Bank PKO BP SA zarządza dostępem do aplikacji i pomieszczeń oraz podpisuje cyfrowo dokumenty za pomocą rozwiązania PKI opartego na usługach platformy Windows Server 2008.
Andrzej Sadłowski, Dyrektor Zarządzający kierujący Pionem Bezpieczeństwa i Zarządzania Gotówką w PKO BP SA
Niewiele jest technologii tak uniwersalnych, jak Infrastruktura Klucza Publicznego (PKI – Public Key Infrastructure). Solidne podstawy teoretyczne, wysoki poziom zaufania, oraz abstrakcyjność samej idei sprawiają, że PKI sprawdza się w bardzo wielu dziedzinach. Bank PKO BP SA postanowił wykorzystać tę uniwersalność, by zbudować scentralizowany system uwierzytelniania użytkowników, urządzeń i aplikacji w sieci korporacyjnej, a także mechanizmy do bezpiecznego podpisywania dokumentów i poczty elektronicznej.
„Dzięki unikalnym własnościom, PKI umożliwia informatyzację procedur, które dotychczas wykorzystywały dokumenty papierowe. Chodzi w szczególności o wymianę informacji poufnych o strategicznym znaczeniu dla banku miedzy zarządem banku i dyrektorami wysokiego szczebla” – mówi Wiesława Szala, Dyrektor Zarządzający kierujący Pionem Informatyki w Banku PKO BP SA.
Na fundament rozwiązania wybrano najnowszą wersję platformy serwerowej firmy Microsoft – Microsoft Windows Server 2008. „Usługi PKI działały stabilnie przewidywalnie już w wersji beta nowego systemu, dlatego zdecydowaliśmy się na pilotaż, a od wersji RC1 – i później RTM – na wdrożenie usługi w centrali, a do końca 2008 r. w całym banku” – Krzysztof Szczepański, Zastępca Dyrektora Departamentu Bezpieczeństwa w PKO BP SA.
Środowisko Certificate Authority (CA) w banku PKO BP SA składa się z kilku serwerów, które współpracują ze specjalizowanymi modułami do sprzętowego generowania certyfikatów. Architektura rozwiązania zapewnia mu płynne skalowanie zarówno na poziomie platformy, jak i samych usług PKI.
Projekt architektury całego rozwiązania PKI w PKO BP SA stworzył Jacek Nowicki wraz z zespołem Microsoft® Consulting Services. Dział MCS był również aktywnie zaangażowany we wdrożenie rozwiązania i jego wszechstronne testowanie przed uruchomieniem w trybie produkcyjnym.
„To był projekt o skali i wymaganiach analogicznych jak w przypadku publicznych Urzędów Certyfikacji z prawem do wydawania certyfikatów kwalifikowanych. W praktyce był nawet trudniejszy, bo obejmował infrastrukturę dostępową i jej integrację z Urzędem” – mówi Jacek Nowicki, konsultant Microsoft Consulting Services.
|
Informacje o firmie
Bank PKO BP SA to jeden z największych banków detalicznych w Polsce, posiadający ponad 1200 placówek własnych i ponad 2500 agencji na terenie całego kraju. Bank zatrudnia ok. 30 tys. osób, a zysk netto na koniec 2007 r. wyniósł 2,7 mld zł.
Wyzwanie
PKO Bank Polski SA jest największym, a zarazem jednym z najstarszych polskich banków. Prestiż marki budowany był przez wiele dziesięcioleci, a z usług banku skorzystało już kilka pokoleń Polaków. Oferta banku jest stale dostosowywana do zmieniających się warunków rynkowych oraz rosnących wymagań klientów.
|
Bank od lat jest liderem polskiego rynku usług finansowych. Dysponuje m.in. największą w Polsce siecią oddziałów terenowych oraz jedną z największych sieci bankomatów. Stale rozwijane są także inne kanały elektroniczne, w tym bankowość internetowa oferowana pod marką PKO Inteligo, oraz „iPKO” i terminale płatnicze (eService).
PKO BP SA jest liderem rynku usług finansowych dla klientów indywidualnych. Prowadzi najwięcej depozytów i rachunków ROR. Zajmuje również pierwszą pozycję pod względem liczby wydawanych kart płatniczych. PKO BP SA ma znaczący udział w rynku usług oferowanych gminom, powiatom i województwom. Jest również najbardziej liczącym się organizatorem emisji obligacji komunalnych.
Grupa PKO BP SA świadczy także usługi specjalistyczne oraz zajmuje się sprzedażą:
| • | rozmaitych produktów finansowych (np. fundusze emerytalne), |
| • | produktów leasingowych, |
| • | jednostek funduszy inwestycyjnych |
| • | elektronicznych usług płatniczych |
Nowa strategia biznesowa PKO BP SA zakłada wykorzystanie informatyki jako narzędzia walki konkurencyjnej. Aby tak w istocie się stało, systemy informatyczne muszą spełnić szereg nowych wymagań, zarówno użytkowych, jak i związanych z bezpieczeństwem informacji.
"Informatyka jako narzędzie walki konkurencyjnej musi naprawdę przyspieszać procesy i likwidować niepotrzebne opóźnienia. Przeniesienie procesów do specjalizowanych narzędzi nie może się przy tym odbywać ze szkodą dla szeroko pojętego bezpieczeństwa informacji” – mówi Krzysztof Szczepański,.
Do realizacji obu tych celów PKO BP SA postanowił wykorzystać Infrastrukturę Klucza Publicznego (PKI – Public Key Infrastructure) z własnym Urzędem Certyfikacji (CA – Certificate Authority). PKI pozwala stworzyć bardzo pewny system uwierzytelniania użytkowników i mechanizmy zapewniające niezaprzeczalność pewnych czynności, jak np. podpisywanie dokumentów, zlecanie transakcji itp.
„Dzięki unikalnym własnościom, PKI umożliwia informatyzację procedur, które dotychczas wykorzystywały dokumenty papierowe. Chodzi w szczególności o wymianę informacji poufnych o strategicznym znaczeniu dla banku miedzy zarządem banku i dyrektorami wysokiego szczebla” – dodaje Wiesława Szala, Dyrektor Zarządzający kierujący Pionem Informatyki w Banku PKO BP SA.
Zamiarem PKO BP SA nie było jednak ograniczanie wdrożenia PKI jedynie do menedżerów i członków zarządu. Ze względu na swoją uniwersalność i bezpieczeństwo, bank już kilka lat temu wybrał tę technologię jako podstawę ogólno bankowego systemu uwierzytelniania użytkowników w sieciach i aplikacjach. Technologia PKI miała także służyć do podpisywania i szyfrowania poczty elektronicznej. Aby plany stały się rzeczywistością, sytuacja musiała jednak dojrzeć – w wielu wymiarach.
„Budowa systemu uwierzytelniania opartego na PKI wymaga wsparcia sprzętowego. Przechowywanie kluczy na nośnikach innych niż bezpieczne karty mikroprocesorowe wręcz pogorszyłoby stan bezpieczeństwa. W tym świetle można powiedzieć, że pierwszy etap budowy PKI trwał przez ostatnie kilka lat, kiedy to bank etapowo wymieniał komputery na modele wyposażone w czytniki kart” – tłumaczy Krzysztof Szczepański.
Równolegle z wymianą sprzętu bank analizował możliwości różnych platform do kompleksowego zarządzania certyfikatami. Pod uwagę brane były różne czynniki, zarówno techniczne, jak i rynkowe.
„Lista wymagań szczegółowych była bardzo długa. Oprócz wysokiego poziomu bezpieczeństwa i kompatybilności z już posiadanymi rozwiązaniami sprzętowymi, wymagaliśmy od rozwiązania bardzo wysokiej skalowalności. Ponieważ planowaliśmy, że system PKI będzie podstawą centralnego mechanizmu kontroli dostępu do informacji, oczekiwaliśmy, że rozwiązanie pozwoli na budowę instalacji o wysokiej dostępności” - podsumowuje Krzysztof Szczepański.
Na fundament rozwiązania wybrano najnowszą wersję platformy serwerowej firmy Microsoft – Microsoft® Windows Server 2008. Zadecydowały względy funkcjonalne, wysoka stabilność już na wczesnym etapie rozwoju produktu.
„Usługi PKI systemu Windows Server 2008 działały stabilnie i przewidywalnie już w wersji beta nowego systemu, dlatego zdecydowaliśmy się na pilotaż, a od wersji RC1 – i później RTM – na wdrożenie usługi w centrali, a do końca 2008 r. w całym banku” – mówi Krzysztof Szczepański.
Argumentem za wykorzystaniem Microsoft® Windows Server 2008 była także zademonstrowana skalowalność systemu i działających w jego środowisku usług CA.
„Chcieliśmy mieć pewność, że wraz z podłączaniem kolejnych użytkowników i aplikacji będziemy w stanie utrzymać spójność i jednolitość rozwiązania. Z tego powodu całe środowisko zostało bardzo szczegółowo przetestowane pod każdym możliwym względem, zarówno przez nas, jak i przez inżynierów z Microsoft Consulting Services” – wyjaśnia Krzysztof Szczepański.
Rozwiązanie
Architektura
Infrastruktura Klucza Publicznego w PKO BP SA wykorzystuje farmę serwerów Microsoft® Windows Server 2008 działających w centrali oraz analogiczną instalację w centrum zapasowym. Wysoką dostępność instalacji zapewniają mechanizmy przełączania awaryjnego działające na poziomie usługi Windows Certificate Authority, a niezależnie także mechanizmy na poziomie macierzy dyskowych.
Zgodnie z najlepszymi praktykami, „robocze” serwery CA nie przechowują głównego certyfikatu bankowego Urzędu Certyfikacji, lecz certyfikat niższego rzędu.
„W razie awarii serwera roboczego, certyfikat dla serwera zapasowego może być wygenerowany bezzwłocznie na podstawie certyfikatu głównego. Certyfikat główny jest przechowywany na oddzielnym serwerze, który nie jest podłączony do żadnej sieci. Przeniesienie wygenerowanego certyfikatu mogą wykonać wyłącznie uprawnieni do tego administratorzy, którzy pracują w trybie zmianowym” – tłumaczy Krzysztof Szczepański.
PKO BP SA zadbał o to, by na serwerach CA działa jedynie usługa Windows Certificate Authority (obejmująca oprócz Urzędu także listę certyfikatów odwołanych), oraz narzędzia do zarządzania nią. Projekt architektury całego rozwiązania PKI w PKO BP SA stworzył Jacek Nowicki wraz z zespołem Microsoft® Consulting Services. Dział MCS był również aktywnie zaangażowany we wdrożenie rozwiązania w banku, w tym w modyfikowanie oryginalnej konfiguracji systemu Windows Server 2008, a także wszechstronne testowanie instalacji przed jej uruchomieniem w trybie produkcyjnym.
|
„To był projekt o skali i wymaganiach analogicznych jak w przypadku publicznych Urzędów Certyfikacji z prawem do wydawania certyfikatów kwalifikowanych. W praktyce był nawet trudniejszy, bo obejmował infrastrukturę dostępową i jej integrację z Urzędem” – mówi Jacek Nowicki, konsultant Microsoft Consulting Services.
Proces generowania certyfikatów wymaga bardzo dużej mocy obliczeniowej, co wynika z samej idei PKI. Z tego powodu certyfikaty dla pracowników PKO BP SA są generowane nie przez serwery, lecz za pomocą sprzężonych z nimi sprzętowych urządzeń typu HSM. PKO BP SA wykorzystuje w tym celu zdwojone urządzenia firmy nCipher.
„Generatory certyfikatów działają w certyfikowanej przez ABW klatce Faradaya, której rola polega na zapobieganiu ulotowi elektromagnetycznemu. Pod względem bezpieczeństwa nasza instalacja CA spełnia wymagania stawiane firmom chcącym oferować certyfikaty kwalifikowane, a więc takie, które w świetle prawa mogą być wykorzystane do podpisywania dokumentów ze skutkiem identycznym do podpisu odręcznego” – wyjaśnia Andrzej Sadłowski, Dyrektor Zarządzający kierujący Pionem Bezpieczeństwa i Zarządzania Gotówką w PKO BP SA.
Wydawanie certyfikatów
Wydawanie certyfikatów pracownikom wymaga, podobnie jak przy certyfikatach kwalifikowanych, bezpośredniej weryfikacji tożsamości – osobiście, oraz dodatkowo za pomocą dokumentów. Certyfikaty wydawane są standardowo na dwa lata.
Ze względu na ogólnokrajowy zasięg działania banku, proces weryfikacji tożsamości i wydawania certyfikatów odbywa się w rozproszeniu.
„W każdym biurze regionalnym dostępna jest aplikacja WWW, za pomocą której uprawniony pracownik składa wnioski o wygenerowanie certyfikatu dla konkretnej osoby. Taki pracownik korzysta z komputera wyposażonego w dwa czytniki kart: jego własnej, do której przypisane są ograniczone prawa administracyjne, oraz czystej karty, na której zapisywany jest nowy certyfikat. Przy 30 tys. pracowników centralizacja tego procesu byłaby w praktyce niewykonalna” – podkreśla Krzysztof Szczepański.
Przed upływem standardowego 2-letniego okresu obowiązywania certyfikatu użytkownik otrzymuje nowy certyfikat, tym razem już bez konieczności osobistego stawiania się w biurze regionalnym.
Kontrola dostępu do sieci i pomieszczeń
Wdrożenie technologii PKI w PKO BP SA zostało połączone ze scentralizowanym systemem logowania do jednej domeny. Wcześniej pracownicy logowali się do lokalnych stacji roboczych za pomocą loginu i hasła.
„PKI pozwala nam zasadniczo podnieść zaufanie do procesu uwierzytelniania użytkowników. Logowanie odbywa się za pomocą urządzenia fizycznego skojarzonego z kodem PIN. Centralne weryfikowanie tożsamości również podnosi bezpieczeństwo, a przy okazji pozwala łatwiej zarządzać uprawnieniami użytkowników zasobów sieciowych. Każdemu pracownikowi jest przypisany profil w katalogu Active Directory, zawierający szczegółowy opis uprawnień. Zaletą jest zarówno to, że można je łatwo dodawać, jak i to, że można je łatwo, w tym również automatycznie, anulować” – podkreśla Krzysztof Szczepański.
Aby jeszcze bardziej zwiększyć zaufanie do systemu weryfikacji tożsamości, PKO BP SA zdecydował się zintegrować system uwierzytelniania w sieci z systemem kontroli dostępu do pomieszczeń. Mówiąc obrazowo, użytkownik nie może zalogować się do komputera stojącego w pomieszczeniu, do którego nie wszedł, zbliżając uprzednio kartę do czytnika przy drzwiach.
„Odchodząc od komputera pracownicy mają obowiązek wyjmowania kart z czytników. To obowiązek formalny, ale i praktyczny – jeśli o tym zapomną, nie będą mogli wrócić do swojego stanowiska pracy” – mówi Krzysztof Szczepański.
Podpisywanie dokumentów i poczty
Zarząd PKO BP SA wydał zarządzenie, na podstawie, którego wewnętrzne dokumenty przesłane pocztą elektroniczna są przez bank traktowane równoznacznie z dokumentem podpisanym odręcznie. Zastosowanie podpisu elektronicznego jest w tym wypadku jak najbardziej uzasadnione. Wraz z certyfikatem na karcie pracownicy banku otrzymują klucz prywatny do podpisywania dokumentów oraz oddzielny klucz prywatny do podpisywania poczty. Certyfikat zawiera także dwa kolejne klucze, tym razem symetryczne, przeznaczone do szyfrowania dokumentów i poczty.
|
„Pracownicy włączeni do systemu PKI mają prawo, a w wielu przypadkach także obowiązek szyfrowania informacji. Ponieważ jednak zasada ograniczonego zaufania działa, kopie kluczy szyfrujących są przechowywane centralnie. Ich odczytanie jest możliwe jedynie po uzyskaniu formalnej akceptacji kilku uprawnionych do tego osób i zachowania odpowiedniej procedury. Bank musi chronić się przed ryzykiem przesyłania na zewnątrz informacji poufnych” – wyjaśnia Krzysztof Szczepański.
Inne zastosowania
Po pilotażu, który objął m.in. Departament Bezpieczeństwa, Departament Monitorowania oraz część Pionu IT, infrastruktura PKI wraz ze scentralizowanym logowaniem do domeny udostępniana jest obecnie oddziałom terenowym. Wdrożenie powinno objąć wszystkich pracowników banku do końca 2008 r.
To jednak nie koniec. Jeszcze w tym roku infrastruktura PKI zostanie wykorzystana do wzajemnego uwierzytelniania urządzeń sieciowych i serwerów. Trwają również prace, choć z oczywistych względów jest to projekt długofalowy, by uwierzytelnianie w domenie powiązać z logowaniem do wdrażanego w PKO BP SA centralnego systemu bankowego Alnova.
W dalszej perspektywie PKO BP SA rozważa także wykorzystanie zbudowanej infrastruktury do uwierzytelniania klientów.
„Karty bankowe z mikroprocesorami przestały być egzotyką. Bankomaty obsługują je już od jakiegoś czasu, a ceny czytników kart do komputerów spadają. Myślę, że mając skalowalne środowisko CA możemy rozważać wiele interesujących scenariuszy. Jakich? To jest już pytanie do naszych departamentów produktowych” – mówi Krzysztof Szczepański.
Korzyści biznesowe
Wybierając platformę Microsoft® Windows Server 2008 jako środowisko dla rozwiązania PKI, bank PKO BP SA miał za sobą liczne doświadczenia i testy. Dzięki nim upewnił się, że platforma Microsoft® Windows Server 2008 spełni liczne oczekiwania użytkowe i techniczne, oraz wymogi w dziedzinie szeroko rozumianego bezpieczeństwa.
Udany pilotaż i postępujące wdrożenie w terenie dają podstawy do sformułowania wniosków na temat korzyści – tych, które już się pojawiły, oraz tych, które wkrótce się zmaterializują. Jedną z bardzo istotnych korzyści jest możliwość rezygnacji z obiegu dokumentów w formie papierowej.
„Komunikacja zarządu z dyrektorami regionalnymi oraz innymi menedżerami wysokiego szczebla została w wyniku wdrożenia PKI znacznie przyspieszona. Nie trzeba dodawać. To bardzo wymierna korzyść dla całego banku, ponieważ dzięki temu ważne decyzje podejmowane są szybciej. Lepsza jest również koordynacja działań. Trudno to przecenić” – mówi Krzysztof Szczepański.
W wymiarze bezpieczeństwa korzyści są bardzo oczywiste. „Łańcuch zaufania między certyfikatami wsparty sprzętową ochroną certyfikatów zasadniczo zwiększa poziom bezpieczeństwa informacji w banku. Warto tu zaakcentować, że wdrożony system pozwala chronić dowolnie wiele różnych systemów i aplikacji, ponieważ na jednej karcie można umieścić wiele certyfikatów” – podkreśla Krzysztof Szczepański.
Dzięki platformie bank PKO BP SA zyskał możliwość długofalowego planowania inicjatyw wewnętrznych i rynkowych, których istotnym elementem jest naprawdę pewna weryfikacja tożsamości.
Ten sam system uwierzytelniania służyć może zarówno do zabezpieczania informacji przed niepowołanym dostępem, jak i urządzenia i systemy przed włamaniami. PKI dla warstwy sieciowej to ważny element strategii banku w dziedzinie bezpieczeństwa.
Wdrażając infrastrukturę Klucza Publicznego bank znacząco ograniczył ryzyko operacyjne, co w świetle zaleceń Komisji Nadzoru Bankowego i Umowy Kapitałowej znanej jako Basel II, ma bezpośrednie przełożenie na wynik finansowy banku.
