BillBird to drugi po Poczcie Polskiej pośrednik w przyjmowaniu od konsumentów wpłat należności dla masowych wystawców rachunków, takich jak opłaty za gaz, prąd i telefon czy doładowania telefonów komórkowych. Obsługa płatności gotówkowych w ponad 14 tys. lokalizacji objętych siecią VIA™ wymaga oprogramowania z pełnym zabezpieczeniem proceduralnym oraz informatycznym – i taką infrastrukturą BillBird dysponuje. Jednak wszędzie tam, gdzie w grę wchodzą tak wrażliwe informacje, jak dane osobowe klientów czy finansowe (numery kont, wysokość, kwoty rachunków itp.), kluczowe są gwarancje bezpiecznego przechowywania i przetwarzania danych.

Partnerzy BillBird po obu stronach – zarówno klienci indywidualni, jak i zleceniodawcy (operatorzy telekomunikacyjni, dystrybutorzy mediów i dostawcy usług komunalnych itp.) – muszą mieć pewność, że dane konieczne do realizacji transakcji są bezpieczne bez względu na wykonywaną transakcję, procedurę czy narzędzia IT.

Nie chodzi tylko o unikanie zagrożeń zewnętrznych i wewnętrznych wynikających z działania w złej woli, szpiegostwa przemysłowego itp., ale głównie o ochronę informacji przed jej stratą, zapewnienie organizacji ciągłości działalności biznesowej, ograniczenie strat, maksymalizację zwrotu z inwestycji oraz rozwój firmy.

Z tych powodów w połowie 2010 r. BillBird zdecydował się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z normą ISO/IEC 27001 oraz zbiorem dobrych praktyk ISO/IEC 27002, a także poddanie się audytowi certyfikującemu na zgodność z tą normą. Wdrożenie systemu oraz przygotowanie do audytu wykonano we współpracy z BCC (aktualnie All for One Poland).

Partnerzy BillBird – zarówno klienci indywidualni, jak i zleceniodawcy – muszą mieć pewność, że dane są bezpieczne bez względu na wykonywaną transakcję, procedurę czy narzędzia IT

Przygotowanie projektu

Projekt rozpoczęto do określenia celów oraz zidentyfikowania procesów, które następnie objęto SZBI. Należało też uwzględnić integrację SZBI z innymi systemami zarządzania w firmie. Po powołaniu zespołu projektowego Blackbird oraz forum zarządzania bezpieczeństwem informacji (FZBI) określono zakresy ich obowiązków.

Do podstawowych zadań członków FZBI zaliczono m.in. przegląd i zatwierdzenie polityki bezpieczeństwa informacji, monitorowanie istotnych zmian w narażeniu aktywów informacyjnych na podstawie zagrożenia, zatwierdzanie ważniejszych przedsięwzięć zmierzających do podniesienia poziomu bezpieczeństwa informacji, zdefiniowanie aktywów objętych SZBI, ich właścicieli oraz zagrożeń dla tych aktywów, opracowanie i wdrożenie planu postępowania z ryzykiem, wdrażanie i eksploatowanie zabezpieczeń.

Dodatkowo w kontekście kompleksowego zarządzania ryzykiem w firmie FZBI odpowiadało za wyznaczenie poziomu ryzyka i opracowanie raportu z jego szacowania, określenie działań zmierzających do rozwiązania problemów z naruszeniem bezpieczeństwa przy uwzględnieniu priorytetów biznesowych, audyty wewnętrzne i przeglądy SZBI ISO/IEC 27001 w zaplanowanych odstępach czasu.

Podczas prezentacji zespół Blackbird, w skład którego wszedł zarząd, dyrektorzy oraz kierownicy (liderzy procesów), zapoznał się z głównymi celami projektu. Były to: ustalenie odpowiedniego poziomu bezpieczeństwa informacji, sformalizowanie procesu szacowania ryzyka oraz wdrożenie normy jako elementu ładu korporacyjnego BillBird. Zwieńczeniem pracy, a równocześnie najważniejszym testem miało być uzyskanie certyfikatu ISO/IEC 27001.

Na spotkaniu ustalono również formę współpracy z BCC oraz inne elementy dotyczące zarządzania projektem (zakres, czas, zasoby, kartę projektu, produkty, protokoły z konsultacji oraz harmonogram).

Następnie wszyscy pracownicy BillBird zostali przeszkoleni w zakresie podstaw i terminologii normy ISO/IEC 27001 oraz zarządzania bezpieczeństwem informacji w kontekście potrzeb biznesowych i związanego z tym ryzyka. Uzyskali też informacje, jak będzie prowadzony projekt, jakie są jego cele i zakres, jakie zadanie się z nim wiążą oraz jak system będzie w przyszłości nadzorowany. Na podstawie case study z procesu certyfikacji w BCC dowiedzieli się, jak będzie przebiegał audyt certyfikacyjny, jakie pytania mogą zadawać audytorzy. Praktyczne przykłady pozwoliły także dokonać ogólnego przeglądu środków nadzoru z ISO 27001.

Celem pierwszej fazy projektu było stworzenie jednego ze strategicznych dokumentów normy ISO/IEC 27001 – polityki systemu zarządzania bezpieczeństwem informacji

Polityka zarządzania bezpieczeństwem informacji

Celem pierwszej fazy projektu było stworzenie jednego ze strategicznych dokumentów normy ISO/IEC 27001 – polityki systemu zarządzania bezpieczeństwem informacji. W BillBird została ona oparta na:

  • zaangażowaniu kierownictwa oraz pracowników w realizację polityki systemu zarządzania bezpieczeństwem informacji,
  • ochronie aktywów informacyjnych w oparciu o procedury ich identyfikacji, klasyfikacji i monitoringu oraz wzmacnianiu wizerunku firmy jako organizacji godnej zaufania,
  • stosowaniu uznanych światowych standardów oraz najlepszych praktyk z zakresu bezpieczeństwa informacji, a także bezpieczeństwa teleinformatycznego,
  • systemowym zarządzaniu bezpieczeństwem informacji określonym w polityce zarządzania ryzykiem w oparciu o kompleksową analizę ryzyka, z uwzględnieniem dbałości o efektywność działań służących minimalizacji zidentyfikowanych zagrożeń,
  • rejestrowaniu incydentów związanych z zagrożeniem bezpieczeństwa informacji i podejmowaniu działań korygujących i zapobiegawczych,
  • ciągłym doskonaleniu i promocji SZBUI zgodnego z normą ISO/IEC 27001 oraz wymogami prawa, a także edukacji pracowników w tym zakresie.

W tej fazie zdefiniowano, jakie lokalizacje firmy, zasoby ludzkie, aktywa oraz technologie będą objęte SZBI. Zarząd BillBird postanowił o powołaniu pełnomocnika SZBI, który jest odpowiedzialny za ustanowienie, wdrożenie i utrzymywanie systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001, przedstawianie kierownictwu okresowych sprawozdań z funkcjonowania SZBI, będących podstawą do doskonalenia. Do jego obowiązków należy także prowadzenie szkoleń wewnętrznych oraz inicjowanie i prowadzanie działań doskonalących SZBI.

Przygotowanie koncepcyjne

W drugim etapie projektu zebrano i usystematyzowano informacje o procesach biznesowych oraz systemach informatycznych w BillBird. Przeprowadzono także proces zarządzania ryzykiem oraz określono potencjał i możliwości organizacji, czyli plan postępowania z ryzykiem. Dane wejściowe do procesu szacowania ryzyka stanowiła klasyfikacja informacji i aktywów. Zespół projektowy sformalizował procedurę zarządzania ryzykiem, opisując w dokumencie takie obszary jak:

  • metodologia zarządzania ryzykiem,
  • główne czynniki ryzyka,
  • identyfikacja i ocena ryzyka,
  • kryteria oceny ryzyka,
  • działania ograniczające ryzyko,
  • akceptacja wdrażania nowych i modyfikacji istniejących produktów, usług oraz procesów,
  • incydenty ryzyka,
  • zapewnienie ciągłości działania firmy,
  • zarządzanie sytuacjami awaryjnymi i kryzysowymi,
  • postępowanie w przypadku wykrycia przestępstwa lub podejrzenia popełnienia przestępstw.

Taka metodologia jest zgodna z tzw. kołem Deminga, zwanym również cyklem PDCA (Plan–Do–Check–Act). Stanowi ono uznany standard stosowany przy zarządzaniu ryzykiem rozumianym jako spójna, stała praktyka obejmującą identyfikację i ocenę ryzyka, ograniczanie poprzez działania, monitorowanie poziomu ryzyka oraz reewaluację i działania korygujące.

Zarządzanie ryzykiem obejmuje wszystkie sfery działalności firmy i wszystkie linie biznesowe. Szacowanie ryzyka przeprowadził zespół projektowy Blackbird. Jego wynikiem jest macierz oraz plan postępowania z ryzykiem, określający szczegóły wdrożenia zabezpieczeń.

Realizacja

Trzeci etap wdrożenia SZBI obejmował między innymi opracowanie deklaracji stosowania, czyli dokumentu definiującego, które punkty normy bezpieczeństwa będą stosowane oraz w jaki sposób zostaną realizowane zabezpieczenia. Podczas tego etapu powstała także procedura zarządzania incydentami.

Jej celem jest ustanowienie spójnego i jasnego sposobu postępowania z incydentami w firmie, od momentu wykrycia, poprzez raportowanie, klasyfikację zdarzenia, koordynację działań naprawczych i zapobiegawczych, aż do przywrócenia normalnego działania procesów i analizy ex-post.

Kolejnym zadaniem w fazie realizacji było opracowanie strategii zarządzania ciągłością działania. W tym celu zespół projektowy Blackbird opracował najważniejsze dokumenty:

  • politykę zarządzania ciągłością działania,
  • procedurę zarządzania kryzysowego i awaryjnego,
  • procedurę przeprowadzania testów ciągłości działania,
  • szablon planu przebiegu testu ciągłości działania,
  • harmonogram testów BCP na rok 2011.

W tej fazie dokonano również aktualizacji dokumentacji dotyczącej ochrony danych osobowych. Zweryfikowano m.in. politykę bezpieczeństwa oraz instrukcję przetwarzania danych osobowych w systemie informatycznym. Przeprowadzono cykl szkoleń przybliżających najważniejsze obowiązki administratora bezpieczeństwa informacji (ABI) oraz warsztaty, podczas których przedstawiono praktyczne rozwiązania oraz najistotniejsze problemy związane z ochroną danych osobowych w BillBird.

Szkolenia obejmowały m.in. zakres i podstawowe pojęcia ustawy o ochronie danych osobowych, ograniczenia i wyłączenia stosowania ustawy oraz inne przesłanki legalizujące przetwarzanie danych osobowych. Oprócz tego omawiano rolę, pozycję w organizacji oraz umocowanie prawne administratora danych osobowych (ADO), administratora bezpieczeństwa informacji i administratora systemów informatycznych (ASI). Zwracano uwagę na prawa osób, których dane dotyczą (uprawnienia informacyjne i rektyfikacyjne), a także kiedy należy udostępnić, a kiedy odmówić dostępu do danych osobowych. Uczestnicy szkoleń zapoznali się z zakresem uprawnień i najnowszym orzecznictwem Generalnego Inspektora Ochrony Danych Osobowych oraz zakresem i konsekwencją kontroli przeprowadzanych przez GIODO.

Monika Wołczyńska-Stachura, Dyrektor Finansowa, BillBird

Bezpieczeństwo informacji przewagą konkurencyjną
Najważniejsze cele, które przyświecały nam w dążeniu do uzyskania certyfikatu zgodności z normą ISO27001 oraz wynikające z tego korzyści to przede wszystkim zapewnienie kompleksowej ochrony informacji (tj. poufności, integralności oraz dostępności) utrwalonych i przekazywanych we wszelkiej formie, zarówno naszych własnych, jak i powierzonych nam przez klientów i partnerów biznesowych.
Wzmocniliśmy wizerunek firmy jako organizacji profesjonalnej i godnej zaufania, stosującej najlepsze standardy zarządzania. Jako że akredytowanym certyfikatem zgodności z normą ISO 27001 może się pochwalić jedynie kilkadziesiąt firm w Polsce, posiadanie go to powód do dumy, ale także całkiem wymierna korzyść w postaci przewagi konkurencyjnej. Świadomość znaczenia bezpieczeństwa informacji rośnie i certyfikat zgodności ze światowymi standardami zaczyna pojawiać się jako wymóg np. przy różnego rodzaju przetargach.
Mamy obecnie spójny, efektywny system zarządzania incydentami ryzyka, będący integralną częścią całościowego procesu zarządzania ryzykiem w firmie. Zarządzamy ciągłością działania w oparciu o sprawdzone wzorce i najlepsze praktyki.
Dokonaliśmy przeglądu, uporządkowania i usprawnienia procesów i rozwiązań w takich obszarach jak: komunikacja wewnętrzna i zewnętrzna, bezpieczeństwo teleinformatyczne, bezpieczeństwo fizyczne osób i aktywów. W toku przygotowań do certyfikacji udało się zidentyfikować, a następnie wyeliminować bądź znacznie ograniczyć luki i słabe punkty w bezpieczeństwie informacji, a często przy okazji usprawnić przebieg samego procesu, co znajduje przełożenie na poprawę efektywności w całej organizacji.
Znacznie podniosła się świadomość znaczenia bezpieczeństwa informacji i zarządzania ryzykiem wśród pracowników i współpracowników. Proces wdrożenia pozwolił kierownictwu firmy na wypracowanie lepszych mechanizmów nadzorowania tych procesów oraz ich postrzegania jako inwestycji na przyszłość.
Zgodność ze światowymi standardami bezpieczeństwa informacji i zarządzania ciągłością działania w znacznym stopniu ułatwi nam przygotowania do złożenia wniosku o zezwolenie na działalność jako instytucja płatnicza w związku z uchwaleniem przez Sejm długo oczekiwanej Ustawy o usługach płatniczych. Kwestie takie jak aktualne plany ciągłości działania czy efektywne zarządzanie ryzykiem są jednymi z podstawowych wymogów wydania takiego zezwolenia przez Komisję Nadzoru Finansowego.
Monika Wołczyńska-Stachura, Dyrektor Finansowa, BillBird

Testy i szkolenia

Testowanie procesów stanowiło czwartą fazę projektu. Prowadzono je poprzez audyty, działania korygujące i naprawcze w poszczególnych jednostkach organizacji oraz prezentacje i szkolenia z SZBI dla wszystkich pracowników. Konsultanci BCC wykonali testy penetracyjne infrastruktury IT w BillBird. Ich celem było zdiagnozowanie i stworzenie podstaw do poprawy stanu bezpieczeństwa IT. Testy penetracyjne polegają na dogłębnym sprawdzeniu stanu użytkowanych w organizacji zabezpieczeń w infrastrukturze IT, ze szczególnym uwzględnieniem potencjalnych słabych punktów, które mogą mieć wpływ na bezpieczeństwo systemów i danych.

Audyt procesów składał się z dwóch faz. Pierwsza obejmowała bezpieczeństwo IT. Eksperci BCC (aktualnie All for One Poland) sprawdzali dostęp z sieci LAN/WAN, organizację pracy zdalnej, zabezpieczenia systemów i aplikacji, inwentaryzację struktury fizycznej sieci, dokonali przeglądu topologii logicznej, warstwy przełączającej, routingu i zabezpieczenia sieci wewnętrznej, gniazd sieciowych oraz połączenia użytkowników do VPN.

Ponadto sprawdzono procedury wykonywania kopii zapasowych (backup), odtwarzanie testowe, strategie zarządzania uprawnieniami, zasady nadawania i odbierania dostępów oraz uprawnień, a także zarządzanie informacją dostępną w aplikacjach (np. drukowanie).

W drugiej fazie audytu zostały wykonane właściwe testy penetracyjne. Przeprowadzono ataki z zewnątrz sieci BillBird, sprawdzono, czy możliwa jest sytuacja, by ważne dane firmowe były dostępne w Internecie (np. poprzez tzw. Google Hacking). Kolejne testy dotyczyły ataków z wewnątrz sieci BillBird, prób złamania zabezpieczeń systemów oraz ataku na sieć Wi-Fi i aplikacje WWW.

Następnie FZBI przeprowadziło przegląd SZBI. W jego raporcie znalazły się m.in. informacje dotyczące wyników audytów i przeglądów Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001, informacje zwrotne od zainteresowanych stron, status działań zapobiegawczych, korygujących i doskonalących. Przedstawiono także techniki, produkty, procedury, które mogłyby być zastosowane w organizacji w celu ulepszenia realizacji i skuteczności ISO/IEC 27001, oraz działania podjęte na skutek poprzednich przeglądów realizowanych przez kierownictwo, a także podatności lub zagrożenia, do których nie było odpowiedniego odniesienia w poprzednim oszacowaniu ryzyka.

W raporcie omówiono również wyniki pomiarów efektywności, zmiany, które mogłyby dotyczyć Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001, oraz zalecenia doskonalące.

Na zakończenie projektu przeprowadzono warsztat, podczas którego zaprezentowano system zarządzania bezpieczeństwem informacji ISO/IEC 27001 funkcjonujący w BillBird. Przedstawiono obowiązujące procedury i instrukcje oraz inne rozwiązania organizacyjne. Uczestnicy mogli poznać zasady audytu certyfikacyjnego oraz przykładowe pytania i zadania, jakich mogą się spodziewać w jego trakcie.

Wreszcie w czerwcu 2011 r. odbył się trwający trzy dni audyt certyfikacyjny na zgodność z wymaganiami normy ISO/IEC 27001:2005. Audyt, przeprowadzony przez akredytowaną jednostkę certyfikacyjną TUV Nord, zakończył się pozytywną rekomendacją w zakresie zgodności systemu z wymaganiami normy, polityką bezpieczeństwa informacji BillBird, wewnętrznymi regulacjami, dobrymi praktykami w zakresie bezpieczeństwa teleinformatycznego.

Elita dobrego zarządzania
Należy podkreślić widoczne zaangażowanie zarządu oraz wszystkich pracowników firmy w projekt wdrożenia oraz utrzymywanie SZBI. Zastosowane zabezpieczenia oraz wymagany przez normę ISO ciągły monitoring skuteczności systemu oceniliśmy bardzo wysoko. BillBird to kolejna firma, która wstąpiła do elity organizacji zarządzających bezpieczeństwem przetwarzanych informacji zgodnie z międzynarodowym standardem. To organizacja, która wyraźnie zdefiniowała swoje cele i z pełną determinacją dąży do ich realizacji. Takie podejście, w ocenie audytora, pozwala na spełnienie zmieniających się w czasie wymagań rynku oraz regulacji prawnych.
Robert Wójcik, Audytor Wiodący, TUV Nord
BillBird jest największym w Polsce dostawcą usług finansowych i innych usług komercyjnych realizowanych za pośrednictwem terminali POS oraz systemów kasowych. Każdego miesiąca w ramach usług Moje Rachunki, Moje Doładowania i Moje Przekazy funkcjonujących pod parasolową marką VIA™ realizowanych jest ponad 4 mln transakcji: opłat codziennych rachunków, doładowań telekomunikacyjnych i energetycznych czy przekazów pieniężnych z zagranicy, które można odbierać bezpośrednio w kasie sklepowej. Firma udostępnia też klientom usługę uzupełnienia w Internecie kont telefonów pre-paid wszystkich wiodących operatorów. Firma wchodzi w skład korporacji GTECH, największej firmy technologicznej zajmującej się usługami loteryjnymi na świecie.