Centrum na wszelki wypadek

Dziedziną, w której wciąż pozostało wiele do zrobienia, są zapasowe ośrodki przetwarzania, mające stanowić ochronę przed poważniejszym wypadkiem losowym. np. katastrofą budowlaną. Instalacje tego rodzaju są na razie w posiadaniu tylko nielicznych instytucji, głównie dużych banków, m.in. PKO BP SA, Pekao SA, ING Bank SA, BPH PBK SA, Banku Zachodniego WBK SA, Kredyt Banku SA i Banku Gospodarki Żywnościowej SA. Ostatni z nich - na razie jako jedyny - korzysta z centrum zapasowego w outsourcingu.

Jednak w związku z ubiegłorocznymi wydarzeniami w Nowym Jorku grono posiadaczy ośrodków zapasowych szybko wzrasta. Niedawno dołączyły do niego Raiffeisen Bank Polska SA oraz Lukas Bank SA. Kilka kolejnych centrów zapasowych jest w trakcie realizacji, a budowę następnych zaplanowano na najbliższe kwartały. Biorąc jednak pod uwagę liczbę działających w Polsce banków, trudno uznać to za wynik zadowalający.

Cenne dane

Ostatnio wiele zmienia się w podejściu do bezpieczeństwa danych. Po ataku na World Trade Center banki zaczęły poważnie zastanawiać się nad wartością dotychczasowych strategii ochrony danych. Po pierwsze, zdały sobie sprawę, że samo wykonywanie kopii zapasowych nie gwarantuje im niczego. Jako wymaganie minimum stawiane jest obecnie sprawdza- nie, czy kopie zostały wykonane prawidłowo i czy można odczytać. Najlepiej jeśli istnieją co najmniej dwie kopie, jako zabezpieczenie przed ewentualnym uszkodzeniem nośników. Po drugie, wynoszenie kopii bezpieczeństwa poza obręb głównego ośrodka przetwarzania przestało być już postrzegane jako przejaw nadmiernej gorliwości.

Zmienia się także praktyka dotycząca centrów zapasowych. Dotychczas służyły one głównie do przechowywania kopii bezpieczeństwa oraz - z reguły "zimnych" - serwerów, i to tylko dla kluczowych aplikacji. Banki mające już centra zapasowe oraz te, które dopiero je budują, inwestują w rozwiązania umożliwiające stałą łączność między ośrodkami głównym a zapasowym. Dzięki temu ewentualne przejęcie obsługi działalności banku przez centrum zapasowe ma szansę odbywać się w pełni automatycznie nie w ciągu kilku dni, lecz kilku minut. Zwiększa się także liczba systemów obejmowanych ochroną.

Na przekór ciekawskim

Grzechem wielu banków jest skupianie nadmiernej uwagi na identyfikacji użytkowników w głównej aplikacji bankowej i szczegółowej kontroli ich praw do poszczególnych jej funkcji kosztem uprawnień do zasobów sieciowych i dyskowych. Problem ten dotyczy przede wszystkim banków, które jeszcze nie zdążyły wdrożyć systemów scentralizowanych, gdzie uprawnienia są nadawane na poziomie oddziałów. Centralizacja zazwyczaj wiąże się bowiem z budową nowoczesnych sieci, umożliwiających precyzyjne zarządzanie i kontrolę działań podejmowanych przez użytkowników.

Kolejny obszar zaniedbań to brak zabezpieczeń przed podsłuchem komunikacji wewnętrznej, zwłaszcza w sieciach lokalnych. Powoli, lecz systematycznie rośnie liczba banków umieszczających systemy firewall między wszystkimi istotnymi systemami informatycznymi lub segmentami sieci. Tylko nieliczne instytucje finansowe wprowadziły szyfrowanie komunikacji w sieci wewnętrznej i to tylko na ograniczonych odcinkach. Szyfrowanie wszelkiej komunikacji będzie możliwe dopiero po upowszechnieniu się technologii Infrastruktury Klucza Publicznego (PKI). Co najmniej w kilku bankach trwają już tego typu projekty.

Nie ma chyba banku, który nie posiadałby zabezpieczeń przed włamaniem przez Internet. Ich skala i stopień zaawansowania są jednak różne. Najbardziej zaawansowane są w tym względzie banki oferujące usługi bankowości internetowej. Oprócz kilku poziomów systemów firewall pochodzących zazwyczaj od różnych dostawców i - dla rozproszenia ryzyka - działających wed-ług różnych reguł banki te stosują inteligentne systemy wykrywające potencjalne zagrożenia bezpieczeństwa i próby włamań zarówno z zewnątrz, jak i wewnątrz. Stosunkowo słaby, co najwyżej podstawowy, poziom zabezpieczeń w tej dziedzinie prezentują banki małe, w tym spółdzielcze, choć należy podkreślić, że wyjątków od tej reguły stale przybywa.

Zawczasu gotowi

Wdrożenie środków technicznych wspomagających bezpieczeństwo wymaga wydatkowania wcale niemałych środków, toteż wiele banków - czekając na przyszłoroczne budżety - stara się zniwelować niedociągnięcia w dziedzinie organizacji i procedur. Procedury to w bankach chleb powszedni i w ich przypadku problem nie leży w umiejętności ich tworzenia. W świetle wydarzeń z 11 września 2001 r. wiele procedur bezpieczeństwa, zwłaszcza planów i procedur awaryjnych, wymaga ponownego przemyślenia.

Po pierwsze, wydłużyła się lista potencjalnych zagrożeń. Po drugie, w większości dotychczasowych procedur nie uwzględniano długiej niedostępności systemów informatycznych czy wręcz jednostek organizacyjnych - wymagają więc one rozwinięcia i uszczegółowienia. Po trzecie, banki muszą wypracować skuteczne mechanizmy aktualizowania i dystrybuowania procedur. I - co być może najważniejsze - konieczne jest wykształcenie dobrego klimatu i nawyku cyklicznego testowania procedur.

Pozytywne wibracje

Świadomość w dziedzinie bezpieczeństwa wśród osób mających wpływ na jego poziom w polskich bankach jest wysoka i stale rośnie. Przy pewnej dozie pomysłowości i uporu w dłuższej perspektywie banki mają też realne szanse na podniesienie świadomości także pracowników i klientów. Pod względem zabezpieczeń technicznych pols- kie banki plasują się bardzo wysoko, z jednym wszakże wyjątkiem w postaci zapasowych ośrodków obli- czeniowych, ale na ich budowę potrzeba czasu i pieniędzy. Pewnych wysiłków i uwagi wymagają także zagadnienia kontroli dostępu do zasobów sieciowych - w odróżnieniu od kontroli dostępu do poszczególnych funkcji systemów transakcyjnych. Sprawą nie cierpiącą zwłoki, a wymagającą szybkiej poprawy jest kwestia adekwatności, szczegółowości i wykonalności procedur bezpieczeństwa, a zwłaszcza planów i procedur awaryjnych.