Każda instytucja stara się chronić własne zasoby w sposób, który, jej zdaniem, jest jak najbardziej dla niej odpowiedni. Zdrowie i życie są wartościami, których przecenić nie można. Pozyskana w nieuprawniony sposób informacja, czasem pozornie mało istotna, umiejętnie wykorzystana przez osoby żądne zysku, może kosztować daną firmę mnóstwo pieniędzy, o utracie dobrego imienia nie wspominając. Straty spowodowane zagarnięciem mienia mogą zostać zrekompensowane przez ubezpieczyciela, pod warunkiem, że zapewniony został odpowiedni poziom zabezpieczenia chronionych zasobów.
Banki są tym rodzajem instytucji finansowych, w których życie i zdrowie klientów i oraz pracowników, a także informacja oraz mienie, narażone są na działanie osób, które kierują się chęcią szybkiego wzbogacenia się w sposób niekoniecznie zgodny z prawem. Stosowane powszechnie systemy zabezpieczeń informatycznych, elektronicznych czy mechanicznych nie zawsze są w stanie ostudzić zapał tych, którzy, nie bacząc na grożące im konsekwencje, pragną wzbogacić się w szybki sposób. Dlatego aby móc podejmować zdecydowane i trafne działania już w chwili wystąpienia zdarzenia alarmowego, a dodatkowo mieć możliwość prowadzenia długofalowych analiz, których celem będzie realizacja skutecznych działań korygująco-naprawczych, konieczne jest prowadzenie stałego monitorowania stanu bezpieczeństwa zasobów objętych ochroną.
W Departamencie Bezpieczeństwa PKO Banku Polskiego wyodrębniony został Wydział Monitorowania i Zarządzania Systemami Bezpieczeństwa, w zakresie kompetencji którego jest m.in. prowadzenie działań związanych z monitorowaniem bezpieczeństwa i ochrony osób i mienia, systemu informatycznego oraz informacji prawnie chronionych. Takie zadania, jak:
- bieżący monitoring systemów zabezpieczeń elektronicznych i mechanicznych,
- monitorowanie bezpieczeństwa systemów IT,
- nadzór i weryfikacja realizacji usług z zakresu bezpieczeństwa, świadczonych na rzecz banku przez podmioty zewnętrzne (m.in. serwis i konserwacja systemów zabezpieczeń elektronicznych, zabezpieczeń mechanicznych, realizacja transportu i ochrony wartości pieniężnych, monitorowanie sygnałów alarmowych wraz z interwencją załóg patrolowych), realizowane są przez kilka zespołów specjalistów i są prowadzone w różnych systemach pracy, w zależności od ich stopnia krytyczności (całodobowo, w trybie dwu- i jednozmianowym). W strukturze wydziału funkcjonuje Centralny Ośrodek Monitorowania Bezpieczeństwa (COMB), w którym zadania prowadzone są w systemie całodobowym. Ośrodek realizuje zadania z zakresu monitorowania, obejmując swoim zasięgiem cały kraj.
Obecnie bank posiada ok. dwóch tysięcy obiektów (oddziały banku, bankomaty zewnętrzne, inne budynki), z których każdy objęty jest ochroną (systemy zabezpieczeń, monitorowanie wraz z interwencją, w niektórych obiektach posterunki stałej ochrony fizycznej). W obiektach tych pracownicy podmiotów zewnętrznych - z którymi bank ma podpisane umowy - realizują zadania m.in. z zakresu serwisu i konserwacji systemów informatycznych oraz zabezpieczeń technicznych i mechanicznych, co powoduje, iż mają dostęp do mienia banku, a także informacji o krytycznym dla niego znaczeniu. W banku pracownicy realizują swoje zadania na przeszło 30 tysiącach komputerów (w tej liczbie zawierają również serwery ta liczba obejmuje również serwery, na których działają ważne dla banku aplikacje), a niewłaściwe wykorzystanie każdego któregokolwiek z nich może być bardzo groźne dla wewnętrznej sieci banku. Także podłączenie do sieci komputerowej nieuprawnionego urządzenia i wykonanie z niego za jego pomocą ataku „z wewnątrz" mogłoby spowodować ogromne straty. Wszystko to sprawia, iż w tak dużej instytucji niezwykle istotny jest nie tylko odpowiedni poziom zabezpieczeń, uniemożliwiający nieuprawnione działania, lecz również natychmiastowa informacja o wystąpieniu - bądź nawet próbie - naruszenia bezpieczeństwa, i to z dokładnością do konkretnego punktu, jest bardzo ważna dla służb, które odpowiadają za bezpieczeństwo. Takie podejście do problemu pozwala na podejmowanie przez nie (na podstawie opracowanych wcześniej procedur) natychmiastowych działań naprawczych już w momencie wystąpienia zdarzenia. Prowadzona statystyka wystąpień nieprawidłowości umożliwia wyznaczenie trendów, a ich analiza jest podstawą przy podejmowaniu działań eliminujących możliwość wystąpienia w przyszłości zdarzeń z danej grupy ryzyka.
Prowadzenie skutecznych działań związanych z monitorowaniem bezpieczeństwa w tak rozbudowanej pod względem terytorialnym i organizacyjnym instytucji nie byłoby możliwe w oparciu o funkcjonowanie dzięki funkcjonowaniu wyłącznie jednego Centralnego Ośrodka Monitorowania Bezpieczeństwa. W strukturze wydziału monitorowania działają również Lokalne Ośrodki Monitorowania Bezpieczeństwa, które - realizując zadania w systemie dwuzmianowym - wspierają działania podejmowane przez COMB na terenie przypisanego im obszaru terytorialnego.
Stałe monitorowanie poziomu bezpieczeństwa - poza możliwością posiadania informacji o nieprawidłowościach już w momencie ich wystąpienia - ma jeszcze inne zalety, dzięki którym można osiągnąć oszczędności. Każda informacja, która trafi do systemów monitorowania, jest zapisywana w bazie danych, dzięki czemu każdorazowo można do niej sięgnąć każdorazowo w przypadku wystąpienia jakichkolwiek wątpliwości czy niejasności, np. we współpracy związanych ze współpracą z podmiotami zewnętrznymi, realizującymi na rzecz banku różne usługi. Jest to szczególnie istotne m.in. w przypadku rozliczania specyfikacji wykonanych usług. Dane z systemów monitorowania dostarczają informację o momencie wystąpienia awarii (np. systemu sygnalizacji włamania i napadu), czasie dotarcia pracownika serwisu do obiektu (zgłoszenie obiektu „w serwis"), a także czasie realizacji usługi (zgłoszenie „gotowości obiektu"). Weryfikacja poprawności wykonanej usługi dokonywana jest zarówno za pomocą systemów monitorowania (zweryfikowanie, czy sygnał awarii w danym obiekcie jeszcze nie występuje), jak i, wyrywkowo, w przypadku niektórych obiektach obiektów - na miejscu. Taki sposób działania pozwala na wyeliminowanie nieprawidłowości w specyfikacjach wykonanych usług, a pracownicy podmiotów zewnętrznych, świadomi prowadzonych działań przez zlecającego działań, wykazują się większym zaangażowaniem w realizację usług.
Reasumując, prowadzenie własnych działań związanych z monitorowaniem bezpieczeństwa, m.in. w instytucjach finansowych, ma wiele korzyści, na które składają się:
- podniesienie poziomu bezpieczeństwa chronionych zasobów (ludzie, gotówka, zasoby informatyczne, informacja),
- możliwość podejmowania natychmiastowych kroków naprawczych w przypadku wystąpienia nieprawidłowości,
- natychmiastowe informowanie o poważnych naruszeniach bezpieczeństwa kierownictwa,
- koordynacja działań służb wewnętrznych w przypadku wystąpienia zagrożenia bezpieczeństwa,
- podniesienie jakości usług realizowanych przez podmioty zewnętrzne,
- jednoznaczna rozliczalność realizacji usług,
- krótkoterminowa analiza raportów, pozwalająca na klasyfikację i prezentację zdarzeń alarmowych,
- analiza długofalowa, umożliwiająca podejmowanie efektywnych działań korygująco-naprawczych, określenie trendów.
Konsekwencją tych korzyści są oszczędności w zakresie budżetu kosztowego dla instytucji.
Krzysztof Białek
Naczelnik Wydziału Monitorowania i Zarządzania Systemami Bezpieczeństwa
Departament Bezpieczeństwa
PKO Bank Polski
Zabezpieczenia 6/2007