Ile kosztuje bezpieczeństwo w banku
Kiedyś UOP wymagał zakodowania hasła w taki sposób, aby nikt inny nie był w stanie go odczytać, co prowadziło tylko do tego, że było jeszcze jedno hasło do zapamiętania. Jeden z banków raz w miesiącu generował nowe hasła i rozsyłał je do wszystkich użytkowników e-mailem. Zarządzanie tożsamością i bezpieczeństwo są ważnymi problemami do rozwiązania również w firmach sektora finansowego - dyskutowali o tym zaproszeni przez "Gazetę Bankową" i CA prezesi, dyrektorzy i konsultanci.
W dyskusji wzięli udział: Piotr Owerski, Senior Consultant CA, Piotr Owerski, Senior Consultant CA, Marcin Motel, Country Manager CA, Mariusz Kaczmarek, dyrektor Departamentu Rozwoju Technologii Raiffeisen Bank Polska, Mariusz Pawłowski, Managing Partner Optima Partners, Piotr Werczyński, Director IT Systems Operations PZU, Krzysztof Halicki, Senior Project Manager CA
"Gazeta Bankowa": Nikt w bankach nie przyznaje się do problemów z bezpieczeństwem. Może jednak ktoś powie o jakiejś wpadce albo o tym, ile kosztuje bezpieczeństwo?
Hubert Meronk, Managing Director PKO Bank Polski: Technologie idą do przodu. Hakerzy wykorzystują nowe możliwości, a my za zabezpieczenia płacimy z roku na rok coraz więcej, teraz jest to ok. 150 USD na pracownika. Ponieważ zatrudniamy 30 tys. osób, to w sumie jest to już znaczna kwota. Nie mówimy przy tym, że każdy pracownik codziennie spędza 12-15 minut przy samym logowaniu. Niebawem rozpoczniemy realizację projektu Samba Banku PKO BP, rozumiem więc troskę CA.
Piotr Owerski, Senior Consultant CA: Według Enterprise Management Associates tylko Intrusion Detection and Prevention wyprzedza Identity and Access Management w rozpoznawalności zagrożeń - tak odpowiedziało 60 proc. badanych, którzy twierdzili, że najważniejsza jest ochrona przed atakami, ale już na drugim miejscu znalazła się kontrola tożsamości i dostępu. Tak więc rozpoznawalność tego zagrożenia w instytucjach bankowo-finansowych jest stosunkowo wysoka.
Marcin Motel, Country Manager CA: Myślę, że ważna jest formuła bezpieczeństwa i przyjęcie jakiejś definicji bezpieczeństwa. Jako CA chcielibyśmy to pojęcie rozumieć jak najszerzej. Mówię o tym dlatego, że dotychczas często spotykaliśmy się z tym, że nasi klienci, również ci całkiem zaawansowani technologicznie, postrzegali bezpieczeństwo jako ochronę przez zewnętrznymi zagrożeniami. Natomiast my chcemy rozszerzyć to pojęcie i aktywnie promować rozwiązanie problemu oraz doradzać również w zakresie bezpieczeństwa wewnętrznego. O tym, że jest to problem świadczą statystyki. Ale słucham panie Mariuszu...
Mariusz Kaczmarek, dyrektor Departamentu Rozwoju Technologii Raiffeisen Bank Polska: Ja myślę, że nie jest tak źle. Nie wiem jak panowie, ale my zajmujemy się tematem Identity Management od ponad trzech lat. Jest to co prawda rozwiązanie konkurencyjne w stosunku do CA, ale przynosi dokładnie taki efekt, jaki chcieliśmy osiągnąć. Rozpoczął pan od kwestii bezpieczeństwa i rzeczywiście śmiałbym się przychylić do tego, że komórki bezpieczeństwa w różnych instytucjach nie są jednakowe. Tak naprawdę security IT jest dopiero budowane przez struktury zewnętrzne w stosunku do własnego IT. Wiadomo jednak, że w ten sposób można sobie uprościć pracę, a użytkownikom życie.
"Gazeta Bankowa": Na jakim etapie jest wasz bank?
Mariusz Kaczmarek: Ponad 80 proc. systemów używanych przez pracowników korzysta z tego samego repozytorium katalogowego usług. Wszystko jest zintegrowane w jednym pakiecie. Mamy jeszcze taką bardzo małą funkcjonalność, w której każdy może sam zmieniać hasła we wszystkich platformach i systemach, nie angażując zespołu IT. Jeżeli ktoś zapomni hasła, to korzysta z self service'u i sam może je sobie odblokować. Dzięki temu w 2005 r. zatrudnienie w IT zmniejszyliśmy o 8 etatów informatyków, którzy zajmowali się nadawaniem uprawnień użytkownikom. W tym roku zredukowaliśmy kolejne 4 etaty, uzyskując w sumie 5-10-proc. oszczędność. Teraz właściciele aplikacji sami definiują dostęp użytkownikowi.
Hubert Meronk: To jest oszczędność 5-10-proc. w skali pionu informatyki?
Mariusz Kaczmarek: Jeżeli mówimy o utrzymaniu, to jest to nie więcej niż 15 proc.
Hubert Meronk: To jest rzeczywiście duża oszczędność, jeżeli została uzyskana tylko z części systemu związanej z kontrolą dostępu i tożsamością.
Marcin Motel: Nasze doświadczenia z realizacji takich projektów wskazują, że jeżeli projekt nie jest właściwie zabudżetowany i wspierany zarówno przez zarząd jak i użytkowników, to szanse jego powodzenia są niewielkie. Oczywiście, to co pan powiedział wykorzystamy zapewne w naszej strategii sprzedaży. Bezpieczeństwo to nie wszystko, ważna jest też wygoda i to nie tylko działu IT, ale również użytkowników.
Hubert Meronk: Wydaje mi się jednak, że nie wolno zapominać o bardzo ważnej stronie prawnej, o legislacji bankowej. Mam tu na myśli bezpieczeństwo, którego zasady regulują różne przepisy. Pod tym względem rola IT w PKO BP jest bardzo ważna i silna.
Mariusz Pawłowski, Managing Partner Optima Partners: Chciałbym na chwilę wrócić do liczby włamań do systemów bankowych i odpowiem przekornie, że poza tymi, które zostały opisane w prasie - nie ma żadnych...
Hubert Meronk: Mogę panu przerwać? Przykład jest oczywiście z innej instytucji, ale chodzi mi o pewien typ zachowań. Kilka osób czeka przed gabinetem lekarskim. U jednej z nich dzwoni telefon i pewien fragment rozmowy brzmi mniej więcej tak: wiesz, jestem u lekarza i w pracy będę dopiero około 10, więc wpisz moje ID (tu podaje swoje ID) i hasło (podaje hasło). Na tym rozmowa się skończyła. Wśród czekających była osoba zajmująca się bezpieczeństwem IT, o czym nie wiedzieliśmy, ale gdy ta osoba usłyszała to co my wszyscy, to zdębiała. To chyba najlepiej pokazuje, że nawet najlepsze systemy bezpieczeństwa nie są w stanie tego bezpieczeństwa zapewnić, bo nie jest możliwe przewidzenie wszystkich ludzkich zachowań. Zwłaszcza że pod tym względem "kreatywność" jest nieograniczona.
Mariusz Pawłowski: No cóż, ja jednak nawiążę do tego, co powiedział pan Marcin. Ja też spotykałem się z wieloma "bezpiecznikami", ale zwykle udawało mi się z nimi dogadywać, chociaż czasami było ciężko. Identity and Access Management to rozwiązania o bardzo szerokim zastosowaniu dlatego, że obejmują one nie tylko bezpieczeństwo i IT, ale dotyczą też użytkowników. Wiadomo też, że jeżeli w czasie wdrażania nie uda się mocno zaangażować wszystkich w ten proces, to całe wdrożenie będzie skazane na niepowodzenie. W USA ważne jest hasło SOX i jeżeli rozwiązanie jest z nim zgodne - to jest dobre. W Polsce konieczna jest umiejętność przekonania "biznesu", że będzie to dla nich superrozwiązanie.
"Gazeta Bankowa": Amerykańska ustawa Sarbens-Oxley dotyczy jednak nie tylko bezpieczeństwa i być może dlatego nasze firmy za nią nie przepadają...
Mariusz Pawłowski: SOX odnosi się przede wszystkim do firm notowanych na giełdzie. Rzeczywiście w Polsce nie byłby żadnym atutem, gdyby nie zalecenia audytowe dla banków. Zanim jednak zacznie się wdrażanie czegoś nowego, to najpierw jest część proceduralna. Wdrożenie technologii to zaledwie 30-40 proc. całości. Zwracam uwagę, że w USA tak naprawdę jest to moda na SOX i kultura firmy. Polska jest pod tym względem bardzo specyficzna. Jeżeli wdrożenie systemu byłoby związane tylko ze zgodnością z prawem, to prawdopodobnie nie byłoby żadnych wdrożeń. U nas ważne są korzyści biznesowe i to jedynie one powodują popyt.
Piotr Werczyński, Director IT Systems Operations PZU: Padło słowo, na które czekałem - kultura. Moje doświadczenie mówi, że sprawa bezpieczeństwa to fragment kultury korporacyjnej. W dużych organizacjach, jeżeli nie ma zrozumienia tego problemu, to sprawdza się teza, że jest to zagrożenie dla organizacji. W przypadku banków - jak sądzę - jest to również chwyt marketingowy mówiący o tym, że pieniądze klientów są bezpieczne. Zwracam uwagę, że o ile 10 lat temu bezpieczeństwo było elementem jakości, to aktualnie jest wymogiem dla takich firm jak PZU, którego produkty coraz bardziej upodabniają się do produktów bankowych. Dlatego, tak jak powiedział pan Mariusz, firma strzeże nie tyle samych komputerów i systemów, a informacji jakie się w nich znajdują, czyli zawartości systemów, więc pracownik musi zrozumieć, że na co dzień to on przez swój dostęp do różnych informacji i systemu jest elementem ryzyka w firmie.
Hubert Meronk: Chciałem tylko zwrócić uwagę, że można bardzo szybko zbudować system bezpieczeństwa w wersji elektronicznej, dlatego w tej chwili chcemy zbudować system przetwarzający dokumenty papierowe na wersję elektroniczną. Takie rozwiązania przynoszą duże korzyści chociażby dlatego, że zdecydowanie przyspieszają obieg dokumentów.
Piotr Werczyński: To również wymaga określenia i przestrzegania wewnętrznych standardów bezpieczeństwa. Na szczęście IT może wykazać się mierzalnością problemu. Przy czym warto zwrócić uwagę, że Amerykanie mówią, że jeżeli czegoś nie mierzymy, to tym nie zarządzamy. Tak więc IT, które potrafi mierzyć bezpieczeństwo staje się "właścicielem" procesu.
Mariusz Kaczmarek: To jest takie "właścicielstwo bezpieczeństwa". U nas komórki IT i bezpieczeństwa są rozdzielone. Natomiast nie wierzę w to, że pracownik wielkiej firmy zastanawia się nad tym, dlaczego nie może robić pewnych rzeczy. Dotyczy to również tak banalnych spraw, jak wysyłanie e-maili do kolegów, w ogóle wysyłania pewnych informacji w świat, kopiowania danych na podręczne nośniki itd. Uważam, że takie zabezpieczenia muszą być proste i "idiotoodporne", a to znaczy, że jeżeli można je uprościć, to należy tak zrobić. W ten sposób można też uzyskać przewagę konkurencyjną - przez zarządzanie takimi rozwiązaniami.
Marcin Motel: Czy izolacja nie ogranicza elastyczności, bo co się dzieje, gdy w firmie nie ma osoby odpowiedzialnej?
Mariusz Kaczmarek: A to mnie pan prowokuje. Jeszcze niedawno mieliśmy inny system, w którym uprawnienia, przywileje i możliwości działania faktycznie nie były zarządzane. Przy zmianie systemu takie uporządkowanie było jednym z warunków nowego wdrożenia. Chodziło między innymi o przypisanie ról pracownikom, określenie ich dostępu do poszczególnych miejsc. Udało nam się zbudować "mapę uprawnień" i automatycznie zarządzać tą mapą. Już tu pojawił się wymóg elastyczności rozwiązania. Pracownik, który definiuje uprawnienia na określonym stanowisku, musi od razu wykonać zabezpieczenie przed dokonaniem transakcji nieuprawnionych. A to znaczy, że wiedza zarówno komórki bezpieczeństwa, jak i właściciela aplikacji dotycząca tego co wolno, a czego nie wolno pracownikowi na określonym stanowisku wkracza w obszar kultury korporacyjnej.
Piotr Werczyński: Odwołam się znowu do kultury organizacyjnej. Ten problem można odwrócić i zapytać: ile kosztuje brak bezpieczeństwa, a właściwie ile może kosztować? Jeżeli spojrzymy na problem długofalowo, to koszt bezpieczeństwa wpisuje się w cały biznes i ludzie związani z IT to doskonale rozumieją. Problem polega jednak na tym, że nakłady na bezpieczeństwo obciążają stronę biznesową, bo w ich interesie jest zabezpieczenie informacji przed wyciekaniem na zewnątrz. Wszystkie narzędzia są świetne, ale najważniejsza jest własna strategia, coś o co w firmach nie jest łatwo i wtedy dochodzi do sytuacji, kiedy wdraża się pierwsze z brzegu rozwiązanie, które nie pasuje do firmy, a efekt jest taki, że nie spełnia ono swojego zadania i jest to inwestycja ewidentnie chybiona.
Mariusz Pawłowski: Gdybyśmy poszli tropem kultury, o czym wspomniał pan Piotr, to mógłby to być temat kolejnej debaty. Tymczasem to jest proces. Potrzebna jest świadomość, więc powstaje pytanie, jak ją zbudować, żeby to było skuteczne i efektywne. Natomiast co do etatów, o których wspomniał pan Mariusz, to jaki los spotkał ludzi, którzy nagle przestali być potrzebni? Rozwiązania informatyczne zwykle doprowadzają do redukcji etatów, a więc zwalniania pracowników, a to bardzo często wiąże się z dużym oporem po stronie biznesu. Przy dużych rozwiązaniach IAM oszczędności etatowe mogą być bardzo znaczne bo sięgające setek etatów i to jest poważny spowalniacz wdrażania nie tylko IAM, ale wszystkich rozwiązań informatycznych.
"Gazeta Bankowa": Panie Krzysztofie, w sytuacji kiedy świadomość potrzeb klientów jest niewielka, czy elastyczność systemu nie jest przez nich wręcz ograniczana?
Krzysztof Halicki, Senior Project Manager CA: Ja patrzę na to bardziej od strony wdrażania. Tak jak pan Piotr powiedział, elastyczność systemów jest naprawdę na bardzo wysokim poziomie. W rzeczywistości jest faktycznie tak jak powiedział pan Mariusz, że elastyczność często przeszkadza zamiast pomagać. Tak więc, nie należy tu przesadzać. Ponieważ systemy zarządzania tożsamością i dostępem pozwalają uporządkować całą strukturę, więc nie zawsze są one sprzedawane jako rozwiązania bezpieczeństwa. To jest po prostu optymalizacja kosztów. Na przykład ujednolicenie systemu sprawia, że nagle drastycznie spada liczba interwencji "help desku", spowodowana tym, że użytkownik zapomniał hasła, a tu warto wiedzieć, że zwykle jest to kilkadziesiąt procent wszystkich pytań, jakie otrzymuje "help desk".
Hubert Meronk: Wydaje mi się, że znaleźć złoty środek, który uruchomi jednocześnie zarządzanie wiedzą, SOX, bezpieczeństwo i kulturę użytkowników jest bardzo trudno. Na przykład w przypadku portalu internetowego trudno mówić o walorach SOX. Dlatego wydaje mi się, że do każdej aplikacji i systemu trzeba mieć indywidualne podejście.
Mariusz Kaczmarek: To właśnie robiliśmy przez ostatnie trzy lata. Wprowadzenie usług katalogowych wcale nie było takie proste. Standaryzacja profili była przeprowadzona bez "dotykania" użytkowników. Mamy czytelną strategię rozwoju struktury i aplikacji. Jeżeli coś nie jest zgodne z naszym systemem bezpieczeństwa, tego po prostu nie robimy. Jeżeli chodzi o aspekt technologiczny to wiem, że wszystko można zbudować i jest to tylko kwestia czasu i pieniędzy. Natomiast jest to tylko początek. Im szybciej zbudujemy standard, tym szybciej możemy odpowiadać na określone potrzeby klienta. Strategia jest oczywiście wielowątkowa. Jednej drogi dojścia do bezpieczeństwa danych chyba jednak nie ma. Jeśli wiemy kto do kogo raportuje, to ten schemat tak naprawdę przekłada się na wszystkie systemy. Jednocześnie powinno być tak, że przy przejściu pracownika na inne stanowisko, uprawnienia powinny "przejść" za nim.
Piotr Owerski: Oba modele są technologicznie do zaimplementowania. Dla technologii nie ma znaczenia, jaki kierunek zostanie wybrany, bo technologia jest przygotowana na oba. Opierając się na zarządzaniu przez role nasze rozwiązania przewidują np. migracje pracownika i przeniesienie go na inne stanowisko. Zmieniają się przy tym jego przywileje, odpowiednio do nowych zadań. Wszystkie pozostałe elementy są uaktualniane automatycznie, w tle, bez udziału człowieka. Natomiast czy technologia jest elastyczna? Poza aplikacjami, które są specyficzne dla banków, wszystkie inne programy są już zintegrowane. Tak że to już jest tylko kwestia odpowiedniego skonfigurowania wg własnej polityki bezpieczeństwa, standardów, procedur, a więc nie jest to kwestia elastyczności technologii, a własnej strategii ochrony i celu jaki się chce osiągnąć.
Mariusz Kaczmarek: Czy jesteście w stanie zarządzać zdalnie systemem?
Piotr Owerski: Tak. Jak najbardziej i to niezależnie od platformy.
Mariusz Kaczmarek: My standardowe uprawnienia nadajemy w pakiecie. Tak naprawdę cały proces automatyzacji jeszcze trwa i spodziewam się, że już na początku przyszłego roku wszystko będzie załatwiane bezzwłocznie, czyli tyle czasu, ile będzie potrzebował na to przełożony nowego pracownika.
Marcin Motel: Nasza technologia jest elastyczna w obu obszarach, czyli tym początkowym, adaptacyjnym kiedy zachodzi potrzeba uruchomienia jej z różnymi systemami wykorzystywanymi przez tak dużą instytucję jaką zarządza pan Hubert, gdzie są różne systemy operacyjne, bazy danych, platformy sprzętowe i systemowe oraz różne aplikacje. Tu elastyczność oczywiście im jest większa, tym jest lepsza. Natomiast tak zwana elastyczność dynamiczna powinna być wyważona pod względem bezpieczeństwa systemu. Tu, przy wyważaniu wymagany jest pewien balans. Kto powinien to robić?
Hubert Meronk: Właśnie chciałem też zapytać, czy ktoś z państwa już myślał o połączeniu kontroli dostępu do aplikacji z bezpieczeństwem? Czy to już ktoś zrobił?
Mariusz Kaczmarek: Jesteśmy w trakcie takiego procesu, ale mamy inny system. Mam zestandaryzowane prawa dostępu i u mnie użytkownik nie będzie miał więcej praw niż to wynika ze standardu. Teraz chodzi tylko o jeszcze lepsze rozpoznanie struktury.
Mariusz Pawłowski: Bardzo łatwo powiedzieć, że za bezpieczeństwo odpowiedzialni są wszyscy pracownicy, ale trudno to wyegzekwować. Być odpowiedzialnym, to nie znaczy czuć się odpowiedzialnym i tu znowu dochodzimy do kwestii kultury organizacyjnej, wiedzy i edukacji... Tymczasem przy wprowadzaniu nowego rozwiązania kanonem są trzy podstawowe kroki: zaprojektowanie, zaimplementowanie i skonfigurowanie. Ten ostatni jest przysłowiową kropką nad i, bo dopiero właściwa konfiguracja pozwala system dobrze wykorzystać. I dopiero tu zaczyna się problem. Znam firmy, które mają duże dobre systemy, które są źle skonfigurowane i po prostu nie można z nich korzystać. Jest to efekt braku, a może po prostu tylko złej polityki bezpieczeństwa. Winny jest użytkownik, czy firma wdrożeniowa?
Piotr Owerski: To prawda, możliwe są oba kierunki, więc wybór powinien wynikać z własnej polityki bezpieczeństwa. Przy okazji chcę powiedzieć o naszych doświadczeniach, jak dochodzi się do skutecznego wdrożenia zarządzania tożsamością. Są trzy warunki: musisz mieć wizje całości, zaczynasz od niewielkiego fragmentu, ale musisz wiedzieć do jakiej wielkości będziesz rozwiązanie skalował. Strategia zarządzania musi być zdefiniowana, bo systemy IAM służą również do kontrolowania administratorów IT. Tu oczywiście można natrafić na "opór materii" w IT, bo dlaczego ja mam być kontrolowany? Jeżeli nie będzie nacisku biznesowego lub nacisku "z góry" na instalację takiego rozwiązania, to taki projekt jest od początku skazany na niepowodzenie, a co najmniej na przedłużenie wdrożenia. Sukces wymaga więc bezwzględnie widzenia całości problemu i poparcia "góry"...
"Gazeta Bankowa": Więc na jakim poziomie należy zarządzać bezpieczeństwem?
Piotr Werczyński: Każdy przykłada inną wagę do rozwiązania tego problemu. My postawiliśmy na budowanie świadomości pracowników. W pierwszej kolejności postawiliśmy na strategiczne komponenty całego systemu. Realizacja całej strategii będzie jeszcze trwała, ale to już działa i teraz pewne sygnały o możliwych zagrożeniach docierają do nas znacznie wcześniej, jeszcze zanim te zagrożenia się pojawią.
Marcin Motel: Ja wyciągnąłbym z tej dyskusji taki wniosek, że system jest potrzebny, a druga część to kultura organizacyjna, czyli potrzeba pracy z użytkownikami. W naszej firmie, posiadając różne narzędzia, korzystamy z nich. Oprócz tego, oczywiście, prowadzimy wewnętrzne szkolenia w zakresie zgodności i bezpieczeństwa.
Hubert Meronk: Warunki wdrażania nowych systemów w firmach prywatnych i państwowych są różne. W PKO BP wprowadzanie nowych standardów jest trudne i bez przesady można powiedzieć, że jest to poważne wyzwanie.
Mariusz Kaczmarek: To zależy od ludzi, bo z takim samym zjawiskiem spotkałem się w firmie stosunkowo młodej, niespełna dziesięcioletniej, więc trudno mówić, że takie problemy cechują firmy państwowe.
Piotr Werczyński: Zazdroszczę panom tego, co udało się wam osiągnąć, ale uważam, że to jednak świadomość każdego pracownika o współodpowiedzialności za bezpieczeństwo firmy daje dopiero gwarancję tego bezpieczeństwa.
Mariusz Pawłowski: Problemy z bezpieczeństwem są zarówno w naszych firmach państwowych, jak i zachodnich korporacjach. Różne są może tylko źródła: skostnienie w firmach państwowych, a w korporacjach ciążąca im historia. Tak czy inaczej, wszystkie problemy sprowadzają się do tego samego - tworzenia wewnątrz organizacji struktur, które są niewzruszalne...
Gazeta Bankowa": To też inny temat, o którym można by długo dyskutować, a na zakończenie...
Mariusz Kaczmarek: Na pewno nie jesteśmy właścicielem procesu związanego z bezpieczeństwem, tym powinna zarządzać komórka "security". IT odgrywa jedynie rolę współtwórcy bezpieczeństwa - i to powinniśmy wykorzystać.
Mariusz Pawłowski: Panuje taki stereotyp pojęciowy, że wszystko co ma w nazwie technologia, to oczywiście podlega pod IT. To jest oczywiście błędne, ale wynika z tego, że IT często bierze na siebie odpowiedzialność IAM, nawet za to, co służy biznesowi ma odpowiadać IT.
Hubert Meronk: Nieważne, czy jest to IT government czy coś innego. W swoim banku staram się być partnerem w tworzeniu bezpieczeństwa.
Marcin Motel: My też chcemy być partnerem przy tworzeniu polityki bezpieczeństwa, a nie tylko dostawcą oprogramowania. Widzimy sukces we wdrażaniu systemów IAM przede wszystkim na wstępnym etapie wdrażania systemu i to zarówno na poziomie biznesowym, technologicznym i bezpieczeństwa.
- Dziękuję panom za dyskusję.
Moderatorem dyskusji był Lech Piesik