Problem bezpieczeństwa systemów informatycznychnie ogranicza się jedynie do spraw technicznych

Z Małgorzatą Kwiecień z Deloitte & Touche, Senior Consultantz działu Doradztwa Gospodarczego, rozmawia Urszula Zielińska

W jaki sposób działa departament Enterprise Risk Services (ERS) w firmie audytorskiej?Nasi specjaliści świadczą usługi oceny systemu zabezpieczenia firmy, podczas których sprawdzana jest nie tylko technologia, ale również procedury operacyjne i administracyjne z nią związane. Audytor poddaje ocenie ryzyko związane z wykorzystaniem systemów informatycznych w firmie na wielu różnych poziomach: od operacyjnego, przez taktyczny, po strategiczny, czyli od realizacji konkretnych transakcji przez realizację bieżących celów, aż po zarządzanie całą firmą. Przeprowadzamy także próby włamania do gotowych już systemów informatycznych. Nie mają one charakteru niszczącego. Dokonują ich zatrudnieni przez nas specjaliści.Czy są wśród nich byli hackerzy?Zatrudnieni przez nas fachowcy zdobywali doświadczenie współpracując ze specjalistami z Zachodu, a potem także pracując przy konkretnych już projektach w Polsce. Przeszli odpowiednie szkolenia.Czy macie Państwo wielu klientów?Jako firma globalna musimy dbać o pewien standard usług, co oznacza zatrudnianie najlepszych na polskim rynku specjalistów, a jeżeli ich brakuje ? sprowadzanie takowych z zagranicznych biur. Wszystko to powoduje, że jesteśmy firmą drogą.W tej chwili firmy rzadko występują o sprawdzenie ich systemów. Zwykle dzieje się to na życzenie głównego udziałowca zagranicznego lub krajowego inwestora. Nowo powstające czy niedawno powstałe spółki chcące działać w e-commerce, jeżeli chcą pozyskać strategicznego partnera muszą wykazać, że to, co oferują, nie tylko się sprzeda, ale jeszcze jest bezpieczne i nie przyniesie strat z powodu zaniedbania tego aspektu.Ile polskie przedsiębiorstwa wydają na bezpieczeństwo systemów?To trudne pytanie. Pogląd, jaki reprezentujemy, jest taki, że nie wystarcza zainwestować w system informatyczny, aby zapewnić firmie bezpieczeństwo. Przynajmniej drugie tyle pochłaniają inwestycje w szkolenie ludzi i ich uświadamianie, w przygotowanie właściwych procedur, ich przestrzeganie i kontrolowanie. Wbrew pozorom, to też są istotne koszty, w warunkach polskich często pomijane w analizach. W związku z tym nie jest możliwe określenie, ile firmy naprawdę wydają na bezpieczeństwo systemów informatycznych.Największe zagrożenie dla systemów IT niesie ze sobą tzw. czynnik ludzki. Czy w Państwa kompetencji leży dobór właściwych pracowników?Nie, ale istnieją na świecie firmy, które specjalizują się w rekrutacji i sprawdzaniu pracowników. Aktywnie działają przy tym na rynku nowych usług i nowych technologii.Sprawdzamy dostęp do systemu od zewnątrz, sprawdzamy, na ile da się przełamać zabezpieczenia na firewallach. Wszystko jednak zależy od tego, czego oczekuje klient. Weryfikacji można poddać odporność systemu zarówno na ataki z zewnątrz, jak i od wewnątrz firmy. Ten ostatni przypadek staramy się promować, bo naszym zdaniem z tej właśnie strony pochodzi największe niebezpieczeństwo. Zdecydowanie należy zwrócić uwagę na wnętrze organizacji, co oznacza zarówno dbałość o zabezpieczenia systemowe, jak i proceduralne przed wszelkimi niechcianymi wydarzeniami. Jednym z podstawowych warunków utrzymania odpowiedniego poziomu bezpieczeństwa jest zapewnienie rejestracji wszystkich czynności wykonywanych w systemie w tzw. logach.Muszą one być szczegółowe: zawierać informacje o wszystkich zdarzeniach, które mogą, mogły czy będą mogły mieć w przyszłości wpływ na bezpieczeństwo systemu. Same logi także muszą spełniać wymogi bezpieczeństwa, czyli np. nie mogą być modyfikowane.Czy do grona Państwa klientów należą portale?Potrzeby weryfikacji systemu bezpieczeństwa odczuwają zwykle te firmy, które posługują się informacjami wymagającymi szczególnej ochrony lub związanymi z transakcjami finansowymi. Portale polskie nie zgłaszają się do nas, ponieważ zwykle nie obracają takimi informacjami. W przypadku gdy wynajmują powierzchnię e-sklepom albo dostarczają do nich połączenia, sprawa bezpieczeństwa jest problemem sklepu albo jego klienta.Najczęściej natomiast mamy do czynienia z przedsięwzięciami związanymi z e-bankowością.Czego obawiają się klienci firm prowadzących komercyjną działalność w internecie?Przede wszystkim tego, że towar nie będzie taki, jaki został zamówiony i że nie dotrze na czas. Dopiero trzecie miejsce zajmuje strach, że numer ich karty albo inne poufne dane ?wyciekną? na zewnątrz. Jak jednak wynika z moich obserwacji, jest tak dlatego, że zwykle z założenia nie korzystają oni z tej formy płatności. Największym powodzeniem cieszą się te sklepy, które umożliwiają płatność za zaliczeniem pocztowym przy odbiorze. Dopiero przy dłuższej współpracy zaczyna być mowa o innym sposobie regulowania płatności. Także wtedy nie mówi się o karcie, ale np. o przelewie bankowym ? zupełnie w innym systemie, innymi metodami, inną drogą.Dowodem na to, że istnieje świadomość ewentualnych zagrożeń i niechęć do udostępniania poufnych danych, jest znikomy ułamek internautów, którzy robią zakupy przez internet i nie taki znowu duży tych, którzy te zakupy zamierzają robić.Na świecie prowadzono badania weryfikujące, z jakich powodów nie zakończyły się powodzeniem transakcje rozpoczęte w sklepie internetowym. Odpowiadano na pytanie, co było powodem przerwania zainicjowanego procesu zakupu. Jednym z powodów, dla którego ktoś, kto zaczął wkładać rzeczy do wirtualnego koszyka, zrezygnował ostatecznie z ich zakupu ? drugim albo trzecim pod względem liczby przypadków ? było żądanie przez sklep podania informacji zbyt szczegółowych. Im więcej informacji żąda firma, tym mniejsze prawdopodobieństwo, że transakcja zostanie zrealizowana.Warto zauważyć, że sklepy internetowe w tej chwili mniej nastawiają się na klienta indywidualnego, który ? wiadomo ? będzie kupował rzadko i za niewielkie pieniądze. Chcą natomiast uzyskać informacje o potencjalnych klientach instytucjonalnych. Stawiają więc pytania dotyczące firmy: ilu ma pracowników, z jakich systemów korzysta itp.Czy bezpieczne jest korzystanie z usług internetowych banków?Banki prowadzą pod tym względem bardzo restrykcyjną politykę. Z ich strony nie należy się niczego obawiać. Ich procedury wewnętrzne są zawsze bardziej restrykcyjne, niż wymaga tego prawo.Jeśli ustawa o ochronie danych osobowych mówi, że nie wolno przetwarzać danych nie związanych bezpośrednio z zakresem działalności, to bank ma zazwyczaj bardzo sztywne reguły, jakich danych nie wolno przetwarzać, umieszczać w systemach informatycznych i nie tylko. Polska ma chyba jedno z ostrzejszych uregulowań prawnych, jeśli chodzi o ochronę danych osobowych, zupełnie nieporównywalne ze Stanami Zjednoczonymi, gdzie panuje w tym względzie zupełna swoboda i wszystko opiera się w zasadzie na dwustronnej umowie między firmą a klientem.Najbardziej drastyczny przypadek naruszenia bezpieczeństwa systemu bankowego w naszym kraju miał miejsce w zeszłym roku, był zresztą szeroko opisywany przez prasę. Podjęto próbę wyprowadzenia z banku zawartości konta dużego klienta instytucjonalnego. Był to jednocześnie przypadek najbardziej klasyczny: z zastosowaniem systemu informatycznego, systemu bankowości elektronicznej skradzionego z siedziby klienta i ? nie da się ukryć ? przy współpracy pracownika banku, znającego odpowiednie procedury i hasła, potrafiącego ten system wykorzystać. Jedną z przyczyn było także pozostawienie przez użytkownika systemu ? klienta banku ? nie zmienionego hasła początkowego, co jest ewidentnym zaniedbaniem.Jakie sposoby wykorzystania systemu internetowego oferują polskie banki swoim klientom?Ich siłą ma być dostępność z dowolnego miejsca mającego połączenie z internetem. To z założenia wyklucza wszystkie techniczne środki przypisane do konkretnego komputera, takie jak czytnik kart. Dlatego też większość banków oferuje swoim klientom rozwiązania, które nie wymagają takiego przywiązania: identyfikator i hasło albo token (żeton z mikroprocesorem, co pewien określony czas zmieniający konfigurację cyfr ? przyp. red.). Przy czym istnieje wiele różnych opcji. Identyfikator przydzielony przez bank może zostać przypisany na stałe. Wtedy ? tak jak w przypadku zleceń realizowanych telefonicznie i wymagających użycia 6-cyfrowego kodu dostępu ? zmiana kodu nie jest prosta. Oznacza to, że w momencie jego ujawnienia nie można go szybko zmodyfikować.Są również systemy z dostępem na hasło. Hasło łatwiej jest zmienić. Należy jednak pamiętać, że nawet gdy po zakończeniu sesji wprowadzam nowe hasło, istnieje możliwość wykorzystania go przez niepowołaną osobę.Ciekawe rozwiązanie oferują banki w Niemczech. Funkcjonuje tam tzw. numer transakcji, dostarczany na papierze. Może on być użyty tylko raz. Za każdym razem, gdy klient łączy się z bankiem przez internet, z otrzymanej przez instytucję listy musi podać któryś z numerów, a następnie go wykreślić ? powtórne jego wykorzystanie jest niemożliwe. Dodatkowo system ten jest zabezpieczony PIN-em. Nie jest on jednak doskonały i także do niego miały miejsca włamania. Dokonano tego podszywając się pod bankowy serwer: hacker przejął połączenie, odczytał podany przez klienta numeru transakcji i PIN, a następnie odesłał do niego informację o ?błędzie w transakcji?. Tym samym klient zostaje poinformowany, że nie może wykorzystać ponownie tego samego numeru. Po raz kolejny łączy się z bankiem, co już, oczywiście, udaje się bez przeszkód, a w tym samym czasie hacker wykorzystuje skradziony numer transakcji oraz PIN i dokonuje kradzieży.Kolejność wykorzystania numerów transakcji nie jest tu istotna?Nie, nie ma tej kontroli. Dlatego tokeny są lepsze. Są generatorami unikatowych numerów transakcji. Jest wiele ich rodzajów. Wszystkie generują hasła w bardzo krótkim okresie ważności (ok. minuty) i konieczna jest synchronizacja tokenu z systemem po stronie banku: w takiej a takiej minucie numer wyświetlany przez token powinien być taki a taki. Także w przypadku systemów wykorzystujących tokeny mamy do czynienia z dodatkowymi rozwiązaniami (np. PIN-em). Kombinacji jednoczesnego wykorzystania tokenu i PIN-u znowu jest kilka. Czasem na stronie internetowej można je podawać oddzielnie, czasem najpierw wpisuje się PIN do tokenu, który następnie wyświetla końcowy numer, jaki należy wpisać na stronie www ? co jest dodatkowym zabezpieczeniem PIN-u, którego nie podaje się bezpośrednio w internecie.Tego rodzaju rozwiązania są dobre z punktu widzenia klienta. Ale gorsze z punktu widzenia banku, ponieważ zawsze istnieje szansa zaprzeczenia przez klienta, że wykonał taką transakcję. Banki usiłują się tutaj zabezpieczać różnego rodzaju umowami, zaopatrzonymi w klauzule: ?jeżeli udostępniłeś komuś PIN i oddałeś komuś żeton albo miałeś wszystko w jednym miejscu i zostałeś okradziony, to sam ponosisz odpowiedzialność za skutki...?.Z punktu widzenia prawa, opisane wyżej procedury nie są równoznaczne z podpisem elektronicznym. Bank może je traktować jedynie jako identyfikację klienta. Nie umożliwiają one sprawdzenia, czy treść zlecenia (a szczególnie kwota) nie została zmieniona na drodze pomiędzy klientem a bankiem. Dopiero system oparty na kartach z procesorem (tzw. smart card) jest tym, który spełnia to ostatnie zadanie. Procesor przygotowuje algorytm umożliwiający szyfrowanie i podpis elektroniczny, nie należy się jednak spodziewać, że sklepy czy banki będą z tego rozwiązania korzystać, dopóki czytniki do tego typu kart nie będą powszechnie dostępne.Wszystkie te rozwiązania są przeznaczone dla klientów indywidualnych. A co z instytucjonalnymi?Po pierwsze, należy powiedzieć, że systemy obsługujące tę grupę klientów liczą sobie zazwyczaj już nieco więcej lat. Najstarszy system bankowości elektronicznej w Polsce ma siedem lat i należy do BRE Banku. To powoduje, że zastosowane mechanizmy zabezpieczeń zwykle nie wykorzystują najnowszych osiągnięć technologicznych.W zamian stosuje się inne rozwiązania, oparte o wielopoziomowy system identyfikatorów i haseł. Pozwala on na ograniczenie dostępu zarówno do całego systemu, jak i do poszczególnych jego funkcji. Często stosowane są również ograniczenia wysokości kwoty, na jaką dana osoba może wystawić zlecenie. Zmiana wewnętrznych ustawień systemu wymaga zwykle udziału przynajmniej dwóch osób.Czy instytucje monitorują próby włamań do systemów?Większość instytucji posiada rozwiązania pozwalające na śledzenie tego typu zdarzeń. Jednak taka potencjalna możliwość nie oznacza, że monitoring rzeczywiście jest prowadzony, a jego rezultaty śledzone na bieżąco. O tym przekonała się w tym roku jedna z polskich instytucji, która nie uprzedzając administratorów swoich systemów, wynajęła firmę w celu sprawdzenia faktycznej skuteczności zabezpieczeń. Firma chciała przy tym sprawdzić nie tylko same zabezpieczenia, ale także czujność odpowiedzialnych pracowników. Okazało się, że byli oni w stanie dopiero post factum ? gdy zostali powiadomieni o ataku ? odnaleźć w systemie zapisy o zajściu.Co mówią statystyki włamań do finansowych instytucji w Polsce?Banki są bardzo ostrożne w ujawnianiu tego typu informacji. Pamiętają przypadek amerykańskiego Citibanku, który kilka lat temu podał do publicznej wiadomości fakt skutecznego ataku na jego system informatyczny. Chciał w ten sposób ostrzec środowisko bankowe. W efekcie jednak sprawa została bardzo nagłośniona przez media, co spowodowało utratę zaufania klientów i ich odchodzenie do innych banków. Z informacji wymienianych przez banki między sobą wynika jednak, że większość oszustw i kradzieży wykonywana jest metodami tradycyjnymi ? bez angażowania najnowszych technologii.Dziękuję za rozmowę.