Klient

Sąd rejonowy w Szczecinku obejmuje swoim obszarem właściwości miasto Szczecinek oraz kilka podległych gmin. Struktura organizacyjna sądu obejmuje wydziały: cywilny, karny, rodzinny i nieletnich oraz wydział ksiąg wieczystych. Jako podstawowa jednostka orzekająca wymiaru sprawiedliwości w systemie sądownictwa powszechnego rozpatruje w pierwszej instancji większość spraw sądowych.

Specyfika pracy w sądownictwie charakteryzuje się dużym nakładem dokumentacji zawierającej wrażliwe dane. Ich tradycyjny obieg wymaga dużych nakładów pracy i jest zwyczajnie czasochłonny. Technologia informatyczna, która coraz głębiej dociera w obszary sądownictwa, pozwala zaoszczędzić czas i uprościć wiele procedur.

Z obiegiem cyfrowych dokumentów wiąże się konieczność bezpiecznego ich przenoszenia i przechowywania. Niezmienną popularność w sektorze sądownictwa i administracji publicznej zyskują szyfrowane nośniki danych. Jako partner sprzedażowy pierwsze relacje z Sądem Rejonowym w Szczecinku grupa PBSG nawiązywała w roku 2012, ponieważ wówczas firma EMS Partner nie figurowała jako osobna spółka. Natomiast od ustanowienia EMS Partner jesteśmy kontaktem Sądu Rejonowego i świadczymy usługi dostawy oraz wsparcia zarządzalnych produktów kryptograficznych.

Geneza

W związku z potrzebą zapewnienia bezpieczeństwa danych przechowywanym na pendrive’ach, Sąd Rejonowy w Szczecinku rozpoczął poszukiwanie dogodnego rozwiązania, które pozwoliło by zarówno na ochronę danych znajdujących się na USB jak i zdalne zarządzanie nimi. Dodatkowym asumptem do podjęcia decyzji była ustawa o ochronie danych osobowych oraz regulaminy bezpieczeństwa informacji.

W sądzie zatrudnione są osoby, które czasami pracują poza budynkiem sądu i jego infrastrukturą IT. „To właśnie ich trzeba było zaopatrzyć w szyfrowane sprzętowo urządzenia. Priorytetem było zabezpieczenie danych osobowych, które przetwarzali pracownicy poza budynkiem sądu. To zdecydowanie najważniejszy powód.” – opowiada Robert Ożański, Administrator Systemów Informatycznych Sądu Rejonowego w Szczecinku – „W przypadku utraty laptopa (dyski są zaszyfrowane na całej powierzchni), bądź nośnika – dane mają pozostać bezpieczne.”

Zespół IT Sądu Rejonowego w Szczecinku dowiedział się o systemie SafeConsole od innych sądów, które były zadowolone z rozwiązania. Dzięki tej rekomendacji, nie było potrzeby przeprowadzania testów innych produktów. Pozytywne opinie obejmowały skuteczność rozwiązania i łatwość obsługi, zwłaszcza w kontekście zdalnej zmiany haseł.

Potrzeby i cele projektu

Przedmiotem projektu zrealizowanego przez EMS Partner było zabezpieczenie danych przenoszonych na nośnikach oraz zarządzanie flotą nośników USB poprzez wdrożenie Konsoli Zarządzającej SafeConsole. Ze względu na obieg cyfrowej dokumentacji w Sądzie oraz świadczenie usług jego pracowników poza budynkiem Sądu, pojawiły się następujące potrzeby biznesowe:

    • Przechowywanie danych na szyfrowanych sprzętowo nośnikach danych

Pendrive’y, z których korzystają pracownicy Sądu to szyfrowane sprzętowo w trybie XTS z algorytmem AES 256 bit super szybkie USB 3.0. Są pokryte żywicą epoksydową i cechują się wzmocnioną obudową oraz odpornością na wodę i zanieczyszczenia. Nośniki USB przeszły szereg testów i certyfikacji, które potwierdzają ich odporność na uszkodzenia mechaniczne jak i próby włamania. Oprogramowanie urządzeń SafeXs ma wbudowaną ochronę przeciwko atakom Brute Force, dzięki czemu jeśli pendrive dostanie się w niepowołane ręce, jego zawartość zostanie wymazana po 10-ciu nieudanych próbach. Mają również wbudowaną blokadę czasową przy wykryciu nieaktywności, zatem nawet jeśli pracownik odejdzie od swojej stacji roboczej bez zablokowania komputera, pendrive sam zablokuje się po upływie wyznaczonego czasu.
Dzięki walorom szyfrowanych pendrive’ów wiele z mechanizmów dotyczących ochrony przed wyciekiem danych jest realizowanych na poziomie samego urządzenia, co już podnosi poziom bezpieczeństwa w Sądzie.

    • Rozwiązanie instalowane lokalnie i zintegrowane z wewnętrznymi zasobami

Podstawowym warunkiem jaki był nałożony na rozwiązanie jest lokalna instalacja. Nie dopuszcza się obiegu kluczy bądź certyfikatów poza infrastrukturą IT Sądu. Również ze względów ułatwiających korzystania z rozwiązania, kluczowym punktem była integracja z ActiveDirectory. Wymagania te udało się spełnić. Konsola SafeConsole umożliwia dwa rodzaje wdrożenia, zarówno z wykorzystaniem usług katalogowych jak i bez. W tym przypadku wykorzystano możliwość integracji środowiska z serwerem Active Directory, dzięki czemu w konsoli widoczna jest cała struktura organizacyjna oraz użytkownicy wraz z ich urządzeniami.

    • Praktyczne funkcje zarządzania – zdalny reset haseł

Najważniejszym założeniem była możliwość zarządzania pendrive’ami pod kątem resetu hasła. Rozwiązanie umożliwia zarówno określenie polityk dotyczących haseł, tak aby użytkownik musiał ustanowić hasło złożone, o określonej liczbie znaków i wyposażone przykładowo w małe i wielkie litery oraz cyfry i znaki specjalne, jak i przewiduje specjalną procedurę odzyskiwania haseł.
Niektóre z obecnych rozwiązań na rynku wprowadzają usługę odzyskiwania haseł poprzez wysyłanie tokenu do supportu producenta. Natomiast to, co wyróżnia podejście SafeConsole to realizacja procesu wyłącznie w obrębie lokalnego środowiska.

Wdrożenie rozwiązania

W sieci informatycznej Sądu Rejonowego w Szczecinku jest około 100 użytkowników i hostów. Ze względów bezpieczeństwa na terenie sądu nie jest udostępnione WiFi. Również środowisko SafeConsole jest zainstalowane lokalnie, w infrastrukturze Sądu. Pracownicy korzystają w tej chwili wyłącznie z komputerów z systemem Windows 7.
Rozwiązanie zakupione przez Sąd Rejonowy w Szczecinku składa się z szyfrowanych USB SafeXs 3.0 firmy CTWo oraz konsoli SafeConsole w wersji 4.94 zapewnionej przez BlockMaster a obecnie rozwijanej przez DataLocker.

    • Instalacja konsoli

Środowisko SafeConsole znajduje się na jednym z serwerów w infrastrukturze informatycznej Sądu. Ma połączenie z serwerem Active Directory oraz stacjami roboczymi użytkowników. Rozwiązanie pozwala na określenie różnych poziomów synchronizacji. W tym przypadku wykorzystano pełną synchronizację z serwerem, aby mieć pełną strukturę organizacyjna w rozwiązaniu. Konsola umożliwia też wybór 3 grup administratorów nazywanych odpowiednio Administratorzy (pełne uprawnienia), Managerowie (częściowe uprawnienia) i Help Desk (podstawowe uprawnienia). Do wykonywania akcji zdalnego zarządzania urządzeniami wystarczą użytkownicy tej trzeciej.

    • Wdrożenie urządzeń

Zgodnie z filozofią wdrożenia w Sądzie Rejonowym w Szczecinku urządzenia są przygotowywane przez administratora a następnie rozdawane użytkownikom. Wprawdzie rozwiązanie SafeConsole wspiera masowe rozdzielenie i konfigurację przez użytkownika, jednakże w tym przypadku nie jest to praktykowane. Urządzenia i konsola wymieniają się kluczami i przy każdorazowym podłączeniu klucze te są sprawdzane.
Użytkownicy mają możliwość zmiany swojego hasła w obrębie zarządzanego urządzenia. W przypadku gdy zapomną hasła, mają możliwość zwrócenia się do pomocy technicznej i otrzymania tokenu (kodu) na podstawie którego odzyskają możliwość korzystania ze swojego pendrive’a.

Korzyści biznesowe

    • Interfejs webowy w polskim języku – również komunikaty dla użytkowników są w języku polskim
    • Zdalna kontrola nad urządzeniami na wypadek sytuacji kryzysowych – wykonywanie resetu haseł i resetu zawartości z poziomu konsoli
    • Ujednolicenie polityk związanych z bezpieczeństwem w infrastrukturze informatycznej Sądu Rejonowego w Szczecinku – ustawienie zasad dotyczących haseł i czasowej blokady urządzenia
    • Możliwość zastrzeżenia danych na wypadek zgubienia – funkcja wiadomości, która pokaże się znalazcy po podłączeniu pendrive’a. Możliwość podania danych kontaktowych Sądu zwiększa szanse na odzyskanie nośnika. W przeciwnym razie, znalazca nie będzie w stanie z niego korzystać. Oznaczenie urządzenia jako „zagubione” w konsoli uniemożliwia jakiekolwiek działania na nim (włączając w to formatowanie), dopóki nie zostanie zmieniony jego status w konsoli
    • Możliwość zdalnej dystrybucji plików do wszystkich pendrive’ów za pomocą funkcji Publisher – administrator z poziomu konsoli może zintegrować środowisko np. z udziałem sieciowym, gdzie będą przechowywane dokumenty, wówczas pracownicy będą mieli do nich dostęp z poziomu swoich urządzeń. Funkcjonalność wyjątkowo przydatna dla osób pracujących poza organizacją
    • Szerokie funkcje audytowania, zarówno działań użytkowników, operacji na plikach jak i operacji wykonywanych przez administratora, dzięki którym rejestrowana jest pełna ścieżka audytu z możliwością wyciągnięcia konsekwencji
    • Administratorzy mogą określić jakie pliki (funkcja File Restrictor) pracownicy Sądu będą mogli przechowywać na swoich USB bądź skonfigurować ich urządzenia w tryb odczytu, w zależności od wymagań organizacji

Administratorzy Sądu przyznają, ze SafeConsole to rozwiązanie skuteczne, a także przyjazne użytkownikowi, zwłaszcza jeśli chodzi o zmianę haseł.

Plany rozwojowe

W tej chwili konsola jest zainstalowana na fizycznej maszynie. W planach jest postawienie wirtualnego serwera 2008R2 i przeinstalowanie konsoli do tej lokalizacji w celu ułatwienia dostępu do interfejsu.

Dodaj komentarz