20.03.2008

3.2008, „Bank”, Niebezpieczne dane

Obsługa klienta z sektora bankowego wymusza konieczność stosowania maksymalnej ochrony danych.

W świetle ochrony praw konsumenta oraz tajemnicy bankowej ważną kwestią jest właściwe zabezpieczenie danych osobowych oraz dokumentów. Banki są zobowiązane spełniać wyraźnie określone wymogi w zakresie przetwarzania danych osobowych.

Według „Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych w roku 2006” skargi dotyczące nienależytego wykonywania przepisów o ochronie danych osobowych przez instytucje finansowe stanowiły największy odsetek wszystkich rozpatrywanych w tym okresie spraw. Główne przyczyny pojawiających się nieprawidłowości to nieuregulowana kwestia udostępniania danych osobowych Biuru Informacji Kredytowej oraz Związkowi Banków Polskich, a także trudności we właściwym formułowaniu klauzul zgody na przetwarzanie danych osobowych. Pojawia się także problem natury technicznej, a mianowicie brak spójności systemów informatycznych banków z systemem BIK.

SCEDOWAĆ ZADANIA

Instytucje finansowe systematycznie dążą zwiększania bezpieczeństwa przetwarzanych danych osobowych. Wdrożenie wszystkich niezbędnych rozwiązań i procedur wy musza duże nakłady finansowe oraz znaczne zaangażowanie w ten proces pracowników banku. Z drugiej strony rosnąca konkurencja wymaga doskonalenia jakości obsługi klientów i elastycznego dostosowywania się do zmieniających się potrzeb odbiorców. W celu optymalizacji tego procesu obszary niezwiązane bezpośrednio z córę businessem banku, np. back office, są coraz częściej powierzane wyspecjalizowanym podmiotom zewnętrznym. Takie rozwiązanie pozwala scedować część odpowiedzialności za właściwą ochronę dokumentów i danych osobowych na firmę outsourcingową. Banki, które decydują się na powierzenie obsługi dokumentów podmiotowi zewnętrznemu, są szczególnie wyczulone na punkcie bezpieczeństwa, dlatego zapewnienie najwyższego poziomu ochrony danych jest jednym z kluczowych warunków decydujących o nawiązaniu takiej współpracy.

ZAGROŻENIA ZEWNĘTRZNE I WEWNĘTRZNE

System informatyczny to zarówno sprzęt, jak i oprogramowanie. Nawet najbardziej zaawansowane aplikacje nie gwarantują całkowitego bezpieczeństwa. Ważne jest również, aby w przypadku jakichkolwiek problemów zminimalizować ryzyko naruszenia bezpieczeństwa danych. Taka sytuacja miała miejsce 15 stycznia br., kiedy przydarzyła się wpadka centrum rozliczeniowemu VISA, które przekazało do banków błędne dane o transakcjach karłowych. Przyczyn problemu nie podano, jednak najbardziej prawdopodobne wydaje się, że zawiodło oprogramowanie, które w jakiejś szczególnej, nieprzewidzianej sytuacji zadziałało niepoprawnie. W przypadku naruszeń bezpieczeństwa nie można polegać wyłącznie na zabezpieczeniach systemowych, ponieważ mogą one posiadać potencjalne niewykryte luki. Wówczas pomocne stają się opisane wyżej procedury. Obecnie raczej nie zdarzają się włamania do systemów bankowych skutkujące przejęciem nad nimi kontroli przez włamywaczy. Zabezpieczenia typu „firewall” oraz bieżący monitoring są w stanie wcześnie wykryć takie próby, co daje możliwość szybkiego neutralizowania zagrożeń. Dzisiaj jednym z groźniejszych zjawisk jest wykradanie informacji poprzez podszywanie się przestępców pod pracowników banku bądź preparowanie stron internetowych do złudzenia przypominających strony instytucji finansowej, czyli tzw. phishing. W ten sposób wyłudzane są poufne dane, takie jak loginy, hasła, numery kart kredytowych. Metodą obrony przed takimi atakami jest określenie ścisłych procedur, skuteczne informowanie i uczulanie klientów, że jakiekolwiek odstępstwo od reguł powinno być traktowane jako potencjalne zagrożenie.

PROBLEM JEST „U MAS”

Drugą kategorią zagrożeń są wewnętrzne naruszenia procedur bezpieczeństwa – zarówno poprzez działania świadome, jak i nieświadome. Tam, gdzie do najbardziej poufnych danych mają dostęp ludzie, zawsze istnieje ryzyko, że wykorzystają oni swoje uprawnienia do działalności przestępczej lub (co zdarza się częściej) na skutek zaniedbania dopuszczą do ujawnienia poufnych danych osobom nieupoważnionym. Przed tego typu zagrożeniami zabezpieczają się także firmy outsourcingowe, świadczące usługi back office dla sektora bankowego. Pracownicy takich podmiotów często przechodzą szkolenia z zakresu znajomości procedur bezpieczeństwa. Powszechnie stosowane są także klauzule poufności o ochronie tajemnicy służbowej, a osoby mające styczność z niektórymi kategoriami dokumentów posiadają dodatkowo stosowne certyfikaty, np. „Poświadczenie Bezpieczeństwa” wydawane przez Agencję Bezpieczeństwa Wewnętrznego. Podmioty świadczące usługi z zakresu back office stosują także specjalne procedury, m.in. systemowe śledzenie czynności operacyjnych wykonywanych przez pracowników i drogi każdego z dokumentów, kontrola dostępu do danych (kontrola logowania, okresowo przydzielane hasła).

ODPOWIEDZIALNOŚĆ OUTSOURCERA

Firmy outsourcingowe, przechodzące liczne audyty zewnętrze i wewnętrzne przeprowadzane zarówno przez banki, jak i instytucje nadzoru, są w stanie zagwarantować najwyższą jakość i bezpieczeństwo przetwarzanej dokumentacji. Często są to standardy przewyższające wymogi stawiane w tym zakresie przez prawo. Obsługa klienta z sektora bankowego wymusza bowiem konieczność stosowania maksymalnej ochrony danych – zarówno na poziomie informatycznym, fizycznym, jaki logistycznym. Dostawcy usług outsourcingu z zakresu zarządzania dokumentami oferują know-how, doświadczenie, specjalistyczną infrastrukturę oraz przeszkolonych pracowników. Bank otrzymuje rozwiązanie dobrane do jego indywidualnych potrzeb, a dokładne parametry poziomu bezpieczeństwa są definiowane przez umowę SLA.

CO NALEŻY ZROBIĆ, ZĘBY ZAPOBIEC WYCIEKANIU DANYCH?

  • Konieczne jest ścisłe zdefiniowanie uprawnień na poszczególnych stanowiskach pracy.
  • Logowanie informacji o udostępnieniu określonych danych konkretnym osobom.
  • Budowanie świadomości pracowników o istnieniu tych logów i o możliwości dotarcia do potencjalnych źródeł ewentualnego wycieku.
  • Zawarcie w procedurach bezpieczeństwa mechanizmów kontroli ich przestrzegania.
  • Częste przypominanie pracownikom o obowiązujących zasadach bezpieczeństwa

JAKIE ZABEZPIECZENIA?

Firmy specjalizujące się w usługach z obszaru back office stosują szereg rozwiązań organizacyjnych i technicznych pozwalających spełnić nawet najbardziej rygorystyczne normy bezpieczeństwa:

  • urządzenia filtrujące ruch sieciowy (firewall);
  • szyfrowanie połączeń;
  • zapewnienie wysokiej niezawodności i dostępności systemów informatycznych (klastrowanie, replikacja, redundancja sprzętowa, centrum zapasowe);
  • ściśle zdefiniowane zasady bezpieczeństwa i uprawnienia zarówno w stosunku do poszczególnych modułów systemu, jak i do poszczególnych ról użytkowników;
  • odpowiednią organizację monitorowania pracy systemu ze szczególnym uwzględnieniem procedur zapobiegania i wykrywania włamań;
  • ściśle zdefiniowane zasady fizycznego dostępu do serwerów i innych kluczowych elementów systemu;
  • logowanie wszystkich dostępów do danych systemu;
  • procedury monitoringu operacji wraz z możliwością przeprowadzenia dodatkowej weryfikacji;
  • fizyczną ochronę pomieszczeń.

Andrzej Marcol dyrektor Działu Rozwoju Technologii ArchiDoc

Udostępnij