0.00
/ Baza wiedzy / FORTINET /
/ Baza wiedzy / FORTINET /
Zaufanie klientów jest bezcenne - najlepszy wybór dla branży usług finansowych
Rozwój infrastruktury teleinformatycznej w Polsce w ciągu ostatnich lat nie tylko umożliwił sektorowi finansowemu zbudowanie nowych kanałów dostępu do potencjalnego klienta, ale również zredukował koszty jego obsługi. Ale po 10 latach bankowości elektronicznej na rynku detalicznym okazało się, że modele kosztowe poszczególnych banków w tym obszarze obsługi klienta są bardzo podobne, co utrudnia zbudowanie przewag konkurencyjnych. Główne obszary doskonalenia to koszty rozwoju i utrzymania aplikacji, autentykacja klienta oraz outsourcing obsługi bankomatowej.
Znacznie łatwiej budować przewagę konkurencyjną wobec innych graczy zwiększając głębokość relacji z klientem, personalizując ofertę, czy przenosząc do kanału elektronicznego usługi tradycyjnie tam niedostępne z uwagi na regulacje prawne np. budowanie bazy depozytowej. Dla wielu produktów kredytowych szczególnego znaczenia nabiera też interakcja z klientem w czasie rzeczywistym oraz możliwość zbudowania naprawdę szybkich procesów obsługi czy oceny ryzyka.
W obliczu rosnącej konkurencji właśnie sama relacja, jest przedmiotem szczególnego zainteresowania działów sprzedaży i marketingu, albowiem to ona może decydować o wyborze czy zmianie dostawcy usługi finansowej. Budowanie długoterminowej głębokiej relacji wymaga szerokiej wiedzy o kliencie i historii jego operacji. Często oznacza to konsolidację informacji z wielu różnych systemów IT oraz konieczność budowy nowych baz danych. Stwarza to nowe wyzwania dla działów bezpieczeństwa co do utrzymania nowych baz w zgodności z wymaganymi normami i pomyślnego wyniku kolejnych audytów bez konieczności kosztownych zmian w systemach.
Wzrost ilości bankomatów kusi udostępnieniem nowych usług własnych czy informacji w tym kanale. Model ten jest atrakcyjny kosztowo i marketingowo ze względu na łatwość interakcji z klientem, ale zmusza do szczególnej uwagi w obszarze oceny ryzyka operacyjnego. Ewolucja bankomatu w kierunku kiosku usługowego oferującego pełną obsługę klienta instytucji finansowej rodzi też dodatkowe wymagania co do przepustowości i bezpieczeństwa łącza WAN.
Kanał bankowości elektronicznej, najlepszy kosztowo, oferujący możliwość głębokiej relacji i interakcji w czasie rzeczywistym wymaga starannego zabezpieczenia przed możliwością sabotażu (np. ataku typu Denial of Service, SQL Injection) czy wycieku danych.
Szybkość procesów realizacji produktu, tak ważna w konkurencji o klienta, stawia również spore wymagania od strony bezpieczeństwa związanych z nimi aplikacji. Aplikacje backoffice wykorzystujące jako cienkiego klienta przeglądarkę, wymagają szczególnego zabezpieczenia pod kątem wycieku danych.
Wzrost sprzedaży nowoczesnej instytucji finansowej stawia przed działami bezpieczeństwa sporo wyzwań, które są kluczowe w odniesieniu do budowania podstawowej wartości dla konsumenta jaką jest zaufanie. Nieustanne utrzymywanie zgodności systemów z normami bezpieczeństwa, zabezpieczenia przed atakiem typu DoS, zabezpieczenie aplikacji backoffice a w szczególności bankowości elektronicznej są w tym zakresie procesami nieodzownymi i wymagającymi wsparcia ze strony dedykowanych systemów, które umożliwiają ich realizacje oraz co najważniejsze ich bieżący audyt.
Amerykańska firma Fortinet obecna na rynku od 2000 roku, notowana na giełdzie NASDAQ (NASDAQ: FTNT) z kapitalizacją na poziomie 3,2 miliarda dolarów oferuje rozwiązania sprzętowe, które ułatwiają instytucjom finansowym rozwiązanie opisanych wyżej problemów. Dotychczas Fortinet dostarczył ponad 700 000 urządzeń dla 100 000 klientów na całym świecie. Rozwiązania Fortinet obsługują 9 z 10 największych instytucji finansowych świata według listy Fortune.
Bezpieczeństwo danych PCI - 6 kroków zapewniających ochronę personaliów posiadaczy kart płatniczych
Używanie kart płatniczych przy dokonywaniu zakupów jest dużą wygodą. Niesie jednak za sobą ryzyko kradzieży danych oraz możliwości fałszerstwa. Standard bezpieczeństwa PCI DSS jest niezbędną normą dla operatorów kart płatniczych oraz organizacji bankowych w zakresie postępowania z danymi kart kredytowych.
Za każdym razem, gdy klient płaci za zakupy kartą kredytową w sklepie internetowym, korzysta z niej w bankomacie czy restauracji, zapewnienie mu ochrony przed oszustwem lub kradzieżą tożsamości ma zasadnicze znaczenie. Ochrona danych posiadacza karty pozwala podtrzymać jego zaufanie do transakcji online i zawieranych przy użyciu karty, jednak o bezpieczeństwo tych danych muszą zadbać wszystkie podmioty, na coraz bardziej różnorodnych trasach ich przesyłania.
Rada Bezpieczeństwa Kart Płatniczych (PCI Security Standards Council) reguluje zasady zgodności ze standardami ochrony danych dla branży kart płatniczych, dążąc do zmniejszenia prawdopodobieństwa naruszenia bezpieczeństwa danych klienta dokonującego płatności, kradzieży tożsamości i fałszerstwa z użyciem kart kredytowych. Standard PCI DSS (ang. Payment Card Industry Data Security Standard) został opracowany w celu unormowania sposobów zarządzania przez firmy wewnętrznym bezpieczeństwem informacji, procedurami, politykami, architekturą sieci, projektowaniem oprogramowania i innymi środkami ochrony danych. Jego stosowanie jest obowiązkowe dla wszystkich podmiotów działających w branży obsługi płatności, które przechowują, przetwarzają lub przesyłają dane kart płatniczych, m.in. dla instytucji finansowych, dostawców usług i sprzedawców.
Zgodność ze standardem PCI DSS jest również egzekwowana od „usługodawców” – wszelkiego rodzaju przedsiębiorstw, które przetwarzają płatności albo przechowują, przetwarzają lub przesyłają dane posiadaczy kart w imieniu sprzedawcy, agenta rozliczeniowego lub banku autoryzującego transakcję (wystawcy karty).
| Oto, jak w sześciu krokach możesz skutecznie chronić dane swoich klientów: |
|
| Wymóg standardu PCI DSS | Opis wymagań | ||
| Stworzenie i utrzymanie bezpiecznej sieci |
|
|
|
| Ochrona danych posiadaczy kart |
|
|
|
| Realizacja programu zapobiegania podatności na zagrożenia |
|
|
|
| Wdrażanie skutecznych mechanizmów kontroli dostępu |
|
|
|
| Regularne monitorowanie i testowanie sieci |
|
|
|
| Utrzymywanie polityki w zakresie bezpieczeństwa informacji |
|
|
|
Bezpieczeństwo aplikacji i usług internetowych.
Problemy zapewnienia bezpieczeństwa systemom i aplikacjom WWW, a tym samym użytkownikom z nich korzystającym, od zawsze były w centrum uwagi ich twórców. Im większa pula świadczonych usług, tym konsekwencje nadszarpnięcia zaufania są potencjalnie bardziej szkodliwe. Analizując sytuację z punktu widzenia konsumenta, sektorem oferującym najbardziej zaawansowane usługi internetowe i ekstremalnie wyczulonym na aspekt reputacji jest oczywiście sektor finansowy.
Gdy w grę wchodzi bezpieczeństwo aplikacji WWW, należy z dużą uwagą rozważyć potencjalne zagrożenia oraz sposoby, jakie zostaną wybrane, aby im zapobiec. W pierwszej kolejności powinno się pamiętać o tym, iż każdy użytkownik Internetu, który posiada odpowiednie narzędzia (a w najprostszym przypadku wystarczy sama przeglądarka), może być potencjalnym intruzem. Efekt skali i statystyka działają w tym przypadku na niekorzyść właściciela konkretnego serwisu WWW. Dotykamy tutaj dylematu każdej instytucji świadczącej usługi drogą internetową, a w szczególności finansowej: jak być „blisko klienta” i jednocześnie zapewnić wysoki stopień bezpieczeństwa? Klient wyposażony w sprzętowy TOKEN, to wzrost bezpieczeństwa, jednak wtedy usługa wymaga większego zaangażowania użytkownika.
Jednak zanim będzie mowa o szczegółach, warto wspomnieć o genezie powstania omawianych tu rozwiązań. W tym przypadku dała o sobie znać ewolucja. Patrząc na systemy bezpieczeństwa z chronologicznego punktu widzenia, historia zaczęła się od „organizmów” najprostszych: firewalli. U zarania dziejów Internetu granularność ochrony w obrębie warstwy trzeciej i czwartej modelu OSI/ISO była w zupełności wystarczająca.
Rozwój Internetu oraz aplikacji w nim dostępnych, w krótkim stał się przyczyną dalszej ewolucji, doprowadzając do powstania technologii DPI (Deep Packet Inspection) oraz systemów typu IDS/IPS dobrze już zakorzenionych w bankowej infrastrukturze sieciowej. Rozwiązań, które działając w wyższych warstwach OSI/ISO, są w stanie w oparciu o sygnatury identyfikować i/lub blokować anomalie oraz ataki w sieci.
Kolejnym krokiem stały się firewalle aplikacyjne, pozwalające na identyfikację i kontrolę konkretnych aplikacji, przy jednoczesnym zapewnieniu ochrony aż po warstwę 7 modelu OSI/ISO. Wydawać by się mogło, że to w zupełności powinno wystarczyć, aby zabezpieczyć aplikacje WWW. Niestety nie do końca tak jest, a znajduje to swoje uzasadnienie w dwóch przyczynach. Pierwsza z nich to mnogość technologii (i ich kombinacji), pozwalających na tworzenie wspomnianych aplikacji WWW. Druga, to złożoność omawianych systemów. Niejednokrotnie sami programiści je tworzący, nie są w stanie spamiętać i kontrolować wszystkich atrybutów mających wpływ na bezpieczeństwo. A co ma powiedzieć administrator, dostający pod opiekę aplikację stworzoną przez zewnętrzny podmiot? Wtedy z pomocą przychodzą systemy typu Web Application Firewall – w skrócie: WAF.
FortiWEB, czyli jak to zrobić jeszcze lepiej?
Będąc liderem na rynku rozwiązań UTM (Unified Threat Management) z flagowym produktem FortiGate na czele, mając również dedykowane systemy do ochrony poczty (FortiMail), analizy logów i centralnego zarządzania (FortiManager oraz FortiAnalyzer), Fortinet wprowadził do swojego portfolio urządzenia typu WAF - FortiWeb.
FortiWeb pozwala na cztery różne tryby podłączenia do istniejącej infrastruktury, dzięki czemu w bardzo elastyczny i nieinwazyjny sposób możliwa jest jego implementacja w niemalże każdym środowisku.
Zalety rozwiązania FortiWeb
FortiWeb w znaczący sposób może przyczynić się do zredukowania kosztów i usprawnienia działania systemu bezpieczeństwa dowolnej instytucji. Dzieje się tak dzięki zagregowaniu na jednej platformie funkcjonalności WAF, akceleracji ruchu webowego, a także równoważenia obciążenia między serwerami. To wszystko bez konieczności licencjonowania per użytkownik – jedynym ograniczeniem jest wydajność platformy sprzętowej, która w przypadku najmocniejszego urządzenia sięga 1Gb/s przepustowości oraz 40 tysięcy transakcji http na sekundę. Rozwiązanie dostępne jest również w wersji zwirtualizowanej na platformie VMWare.
FortiDB, czyli jak chronić nasze informacje?
Warto wspomnieć jeszcze o jednym elemencie, który znakomicie uzupełnia omawiany system bezpieczeństwa. Mowa tu o FortiDB, które jest dedykowanym rozwiązaniem do monitoringu i ochrony baz danych. Architektura większości aplikacji WWW jest wielowarstwowa, co implikuje również zastosowanie specjalistycznych rozwiązań bezpieczeństwa w każdej z tych warstw.
Dzięki FortiDB możliwy jest audyt zaimplementowanych polityk dostępu, skanowanie i zarządzanie podatnościami czy też monitorowanie baz danych (Database Activity Monitoring). Funkcjonalność DAM w połączeniu z zaawansowanymi funkcjami raportowania, w ogromnym stopniu ułatwia zachowanie zgodności z różnego rodzaju normami branżowymi, takimi jak: PCI-DSS, SOX, Basel II, GLBA, HIPAA czy też regulacje GIODO. Dodatkowo administrator uzyskuje m.in. możliwość kontroli zmian struktury baz danych czy też użytkowników uprzywilejowanych. Jest to możliwe dzięki zastosowaniu języków DDL oraz DCL (odpowiednio Data Definition Language i Data Control Language).
Rozwiązanie w elastyczny sposób można zaadaptować do istniejącej topologii, dzięki trzem trybom pracy: jako snifer sieciowy na SPAN procie, w trybie native audit (czy bezpośrednio na chronionym systemie) czy też w końcu dzięki agentom sieciowym. FortiDB to rozwiązanie, które występuje zarówno w wersji sprzętowej, jak i programowej dla systemów z rodziny Windows.
FortiToken™-200 - Token generujący hasła jednorazowe na potrzeby mechanizmów silnego uwierzytelniania
Silne uwierzytelnianie w zasięgu ręki
FortiToken-200 umożliwia organizacjom wdrożenie rozwiązania zapewniającego uwierzytelnianie dwuskładnikowe. Jest to łatwy w użyciu token generujący hasła jednorazowe, który pozwala ograniczyć ryzyko powstające w przypadku korzystania z systemów uwierzytelniania jednoelementowego, np. za pomocą haseł statycznych. FortiToken pozwala administratorom, chcącym korzystać z uwierzytelniania dwuskładnikowego na oferowanie użytkownikom – zarówno lokalnym, jak i zdalnym – zwiększonego bezpieczeństwa dostępu. FortiToken-200 stanowi jeden z elementów oferty produktów Fortinet do uwierzytelniania wieloskładnikowego. Pozwala zagwarantować, że dostęp do informacji wrażliwych uzyskają wyłącznie osoby upoważnione, przez co ułatwia prowadzenie działalności oraz pomaga chronić dane, obniżać koszty infrastruktury informatycznej i maksymalizować wydajność użytkowników.
Wykorzystanie możliwości istniejących platform Fortinet
Każda z kompleksowych platform bezpieczeństwa - FortiGate™ jest w stanie obsługiwać zintegrowany serwer uwierzytelniania. Dzięki wspólnemu wykorzystaniu tej funkcjonalności i tokenu FortiToken można wyeliminować potrzebę stosowania serwera zewnętrznego, co jest zwykle niezbędne w przypadku wdrażania rozwiązań dwuskładnikowego uwierzytelniania.
Kod jednorazowy o krótkim czasie aktualności, generowany na podstawie czasu, uzupełnia o silne uwierzytelnianie takie mechanizmy jak zdalny dostęp do sieci VPN (ang. Virtual Private Network) po IPSec oraz SSL, logowanie do sieci WiFi przez Captive Portal oraz logowanie administratora FortiGate. Jest on stale zsynchronizowany z kontrolerem FortiGate.
Zarządzanie seedami w systemie FortiGuard®
Centrum FortiGuard™ przechowuje seedy potrzebne do obsługi tokenów w repozytorium o architekturze chmury. Z chwilą zarejestrowania tokenu FortiToken system FortiGuard bezpiecznie dystrybuuje wymagane seedy do kontrolerów FortiGate. W momencie gdy będą tego wymagać polityki bezpieczeństwa oparte na tożsamościach użytkowników, kontroler FortiGate jest w stanie zweryfikować 6-cyfrowe hasło jednorazowe, porównując je ze swoją bazą danych.
Zgodność z normami i serwerami AAA
Urządzenie FortiToken-200 jest zgodne z popularnymi lokalnymi i zdalnymi serwerami dostępu, takimi jak Active Directory, LDAP i RADIUS. Komunikację wewnętrzną z tymi serwerami utrzymuje kontroler FortiGate, który równocześnie zarządza drugim składnikiem uwierzytelniania użytkowników. Używany w połączeniu z kontrolerem FortiGate token spełnia ponadto normy OATH.
Wytrzymała konstrukcja
Dla zapewnienia dodatkowego bezpieczeństwa urządzenie FortiToken-200 zamknięte jest w odpornej na próby fizycznego dostępu obudowie, która pełni rolę plomby zabezpieczającej. Wyposażono je ponadto w odporną na sabotaż pamięć, której zadaniem jest ochrona wewnętrznego, synchronicznego generatora haseł jednorazowych.
| Zalety urządzenia FortiToken |
|
| Główne cechy |
|
Fortinet zabezpiecza sieć Krakowskiego Banku Spółdzielczego
Krakowski Bank Spółdzielczy, największy bank spółdzielczy w kraju, stale utrzymujący się na pozycji lidera w rankingach banków spółdzielczych oraz bezpieczeństwa finansowego, wdrożył zintegrowany system zabezpieczeń sieci komputerowej. Bank prowadzi działalność poprzez sieć 74 placówek w województwach małopolskim, śląskim i świętokrzyskim. W związku z rozwojem usług bankowych i rozbudową oddziałów, Krakowski Bank Spółdzielczy zdecydował o rozszerzeniu wykorzystywanego systemu ochrony.
Dotychczasowa struktura sieci WAN bazowała na sieci o topologii rozszerzonej gwiazdy zbudowanej w technologii FrameRelay oraz ISDN. Dostęp do internetu realizowany był poprzez zainstalowane w każdej placówce łącze DSL. Ponadto, każdy oddział posiadał również dodatkowe łącza backupowe zbudowane przeważnie w tej samej technologii co podstawowe (ISDN). W efekcie każda placówka posiadała minimum trzy łącza, które sterowane były przez dwa urządzenia tj. router obsługujący sieć WAN oraz firewall programowy zabezpieczający dostęp do internetu. Takie rozwiązanie znacznie podnosiło koszty oraz wymagało dużych nakładów administracyjnych.
Pod koniec 2009 roku Krakowski Bank Spółdzielczy rozpoczął testy urządzeń różnych producentów m. in. Juniper, Cisco, Check Point, Watchguard, Zyxell oraz Fortinet. Wybór padł na rozwiązanie firmy Fortinet ze względu na integrację wielu funkcji w jednym urządzeniu oraz przejrzysty, szybki i intuicyjny interfejs użytkownika oparty o przeglądarkę WWW. Atutem wybranego rozwiązania była też jego funkcjonalność, duża wydajność urządzeń, możliwość podłączenia bezprzewodowego modemu GSM i skonfigurowania funkcji WAN-failover oraz przyjazny system licencjonowania.
Zakupione urządzenia Fortinet wykorzystane zostały do budowy zintegrowanego systemu bezpieczeństwa. Wszystkie placówki połączono w jedną bezpieczną sieć VPN. Urządzenia FortiGate chronią sieć firmową przed atakami, wirusami i robakami, a także zapewniają ochronę poufności transmisji i treści. Rozwiązanie Fortinet znacznie obniżyło koszty utrzymania łączy, ponieważ zlikwidowane zostały łącza FrameRelay, ISDN i VSAT (do bankomatów), a także w dużej mierze łącza GPRS (także do bankomatów). Pełna niezawodność sieci WAN umożliwia nieprzerwaną pracę środowiska sieciowego. Centralny system analizy ruchu i raportowania oraz zarządzania politykami bezpieczeństwa zapewnia spójność polityk na urządzeniach końcowych oraz pozwala na zcentralizowane zarządzanie całą siecią WAN.
Całość systemu jest centralnie zarządzana przez urządzenie FortiManager, a do analizy ruchu w sieci i raportowania wykorzystywany jest FortiAnalyzer.
„Dzięki wdrożeniu urządzeń FortiGate zwiększyła się niezawodność naszej sieci oraz jej bezpieczeństwo. Zintegrowanie w jednym urządzeniu wielu technologii bezpieczeństwa ułatwia utrzymanie, raportowanie i rozwiązywanie problemów,” – powiedział Paweł Matusik z Biura Informatyki, Telekomunikacji i Administracji Systemami Bankowymi Krakowskiego Banku Spółdzielczego. – „Dodatkowe rozwiązania FortiManager i FortiAnalyzer upraszczają zarządzanie bezpieczeństwem i redukują koszty operacyjne we wdrożeniach z wieloma urządzeniami. W związku z tym wybór rozwiązania był bardzo trafny.”
Ponadto, Bank planuje zakup urządzeń do nowo otwieranych placówek, w razie potrzeby będzie rozbudowywać sieć o nowe urządzenia lub wymieniać urządzenia na nowsze modele.
