Temat: Znaczenie pomniejszych systemów w utrzymaniu ciągłości...

Znaczenie pomniejszych systemów w utrzymaniu ciągłości działania na przykładzie CCTV w kasynie.

W dzisiejszych czasach, coraz większą uwagę przykładamy do bezpieczeństwa i jest to zarówno bezpieczeństwo osób, dokumentów, czy danych elektronicznych, ale także zasobów materialnych i szeroko pojętych finansów. W celu zabezpieczania tych wartości, wykorzystujemy standardy i dobre praktyki, jak np. analizy ryzyka, zarządzania ciągłością działania czy utrzymywania poufności/prywatności.

Podczas utrzymywania bezpieczeństwa na mniejszym lub większym poziomie, określamy krytyczne miejsca, które chronimy w pierwszej kolejności. Ze względu na coraz szerszą digitalizacje, większość krytycznych procesów dotyczy usług powiązanych z działaniami elektronicznymi.
Podczas planowania działań i sprawdzania bezpieczeństwa, często zapominamy o pomniejszych systemach, działających w tle. Takimi systemami są np. systemy telewizji dozorowej, inaczej zwane monitoringiem wizyjnym. Jest on obecny praktycznie w każdej firmie, jednak często jego znaczenie nie jest uwzględniane przy analizie ryzyka zwłaszcza w kontekście ciągłości działania.
Możliwe, że jest to związane z tym, że obszar ten nie doczekał się żadnych regulacji prawnych, pomimo dużej ilości informacji przetwarzanych przez te systemy. W ostatnim czasie zaczęło się to zmieniać, w związku z wprowadzeniem RODO oraz aktualizacją Kodeksu pracy. Zmiany te dotyczyły w szczególności wizerunków pracowników w miejscach pracy.
Jednakże szczegółowe podejście do tematu wymaga dokonania podziału monitoringu wizyjnego na 4 rodzaje.
Pierwszym obszarem są oczywiście kamery skierowane na ogólnodostępne korytarze w pracy. Jest to rodzaj kamer wewnętrznych. Nagrywają one głównie pracowników, gości oraz klientów. Ich celem jest bezpieczeństwo personelu i aktywów.
Drugim rodzajem są kamery umieszone na zewnątrz budynków. Te z kolei mają za cel nadzorować dostęp, sytuacje poprzedzające incydenty wewnętrzne.
Trzecim rodzajem są kamery umieszczone pomiędzy pierwszymi, a drugimi. Skierowane na sytuacje wewnątrz budynku, ale jednocześnie nagrywające zdarzenia zewnętrzne. Przykładem takich kamer są np. kamery identyfikacyjne stosowane w bankach.
Czwartym rodzajem kamer są te, które są stosowane do obserwacji i ochrony bardzo zawężonych obszarów. Takimi obszarami mogą być miejsca dokonywania transakcji gotówkowych. Często z takimi rozwiązaniami spotykamy się w sklepikach osiedlowych i kasach w hipermarketach. Rozwiązanie to jest stosowane m. in. w celu możliwości wyjaśnienia incydentów związanych z różnicami finansowymi oraz w efekcie stratami przedsiębiorcy.
W tym miejscu warto sobie zadać pytanie, czy CCTV uwzględnia się w ramach analizy ryzyka w kontekście ciągłości działania, czy wyznaczania wskaźników tj. RTO, czy RPO.
Przyjmijmy, że awarii uległ rejestrator w kasynie. Dla lepszego zrozumienia tematu, należy wspomnieć o procesach, jakie odbywają się w kasynie. Klienci przychodzący grać są pod stałym nadzorem kamer. Kamery służą do zachowania porządku, ale jednocześnie do nadzorowania poprawności gier. Przykładowo, jeśli klient nie zgadza się z decyzją krupiera, nagrania z kamery pozwalają wyjaśnić, kto ma racje podczas różnicy zdań klient – krupier.
Analizując proces dalej, w tradycyjnej ruletce, przegrane przez klienta pieniądze są wrzucane do zamkniętej kasetki, która następnie jest otwierana i przeliczana na zapleczu pod nadzorem innych kamer.
Należało by sobie zadać pytanie, na utratę jakiej ilości danych (czyli w tym przypadku brak pozyskania danych) i w jakim czasie może sobie pozwolić kasyno? Odpowiedzi na te pytania udzieli analiza ryzyka w zakresie wartości finansowych wyjmowanych z kasetki.
Brak możliwości nagrywania na ruletce VIP może spowodować natychmiastowe przerwanie gry, co oczywiście znajdzie odzwierciedlenie w postaci niezadowolenia klientów kasyna, czy brak zagospodarowania czasu dla dwóch pracowników. Z pewnością kasyno może pozwolić sobie na RTO w postaci np. 8 godzin w przypadku ruletki gdzie minimalna stawka wynosi 2 zł, jednak RTO dla ruletki VIP gdzie minimalna stawka wynosi 1000 zł, będzie znacznie mniejsze.
Inaczej będzie wyglądała sytuacja z usterką rejestratora monitorującego zaplecze i miejsce gdzie zostaje przekazany „produkt” w postaci kasetki z przegranymi przez klientów pieniędzmi. Podczas rozliczania takiej kasetki istnieją specyficzne procedury wyjmowania i przeliczania pieniędzy. Pieniądze są wyjmowane pod nadzorem kamer skierowanych na miejsce przeliczania, oraz rozkładane w ściśle określony sposób. Tak więc brak stałego nagrywania czynności zwiększy ryzyko nadużyć i kradzieży oraz spowoduje bezcelowość większości działań.
W przypadku, gdy organizacja posiada procedury bezpieczeństwa dotyczące wartości pieniężnych lub produktów o wysokiej wartości, awaria rejestratora może spowodować brak możliwości realizacji procesu, co w efekcie może spowodować wstrzymanie innych procesów biznesowych. Ponadto przy ograniczonej ilości miejsca na zapleczu i braku możliwości ich rozliczania na bieżąco, istnieje ryzyko, że w pewnym momencie zaplecze nie będzie mogło przyjmować dodatkowych kasetek z pieniędzmi, co w efekcie spowoduje zatrzymanie gier, ponieważ pracownicy „wytwarzający” produkt, będą musieli wstrzymać swoje działania.
Celowo używam tu określenia „produkt” w odniesieniu do pieniędzy, ponieważ gra w kasynie jest usługą, a „produkt” jest oferowaną wygraną. W przypadku przegranej klienta „wytworzony produkt”, jest oferowany kolejnemu jako potencjalna nagroda.
W niektórych przypadkach, gdy telewizja dozorowa wypełnia istotną rolę w biznesie, powinna zostać uwzględniona podczas wdrażania procedur ciągłości działania, ponieważ pomimo tego, że na co dzień nie jest wykorzystywana jako podstawowy i krytyczny system, może sparaliżować biznes lub narazić firmę na duże straty finansowe. Nie należy zatem zakładać, że wszystkie systemy wspierające są mniej istotne i nie mają realnego wpływu na biznes, ponieważ mogą stanowić istotny element systemu zarządzania bezpieczeństwem organizacji.

Artur Rogalewski
Specjalista ds. cyberbezpieczeństwa

https://www.pbsg.pl/znaczenie-pomniejszych-systemow-w-u...