Securitate IT

In Ordin se specifica faptul ca trebuie sa existe un plan de securitate care sa indeplineasca un set de cerinte destul de cuprinzator. Un auditor va trebui sa verifice daca in planul de securitate sunt specificate „informatiile de identificare, senzitivitatea sistemului, legislatia aplicabila si daca este prezenta descrierea generala a senzitivitatii informatiilor gestionate de catre sistem”. E un prim pas care il introduce in subiect, aratandu-i cu ce are de-a face, intr-un mod relevant pentru ca trebuie specificate inclusiv aria geografica si interconectarile sistemului.

Mergem mai departe si descoperim faptul ca planul trebuie sa cuprinda informatii despre felul in care au fost selectate si implementate unele masuri (controale) de securitate. Sa vedem care ar putea fi ele, cum s-a ajuns la ele si ce trebuie sa verifice auditorul:
Un prim aspect de auditat este „evaluarea si managementul riscurilor potentiale”, ceea ce inseamna ca trebuie sa existe o analiza de risc, o descriere a metodologiei folosite si o lista de controale luate in considerare pentru reducerea riscurilor. Auditorul va obtine astfel o viziune asupra procesului de business implicat, asupra aplicatiei de Internet banking si asupra modului in care a fost implementata ea, si o clarificare asupra a ce are de verificat in continuare. In mod normal, aceasta etapa de examinare a documentelor ar trebui corelata cu interviuri cu persoanele relevante care sa evidentieze cum au fost identificate riscurile si ce considerente au stat la baza selectarii controalelor.

In continuare, Ordinul precizeaza ca trebuie verificate „codurile de conduita/ conditiile de utilizare/contractul prin care instrumentul de plata cu acces la distanta este oferit”. Aceasta inseamna o examinare a altui set de documente care ar cuprinde manualul/instructiunile de utilizare si contractul cu utilizatorul. In urma acestui efort auditorul poate avea o idee despre cum functioneaza serviciul, insa nu va sti exact cum functioneaza solutia. Pentru asta va trebui sa examineze arhitectura solutiei si rapoartele de testare de la implementare, eventual sa faca si o simulare asistata a serviciului.

Pentru ca avem de verificat un plan de securitate, acesta va cuprinde si masurile de securitate (masuri tehnice si organizatorice) implementate. Acestea vor fi evidentiate in Planul de Securitate, insa nu trebuie sa ne limitam doar la parcurgerea lor si la verificarea felului in care au fost ele implementate, pentru ca ar insemna sa facem lucrurile pe jumatate. Toate aceste masuri trebuie corelate cu cerintele din Ordin din Art 3 , care constituie de fapt parametrii unui sistem de management al securitatii informatiei relativ matur, care trebuie sa fie in acelasi timp eficient.

Un prim aspect al acestui sistem trateaza confidentialitatea; este vorba despre confidentialitatea datelor, a tranzactiilor (procesarea datelor) si a comunicatiilor, corelate cu non-repudierea tranzactiilor si integritatea datelor si a comunicatiilor. Cu alte cuvinte, sistemul de securitate auditat trebuie verificat daca autentifica in mod corespunzator utilizatorii, daca informatiile sunt transmise si stocate intr-un mod securizat care sa elimine posibilitatea alterarii informatiei, impersonarii sau accesului neautorizat, pentru ca se lucreaza cu date critice (pot fi mentionate secretul bancar, protectia datelor cu caracter personal si trasabilitatea tranzactiilor). Auditorul va trebui sa verifice solutia de comunicatii, relevanta metodei de autentificare si soliditatea algoritmului de criptare, precum si modul in care sunt stocate/transmise cheile/certificatele. Si, intrucat nu putem fi niciodata prea prevazatori, va trebui de asemenea, sa se examineze si procedurile de acces al personalului bancii la aceste informatii si sisteme pentru a identifica riscurile legate de acces neautorizat, modificari neautorizate sau chiar sabotaje (pentru ca exista si angajati nemultumiti, nu-i asa?).

Integritatea informatiilor

Al doilea aspect priveste integritatea informatiilor schimbate intre utilizator si sistemul de plata cu acces la distanta. In mod normal, nu ar trebui sa ne preocupe acest aspect pentru informatiile transmise si stocate intr-un mod securizat. Totusi, un ochi vigilent ar trebui sa auditeze aplicatia pentru a elimina anumite erori intentionate care ar putea conduce la fraude (un simplu exemplu ar fi o rutina de rotunjire a sumelor si de transfer la anumite perioade in anumite conturi, exemplu deja trivial pe alte meleaguri). O testare a aplicatiei pentru a vedea daca a fost eliminat riscul unui acces neautorizat nu ar strica (ne aducem aminte de nebunia certificatelor expirate de acum 2 ani).

In cele din urma, intereseaza disponibilitatea serviciului si a informatiilor. Cu alte cuvinte, va trebui examinat un plan de continuitate a afacerii si refacere in caz de dezastre si felul in care acesta este aplicat/testat. Daca se doreste obtinerea unei opinii de audit in cunostinta de cauza, va trebui sa se verifice ce parametri au fost luati in considerare, daca exista centre de disaster recovery, cum se face replicarea datelor din centrul principal, daca au fost stabilite rolurile in caz de dezastre si au fost asumate, daca planul se testeaza periodic etc.

Si, pentru ca un sistem de securitate a informatiei trebuie monitorizat si revizuit in permanenta, mai exista o componenta ce va trebui verificata: testarea la penetrare si scanarea de vulnerabilitati. Aceste aspecte pot fi acoperite atat de solutii tehnice si de audituri interne periodice, cat si de servicii ale unor terte parti care pot aduce o opinie neutra/obiectiva. Un auditor vigilent trebuie sa ceara si informatii despre aceste lucruri si, daca ele nu exista, sa ceara efectuarea acestor teste inainte de finalizarea opiniei de audit.

O atentie deosebita este acordata in Ordin «independentei auditorului fata de sistemul informatic auditat». Aceasta prevedere ar trebui sa insemne independenta auditorului atat fata de banca auditata, cat si fata de o companie de consultanta care a pregatit sistemul informatic in vederea auditarii. Spre surprinderea noastra, unele banci nu prea au inteles acest lucru in vederea obtinerii cat mai rapide si cat mai ieftine a rezultatului – opinia favorabila de audit. Rezultatul a fost o alergatura dupa certificatii CISA, ignorand calitatea actului de pregatire pentru audit (consultanta propriu-zisa).

Concluzii:

Speram ca am demonstrat ca auditarea unui sistem de plata cu acces la distanta conform Ordinului 218 este un lucru foarte serios care necesita eforturi si angajament atat din partea auditorului, cat si a bancii. Este de asemenea, un proces de durata, care implica resurse, eforturi si actiuni importante. Ordinul MCTI si alte reglementari asemanatoare urmaresc doua lucruri - reducerea riscurilor si cresterea gradului de securitate – si conduc, inevitabil, la cresterea pietei de solutii si servicii de securitate.
Dupa cunostintele noastre, in alte tari aceste opinii/rapoarte de audit contin aproape intotdeauna rezerve si timeline-uri de remediere a non-conformitatilor (de cele mai multe ori implicand achizitia de solutii care sa minimizeze niste riscuri). Nu am avut pana acum oportunitatea sa constatam un impact observabil al Ordinului asupra pietei de la noi, insa ne asteptam sa constatam asemenea efecte. Este atat in beneficiul bancilor – care devin mai sigure, cat si in beneficiul utilizatorilor de asemenea servicii – ai caror bani sunt mai siguri.
De asemenea, nu dorim sa ne pronuntam asupra preturilor pentru care au fost oferite asemenea servicii – este o piata libera. Am constatat insa diferente destul de mari intre serviciile de acest gen prestate la clienti de marimi apropiate, diferente care continua sa fie o enigma. Totusi, cei care au dorit sa obtina ceva util in urma serviciului, au inteles ce trebuie sa se intample pe durata auditului si ce trebuie sa ceara si au acum niste sisteme mai sigure. Ceilalti s-au ales cu o simpla hartie cu utilitate limitata la un an de «liniste».
MCTI face ce poate pentru a ne ajuta sa mergem in directia UE. Depinde de noi insa daca vom pune benzina de calitate sau vom continua sa tinem frana de mana trasa.