Po uruchomieniu systemu operacyjnego logowanie do domeny sieciowej Windows NT odbywa się automatycznie, pod warunkiem podania przez użytkownika poprawnego PIN-u. Oczywiście, PIN nie jest przesyłany do domeny - tajny numer służy do odblokowania zaszyfrowanego i przechowywanego na karcie loginu i hasła. "Jeżeli system ma być bezpieczny, logowanie musi być proste - inaczej użytkownicy znajdą sposób, by ułatwić sobie życie, a to zwykle nie ma wiele wspólnego z bezpieczeństwem. Ponieważ ciężar ochrony przenosi się w ten sposób na kartę i PIN, kładziemy nacisk na edukację użytkowników, aby strzegli dostępu do kart i numerów PIN. Przykładowo, gdy pracownik oddala się od komputera, ma obowiązek zabrać ze sobą kartę" - tłumaczy przyjęte założenia Marek Gdowiak.

Pobrane z karty parametry logowania są sprawdzane z danymi zawartymi w Katalogu Korporacyjnym ZUS. To w nim są przechowywane opisy uprawnień przydzielanych uwierzytelniającym się w sieci użytkownikom. Ale nie tylko. Katalog korporacyjny to miejsce, w którym są przechowywane także certyfikaty klucza publicznego serwerów, konfiguracje komponentów KRSB, słowniki jednostek organizacyjnych ZUS, powiązania użytkowników z aplikacjami oraz adresy pocztowe i inne podobne informacje.

Gdy użytkownik na swoim komputerze uruchomi aplikację KSI, wówczas oprogramowanie KRSB, wykorzystując certyfikat użytkownika, tworzy szyfrowane połączenie z serwerem aplikacji. Jednocześnie z serwera bezpieczeństwa jest pobierany zakres uprawnień użytkownika w KSI. KRSB ma też własny podsystem audytu, który rejestruje zdarzenia z systemu bezpieczeństwa i KSI, takie jak zalogowania/wylogowania się z aplikacji. Zdarzenia te są monitorowane na bieżąco i okresowo składowane na centralnym serwerze audytu. Archiwizacja tych logów na płytach CDR odbywa się automatycznie. Ponadto istotne działania użytkowników (np. operacje wykonywane na danych) mogą być monitorowane na bieżąco i są rejestrowane przez aplikacje.

Bez specjalnego statusu

Zarządzanie uprawnieniami w ZUS obwarowane jest zasadą wprowadzoną przez Departament Ochrony Informacji - zgodnie z nią administrowanie dowolnym systemem informatycznym w ZUS wyklucza jednoczesne posiadanie uprawnień administratora bezpieczeństwa. Ponadto administrowanie systemami operacyjnymi nie uprawnia do zarządzania aplikacjami i bazami danych, i odwrotnie. Aby pozbawić administratorów resztek poczucia władzy, ZUS wdrożył w Centrali ZUS oprogramowanie Symantec Intruder Alert, które w czasie rzeczywistym przegląda logi serwerów Windows NT, a istotne z punktu widzenia bezpieczeństwa zdarzenia rejestruje na serwerach dostępnych wyłącznie dla pracowników Departamentu Ochrony Informacji.

Z racji tego, że ZUS nie posługuje się certyfikatami komercyjnymi wydawanymi przez niezależną trzecią stronę, lecz generowanymi w ramach własnego Urzędu Certyfikacji, można mieć wątpliwość, czy mogą one stanowić "dowód" w sporze między ZUS a jego pracownikiem. "Posługiwanie się kartą z certyfikatem klucza publicznego jest konsekwencją wprowadzonego systemu bezpieczeństwa wynikającego z przyjętych założeń polityki bezpieczeństwa informacyjnego w Zakładzie Ubezpieczeń Społecznych. Podpisując potwierdzenie odbioru karty elektronicznej, pracownik przyjmuje do wiadomości konsekwencje, w tym również ograniczenia, wynikające z jej użytkowania. Poza tym fakt, że nie jest to certyfikat kwalifikowany, nie oznacza, iż złożony za jego pomocą podpis elektroniczny nie jest ważny i skuteczny" - ucina dyskusję Marek Gdowiak.