpieczeństwa, nie zniechęcając jednocześnie użytkowników do stosowania rozwiązań służących owemu bezpieczeństwu. W przypadku wdrożonego u nas systemu obsługi podpisu elektronicznego oznaczało to dodanie jedynie kilku nowych funkcji do wykorzystywanych aplikacji" - twierdzi Krzysztof Olszewski. W efekcie wysłanie zaszyfrowanej wiadomości sprowadza się do wpisania jako odbiorcy imienia i nazwiska w polu adresata poczty, resztą zajmują się już Office 2000/XP i przygotowany dla PZU Życie serwis LDAP, który pozwala obecnie m.in. na szybkie wyszukiwanie informacji o pracownikach firmy.

LDAP jest zasilany danymi w sposób ciągły w czasie rzeczywistym z baz danych Systemu Certyfikatów. Dzięki temu informacje o nowo wydanym certyfikacie użytkownika, jego unieważnieniu bądź przedawnieniu docierają natychmiast do serwera usług katalogowych. Oczywiście, nie oznacza to, że znika potrzeba publikowania list unieważnionych certyfikatów, tzw. CRL (Certificate Revocation Lists).

Było to o tyle łatwiejsze, iż podpisy elektroniczne wykorzystywane w PZU Życie nie są kwalifikowane w rozumieniu zapisów Ustawy o podpisie elektronicznym. Nie obowiązywały tutaj pewne ograniczenia prawne, wynikające z dodatkowych obostrzeń przy wprowadzaniu rozwiązań dotyczących składania i weryfikowania tzw. bezpiecznego podpisu elektronicznego. "Jednak i tak oparliśmy się na silnych narzędziach kryptograficznych, nie gorszych od tych, jakie są wymagane do posługiwania się kwalifikowanym podpisem elektronicznym" - twierdzi Grzegorz Klasa.

Dostosowanie Systemu Certyfikatów do istniejącego środowiska IT stanowiło dla Unizeto najtrudniejszy element w całym wdrożeniu. Jednak zarówno realizacja wszystkich procedur testowych, jak i przemodelowanie serwerów pocztowych ani razu nie doprowadziły do jakichkol- wiek przestojów w pracy systemów produkcyjnych PZU Życie. System Certyfikatów trzeba było przygotować do pracy w środowisku LDAP eDirectory Novella i Active Directory Microsoftu. Przy okazji okazało się, w jak wielu miejscach tych bardzo rozpowszechnionych na rynku rozwiązań brakuje zgodności z normami lub implementacji tychże norm.

W Systemie Certyfikatów PZU Życie stworzono dodatkową funkcję tzw. arbitratora, będącą narzędziem w rękach arbitra w celu rozstrzygania ewentualnych sporów, typu "czy ktoś miał określone dane lub dokument w ściśle określonym momencie". Chodzi tutaj o możliwość weryfikacji stanu faktycznego w przypadku pojawienia się jakichkolwiek niejasności i sporów pomiędzy użytkownikami PKI w PZU Życie. "Brak arbitratora byłby słabym punktem wprowadzonego rozwiązania" - mówi Krzysztof Olszewski.

Certyfikat w obiegu

Obecnie na bieżąco jest wykorzystywanych ok. 3 tys. certyfikatów cyfrowych. Zgodnie z ideą funkcjonowania PKI są one wydawane w punktach rejestracji znajdujących się w każdym oddziale i centrali firmy. Punkty rejestracji pełnią dość istotną rolę w systemie PKI, są bowiem miejscem wiążącym wirtualny świat certyfikatów cyfrowych z realnymi bytami, czyli ludźmi, do których te certyfikaty mają należeć. W punkcie rejestracji następuje weryfikacja tego, że konkretna osoba otrzymująca przypisany jej certyfikat jest tą, za którą się podaje. "Nie zawsze te certyfikaty i klucze są udostępniane na kartach z procesorem kryptograficznym. Wszystko zależy od poziomu uprawnień danego użytkownika. Oczywiście, jeśli jest on wysoki, to certyfikat i klucze są na karcie" - mówi Grzegorz Klasa.

Ostatecznie całkowity koszt wdrożenia - sprzętu, oprogramowania i usług wdrożeniowych, łącznie ze szkoleniami pracowników PZU Życie - nie tylko nie przekroczył zakładanej w pierwotnej umowie sumy (ok. 28 mln zł), ale okazał się niższy. Przedstawiciele PZU Życie zapewniają, że na wykonawcę systemu wybrano szczecińskie Unizeto m.in. ze względu na konkurencyjność kosztową i jednocześnie największą funkcjonalność rozwiązania spośród wszystkich oferowanych.

Zdaniem przedstawicieli PZU Życie koszt utrzymania Systemu Certyfikatów będzie już niski i ma się sprowadzać głównie do bieżącej konserwacji. Na potrzeby wdrożenia Systemu Certyfikatów w PZU Życie uruchomiono dedykowaną serwerownię. "To będzie mało znacząca pozycja w całym budżecie działu informatyki PZU Życie. Dość powiedzieć, że z powodu wdrożenia tego systemu w ogóle nie wzrosła liczba personelu IT" - dodaje Krzysztof Olszewski.

Zakończenie wdrożenia systemu obsługi certyfikatów cyfrowych potwierdzono niezależnym audytem.

Podstawowa funkcjonalność PKI w PZU Życie

  • Szyfrowanie i podpisywanie poczty elektronicznej

  • Szyfrowanie i podpisywanie dokumentów w postaci elektronicznej

  • Szyfrowanie i podpisywanie plików

  • Znakowanie czasem dokumentów elektronicznych (poczty, plików)

  • Możliwość zapewnienia bezpiecznego dostępu do zasobów sieci na podstawie certyfikatów klucza publicznego

  • Bezpieczny dostęp do zasobów internetowych spółki

  • Bezpieczny dostęp do poczty elektronicznej poprzez mechanizm OWA (Microsoft Exchange)

  • Możliwość uwierzytelniania serwerów i serwisów na podstawie certyfikatów klucza publicznego

  • Uwierzytelnianie użytkowników

  • Potwierdzanie tożsamości stron biorących udział w transakcjach elektronicznych, obiegu dokumentów

  • Potwierdzanie faktu nadania i odbioru dokumentów elektronicznych

Logiczne składniki Systemu Certyfikatów w PZU Życie

  • Trzy urzędy certyfikacji

  • Punkty rejestracji (w centrali i oddziałach)

  • Repozytoria certyfikatów i list CRL

  • Mechanizmy kryptograficzne

  • Kodeks Postępowania Certyfikacyjnego

  • Polityki certyfikacji


TOP 200