Elementarnym źródłem wiedzy o zarządzaniu bezpieczeństwem środowiska teleinformatycznego w bankach jest wydana przez Komisję Nadzoru Finansowego Rekomendacja D. W wyraźny i zrozumiały sposób wyjaśnia od strony proceduralnej i technologicznej, jak należy przygotować infrastrukturę informatyczną w banku przy zachowaniu najwyższych standardów.
Standardy bezpieczeństwa banków są znacznie wyższe od tych, które reprezentują szpitale (pisaliśmy o nich tutaj: NACVIEW w służbie zdrowia! 40% zniżki do końca roku), a mimo to wiele z nich nie ma wdrożonych nawet podstawowych środków technicznych służących zasadom cyberbezpieczeństwa. Banki powielają negatywne praktyki, ignorując statystyki, które wyraźnie pokazują, że źle zabezpieczona infrastruktura jest najczęstszą przyczyną bolesnych w skutkach wycieków danych.
Standardy rekomendacji D dotyczą zarządzania ryzykiem, które towarzyszy systemom informatycznym i telekomunikacyjnym w bankach spółdzielczych. Konieczność dokonywania aktualizacji tych standarów wynika zarówno z szybkiego rozwoju technologicznego i wzrostu znaczenia technologii informacyjnej w działalności banków spółdzielczych, jak i z pojawiania się nowych zagrożeń w tym zakresie.
To właśnie banki spółdzielcze są tymi jednostkami, których standardy bezpieczeństwa odbiegają od normy. Brakuje w nich odpowiednich systemów informatycznych, które mogłyby zapewnić oczekiwany poziom zabezpieczenia. Częstym powodem jest brak środków na zakup drogich systemów lub brak zasobów ludzkich do wdrożenia odpowiednich rozwiązań.
Postanowiliśmy przeanalizować wybrane rekomendacje z trzech obszarów: zarządzanie infrastrukturą teleinformatyczną, kontrola dostępu i ochrona przed szkodliwym oprogramowaniem oraz zaproponować skuteczne rozwiązania przy wykorzystaniu systemu NACVIEW.
Architektura infrastruktury teleinformatycznej
9.5. Bank powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą dokonania podziału sieci teleinformatycznej na podsieci (logiczne lub fizyczne), oddzielone zaporami sieciowymi zapewniającymi odpowiedni poziom kontroli dostępu i wykorzystujące inne mechanizmy (np. szyfrowanie ruchu sieciowego) uwzględniające wymagany poziom bezpieczeństwa przetwarzanych w nich danych, np. poprzez:
- oddzielenie podsieci dla wewnętrznych systemów bankowych od podsieci dla systemów wymieniających dane z otoczeniem zewnętrznym,
- oddzielenie podsieci obsługujących back-office od front-office,
- wydzielenie podsieci na potrzeby administracji infrastrukturą,
- wydzielenie podsieci na potrzeby rozwoju systemów informatycznych.
9.7. Bank powinien posiadać sformalizowane zasady podłączania urządzeń końcowych (komputerów, urządzeń mobilnych) do infrastruktury teleinformatycznej. Opracowanie tych zasad powinno być poprzedzone przeprowadzeniem analizy ryzyka w tym zakresie. Ponadto w przypadku, gdy bank zezwala pracownikom na wykorzystywanie urządzeń prywatnych do celów służbowych, powinien on opracować sformalizowane zasady w tym zakresie, określające w szczególności:
- dopuszczalny zakres korzystania z takich urządzeń, wraz ze wskazaniem, jakiego rodzaju informacje mogą być na nich przetwarzane,
- dopuszczalne rodzaje urządzeń,
- dopuszczalne aplikacje, z których pracownicy mogą korzystać do celów służbowych,
jak również zapewnić wsparcie egzekwowania i kontroli tych zasad przez rozwiązania informatyczne oraz systematycznie edukować pracowników w zakresie bezpiecznego użytkowania urządzeń prywatnych do celów służbowych.
9.8. Korzystanie przez bank z sieci bezprzewodowych powinno wiązać się z analizą związanego z tym ryzyka. W szczególności bank powinien określić, jakie dane mogą być dostępne z wykorzystaniem tych sieci oraz jakie mechanizmy uwierzytelniania i szyfrowania będą wykorzystywane.
9.15. Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie.
Kontrola dostępu
11 Bank powinien posiadać sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej.
11.1. Systemy informatyczne eksploatowane przez bank powinny posiadać mechanizmy kontroli dostępu pozwalające na jednoznaczne określenie i uwierzytelnienie tożsamości oraz autoryzację użytkownika.
11.3. Proces zarządzania uprawnieniami powinien zostać sformalizowany w procedurach wewnętrznych, określających zasady wnioskowania, przydzielania, modyfikacji i odbierania dostępu do systemów lub ich funkcjonalności, jak również monitorowania dostępów. Zakres nadawanego dostępu nie powinien wykraczać poza merytoryczny zakres obowiązków i uprawnień użytkownika (w tym również użytkowników zewnętrznych, np. pracowników agencji bankowych) oraz podlegać okresowej kontroli.
11.10. Systemy informatyczne przetwarzające dane o wysokiej istotności dla banku powinny posiadać mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby zapisy tych rejestrów mogły – w przypadku wystąpienia takiej konieczności – stanowić wiarygodne dowody niewłaściwego lub niezgodnego z zakresem zadań użytkowników korzystania z tych systemów. Mechanizmy rejestracji zdarzeń powinny również uniemożliwiać nieuprawnione usuwanie lub modyfikowanie zapisów.
Ochrona przed szkodliwym oprogramowaniem
Bank powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem.
12.1. Bank powinien zapewnić automatyczną ochronę przed szkodliwym oprogramowaniem (takim jak wirusy, konie trojańskie, robaki, oprogramowanie rootkit itp.), zarówno w przypadku wymagających takiej ochrony centralnych elementów infrastruktury teleinformatycznej (serwerów, kontrolerów domeny itp.), jak i komputerów osobistych i urządzeń mobilnych. Ochrona ta powinna być realizowana w sposób ciągły, zaś użytkownicy nie powinni mieć możliwości jej wyłączenia. Zakres ochrony powinien wynikać ze stopnia narażenia każdego komponentu infrastruktury na wystąpienie zagrożenia, jak również potencjalnej dotkliwości skutków jego wystąpienia dla banku.
12.2. Aplikacje chroniące przed szkodliwym oprogramowaniem oraz sygnatury szkodliwego oprogramowania powinny być systematycznie aktualizowane. O ile to możliwe, bank powinien zapewnić, aby powyższa aktualność weryfikowana była każdorazowo przy próbie podłączenia urządzenia do sieci wewnętrznej banku.
12.3. Bank powinien posiadać sformalizowane zasady w zakresie ochrony przed szkodliwym oprogramowaniem, obejmujące w szczególności: – sposób postępowania z poszczególnymi rodzajami wykrytego szkodliwego oprogramowania, – tryb podejmowania decyzji o zaprzestaniu użytkowania zagrożonych komponentów środowiska teleinformatycznego lub ich izolowaniu od pozostałej części tego środowiska, – tryb informowania odpowiednich jednostek banku o zagrożeniu.
Wszystkie wymienione powyżej rekomendacje można wprowadzić skutecznie w życie, korzystając z możliwości, jakie daje wdrożenie systemu NACVIEW.
System umożliwia dokonanie podziału sieci na podsieci logiczne, co pozwala skutecznie odseparować niezależnie pracujące działy banku. Nad przydzielaniem grup pracowników do odpowiednich zasobów sieciowych czuwać mogą surowe polityki dostępowe, których użytkownicy nie są w stanie ominąć. Dzięki takiemu podejściu każdy użytkownik i urządzenie podlega sformalizowanym regułom i trafia do wskazanych w politykach VLAN’ów. Weryfikowanie rodzaju urządzenia i znajdujących się w nim aplikacji może odbywać się przy pomocy Agenta NACVIEW - zainstalowanego na urządzeniach końcowych lub z wykorzystaniem integracji z rozwiązaniami firm trzecich np. z systemem MDM. Podsumowując, NACVIEW decyduje o dopuszczeniu urządzenia końcowego do sieci lub nieudzielenia mu dostępu, gdy urządzenie nie spełnia wymogów bezpieczeństwa banku.
Wbudowany w systemie NACIEW Captive Portal może służyć pracownikom do rejestracji prywatnych urządzeń zgodnie z polityką firmy. Natomiast dostęp z ich prywatnych urządzeń do określonych zasobów i aplikacji może być ograniczony przez administratora dzięki wspomnianym wyżej politykom dostępu. Autoryzacja w systemie NACVIEW wykorzystuje standard uwierzytelniania standardem IEEE 802.1X, który jest powszechnie rekomendowany jako najskuteczniejsza i niezawodna forma uzyskiwania dostępu do sieci przewodowych i bezprzewodowych.
NACVIEW jest rozwiązaniem, które można w łatwy sposób zintegrować z innymi systemami bezpieczeństwa, takimi jak SIEM, antywirus, NGFW, UTM itp. Wymiana informacji pomiędzy systemami pozwala na sprawne wykrywanie zagrożeń (złośliwe oprogramowania, wirusy itp.) i izolowanie potencjalnie niebezpiecznych urządzeń od sieci. NACVIEW stale rejestruje urządzenia, na których zalogowany jest użytkownik, otrzymany adres IP i miejsce fizycznego przyłączenia do sieci. Są to informacje szczególnie istotne, jeżeli zaistnieje konieczność zidentyfikowania konkretnej osoby na podstawie adresu IP w przypadku niewłaściwego lub niezgodnego z zakresem zadań korzystania z systemu. Informacje o autoryzacjach użytkowników mogą być również stale przekazywane za pomocą API do innych systemów bezpieczeństwa, ułatwiając im wyszukiwanie anomalii i incydentów.
Pomimo że rekomendacja bezpośrednio odnosi się do banków, to jej stosowanie zaleca się wszystkim instytucjom działającym na rynkach finansowych.
Według punktu 5.10 rekomendacji Zasoby ludzkie
Bank powinien podejmować działania mające na celu minimalizację ryzyka związanego z ewentualnym odejściem z pracy kluczowych pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. W szczególności bank powinien:
- identyfikować kluczowych pracowników, których odejście wiąże się ze znacznym ryzykiem dla działalności banku,
- zapewnić dostępność aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego,
- zapewnić, że czynności przypisane do kluczowych pracowników są okresowo realizowane przez inne osoby (np. w trakcie odpowiednio długich urlopów kluczowych pracowników),
- posiadać opracowane programy sukcesji kluczowych pracowników,
- promować dzielenie się wiedzą między pracownikami,
- objąć informacją zarządczą istotne zdarzenia w zakresie kluczowych pracowników (w szczególności informacje o ich odejściach z pracy lub długotrwałych nieobecnościach).
NACVIEW jest łatwym w obsłudze i zarządzaniu systemem NAC opartym o technologię 802.1X, który posiada szczegółową dokumentację techniczną i wsparcie w języku polskim, co czyni go znakomitym wyborem w rozsądnej cenie.