Bezpieczeństwo instytucji finansowej: Dostęp ściśle kontrolowany

BANK 2010/03

Specyfika działania instytucji obsługującej setki tysięcy klientów wymaga doskonałego skoordynowania wszystkich systemów informatycznych, w których mogą znaleźć się różne dane. Jednocześnie w sposób szczególny uważać trzeba, by dostęp do określonych informacji miały uprawnione osoby. Sprawa się komplikuje jeszcze bardziej, gdy w grę wchodzą systemy zdalne, dostępne dla klientów na przykład za pośrednictwem internetu.

Specyfika działania instytucji obsługującej setki tysięcy klientów wymaga doskonałego skoordynowania wszystkich systemów informatycznych, w których mogą znaleźć się różne dane. Jednocześnie w sposób szczególny uważać trzeba, by dostęp do określonych informacji miały uprawnione osoby. Sprawa się komplikuje jeszcze bardziej, gdy w grę wchodzą systemy zdalne, dostępne dla klientów na przykład za pośrednictwem internetu.

Sławomir Dolecki

To jedna z większych bolączek technologicznych ostatnich lat, z jaką musiały zmierzyć się banki oferujące swoje usługi za pośrednictwem internetu. Z jednej strony pojawiło się oczekiwanie na łatwy, szybki i możliwe prosty dostęp do własnego konta, z drugiej potrzeba zapewnienia bezpieczeństwa danych, dostępnych za pomącą łączy komputerowych. Jednocześnie klient chciał – i miał prawo – domagać się wglądu do wszystkich informacji o swojej współpracy z bankiem – od stanu konta i jego historii, przez operacje na kartach kredytowych i aktualnej sytuacji kredytowej, po operacje giełdowe, lokaty, zlecenia dla biura maklerskiego i wartość posiadanych papierów wartościowych. Mało tego, oczekiwał prawa do modyfikacji wielu danych i umożliwienia aktywnego wykorzystywania serwisu – przesyłania zleceń on-line, robienia przelewów bez ograniczeń czy modyfikowania zleceń. Takie wymagania postawiły przed technologią zadanie sprostania dwóm podstawowym zadaniom – prawidłowej identyfikacji klienta i zapewniania mu maksymalnego bezpieczeństwa.

Identyfikacja i autoryzacja

Bezpieczeństwo to dla instytucji finansowych kwestia pierwszej wagi. Stanowi o wiarygodności i jest podstawowym narzędziem przewagi konkurencyjnej. W tym materiale nie będziemy się jednak zajmować kwestiami systemów zabezpieczeń, a skupimy się na drugim aspekcie, a więc prawidłowej identyfikacji użytkownika i autoryzacji jego działań. Odpowiedzialne za to są systemy ID management.

– Wszystkie transakcje dokonywane za pomocą systemów elektronicznych muszą być przede wszystkim spersonalizowane, to znaczy ponad wszelką wątpliwość system musi zidentyfikować osobę dokonującą transakcji, podobnie zresztą jak konieczne jest jednoznaczne potwierdzenie tożsamości osoby fizycznej dokonującej czynności w banku – tłumaczy Wojciech Szewko, ekspert Business Centre Club. – Drugą równie ważną kwestią jest zidentyfikowanie osoby, która w imieniu banku dokonuje transakcji, zatwierdza ją, jest za nią odpowiedzialna. System musi nie tylko potwierdzić jej tożsamość, ale także zweryfikować, czy dana osoba ma prawo do dokonania tej transakcji, jest odpowiednio umocowana w systemie obiegu informacji, ma przydział dostępu do zasobów.

Zarządzanie tożsamością (Identity Management)

To zarządzanie prawami dostępu do zasobów informacyjnych, czyli procedury określające, kto może mieć dostęp do zasobów informacyjnych oraz co może z tymi zasobami zrobić, i systemy nadzorujące realizację tych ustaleń. Zasadą jest, że zakres dostępu powinien być minimalny, ale zarazem wystarczający do pełnienia wyznaczonych obowiązków (least privilege).

Źródło: Wikipedia

Teoretycznie brzmi to dość prosto. System musi po prostu potwierdzić tożsamość. W praktyce jednak sprawa staje się znacznie bardziej skomplikowana, ponieważ zidentyfikowanie użytkownika to dopiero pierwszy krok w dostępnie do danych. Drugim obszarem jest kontrola dostępu. Na tym etapie system weryfikuje zidentyfikowanego użytkownika z prawami, jakie zostały mu przydzielone. Weryfikacja ta odbywa się ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: