Najważniejszym zabezpieczeniem proceduralnym, które wdrożono, jest rozdzielność obowiązków oraz zarządzanie uprawnieniami oparte o role. Administrator posiadający najwyższe uprawnienia w systemie np. zakładanie użytkowników, zarządzanie parametrami technicznymi systemu, nie posiada dostępu do funkcji transakcyjnych pozwalających na wykonanie operacji biznesowych. Istnieje ryzyko, że przy wykorzystaniu posiadanych ww. uprawnień mógłby utworzyć konto z uprawnieniami transakcyjnymi i wykorzystać je do innych celów. Działanie takie poza procesem jest zdefiniowane jako incydent podlegający monitoringowi.

Do uwierzytelnienia pracy aplikacji przewidziano osobny zestaw kont - tzw. konta techniczne - wykorzystywanych wyłącznie przez oprogramowanie, z zachowaniem zasady minimalnych przywilejów koniecznych, przy czym istnieje cały system procedur, które minimalizują ryzyko ataku tą drogą. Przy wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji - ISO 27001 intensywnie pracowano nad obszarem zarządzania uprawnieniami w systemach IT. W bazie wiedzy systemu zgromadzono informacje na temat wszystkich użytkowników systemów IT banku oraz ich poziomów uprawnień. Integracja systemu zarządzania tożsamością i uprawnieniami z głównymi systemami banku, tj. Active Directory, głównym systemem bankowym oraz systemem kadrowym, pozwala na automatyczne zarządzanie cyklem życia tożsamości pracownika w systemach banku.

Czujne oko

Bardzo ważnym składnikiem systemów bezpieczeństwa jest audyt użycia uprawnień przez użytkowników. Jest on wykonywany periodycznie, automatycznie, z użyciem predefiniowanych reguł, które umożliwiają wychwycenie potencjalnych zagrożeń. Podstawowym narzędziem jest moduł zgodności (compliance) systemu, który weryfikuje, czy dany proces został przeprowadzony poprawnie, czy stan obecny jest zgodny ze standardem i założeniami polityki bezpieczeństwa.

W ten sposób można wykryć ewentualne niedopatrzenia przy realizacji wniosków i błędy popełniane przez administratora. Ponadto można wykryć potencjalnie niebezpieczne działania administratorów, np. nadanie uprawnień poza wnioskiem, typowym zdarzeniem jest śledzenie nadawania i odbierania uprawnień w krótkim czasie. Aby uniemożliwić zatarcie działań w logach, przewidziano podpisywanie logów i zapisywanie ich w taki sposób, aby usunięcie zapisów nie było możliwe. Jednocześnie dokonywane są raporty aktywności kont.

"Audytem działań administratorów zajmuje się Zespół Bezpieczeństwa Systemów Informatycznych, który monitoruje wszelkie działania, w tym te wykonane przez operatorów i administratorów. Opracowane zostały zapytania, które monitorują bazę online, zdefiniowano także incydenty, które należy raportować w celu niezwłocznego poddania ich analizie"- mówi Beata Neumann.

Audytem aktywności klientów banku zajmuje się inna komórka, przy wykorzystaniu odrębnego systemu. Reguły, które powodują raportowanie incydentu, też są inne, gdyż wykrywane są podejrzane transakcje świadczące o telezmowie, nieuprawnionym transferze pieniędzy oraz innych nadużyciach. W Fortis Banku wdrożone zostały narzędzia zarządzania tożsamością BMC.