официальный блог компании индид

многофакторная аутентификация, контроль администраторов и управление сертификатами

Статьи

Интервью Юрия Анатольевича Юрченко, ОАО «ОКБМ Африкантов»

Screen Shot 2013-12-10 at 18.51.08

В очередном номере журнала Information Security (№5, 2013) опубликовано интервью Юрия Юрченко, руководителя отдела информационных технологий ОАО «ОКБМ Африкантов». В интервью идет речь о внедрения и эксплуатации централизованной системы управления доступом к ИТ ресурсам предприятия. Данный проект был реализован на базе наших продуктов.

— Юрий Анатольевич, расскажите, пожалуйста, чем была обусловлена необходимость смены парольной защиты на использование электронных карт?

— До 2009 г. на «ОКБМ Африкантов» применялся обычный парольный доступ. При этом мы на каждом шагу сталкивались с его отрицательными сторонами: требования безопасности, связанные с необходимостью смены паролей с определенной периодичностью, с учетом их достаточной сложности и неповторяемости. Это приводило к тому, что пользователи в подавляющем большинстве попросту записывали свой текущий пароль на бумажку и клеили ее на монитор.
Никто не мешал одному пользователю, возможно вообще не допущенному в сеть или к ее определенным ресурсам, воспользоваться логином другого. Поймав в сети чей-то «нашкодивший» логин, IT-служба не могла доказать, что нарушение допустил именно его владелец. Вся аргументация разбивалась о заявление: «Да под моей учеткой работает весь отдел — они все знают, где я держу свой пароль!».
К сожалению, организационные меры помогали не всегда. Говорить о высоком уровне безопасности в сети и о полном контроле над ней было невозможно.
К тому моменту решения по аутентификации на базе различных аппаратных ключей уже широко использовались, в том числе и в наших закрытых сетях. Однако нужного эффекта это не принесло, поскольку пользователь мог оставить такой ключ, как и пароль, на рабочем месте, а вот аутентификация с использованием карт только зарождалась, хотя сами карты были уже привычным делом.
Удачным совпадением явилось то, что к этому моменту наше предприятие уже полностью было переведено с обычных бумажных пропусков на электронные бесконтактные пластиковые карты в рамках СКУД, имеющие достаточно высокий уровень защиты от подделки, а также ФИО и фото владельца, уникальный регистрационный номер.
Было принято решение совместить документ сотрудника для доступа на предприятие с доступом к корпоративной сети и ее информационным ресурсам. Основным положительным моментом стало то, что, не имея на руках личного пропуска, сотрудник не мог даже выйти из помещения. Пользоваться чужим пропуском при этом не имело смысла, поскольку все КПП были оснащены АРМ-системами с немедленным выводом часовому фотографии проходящего и приложившего пропуск сотрудника.
Как оказалось, и отношение сотрудников к пропускам иное, нежели к паролям, — они небезосновательно считают их полноценным документом и никому другому на руки не передают, как и свой паспорт. Кстати, зарплату у нас выдают тоже по предъявлении пропуска, как основного удостоверяющего личность документа.

— Как с технической точки зрения происходило внедрение? Как сейчас работает система?

— В своей системе по сетевой аутентификации мы установили считыватели бесконтактных карт, одновременно являющихся пропусками СКУД предприятия, на каждое рабочее место. Вопреки опасениям они оказались достаточно недорогими. Кроме того, мы установили клиентов и серверное ПО, интегрированное с системой аутентификации Active Directory, что было для нас очень важно.

Оставьте комментарий »
Опубликовано в Новости отрасли, Статьи
Метки: ,

Интервью Анатолия Скородумова журналу Information Security: Биометрия — это удобно!


Skorobumov
В июньском номере журнала Information Security (№3, 2013) опубликовано интервью Анатолия Скородумова, начальника отдела информационной безопасности ОАО “Банк “Санкт-Петербург». В интервью идет речь о внедрения и эксплуатации централизованной, биометрической системы управления доступом к ИТ-ресурсам банка. Данный проект был реализован на базе наших продуктов.

Хотим поддержать практику обмена практическим опытом между специалистами отрасли, и с разрешения редакции приводим текст данного интервью.

О внедрении строгой аутентификации на основе биометрических сканеров отпечатков пальцев в одном из крупнейших региональных банков России в эксклюзивном интервью редакции рассказал Анатолий Скородумов, начальник отдела информационной безопасности ОАО “Банк “Санкт-Петербург».

– Анатолий Валентинович, расскажите, пожалуйста, как вы решили проблему с парольным доступом для своей организации?

– Я бы определил решение одним словом – кардинально. Мы отказались от парольного доступа к информационным системам (ИС) банка, и внедрили строгую аутентификацию на основе биометрических сканеров отпечатков пальцев. Сразу оговорюсь, в системе не хранятся отпечатки пальцев пользователей, в ней используется достаточно сложный математический алгоритм вычисления хэш- функции на основе взаимного расположения точек (узелков) на отпечатке пальца. Каждый раз при аутентификации пользователя вычисляется хэш-функция, результат которой сравнивается со значением, хранящимся в системе. Но в каких-то случаях удобнее использовать аутентификацию на базе сертификатов, в каких-то – одноразовые пароли. Важно, что автоматизированная система, с помощью которой обеспечивается аутентификация пользователей в ИС банка и на базе которой мы строим технологию SSO (Single Sign On), позволяет нам применять практически любые виды аутентификации пользователей в системах.

Отмечу, что если вы задумались о переходе на строгую аутентификацию, стоит подходить к решению проблемы комплексно. Необходимо проработать единую технологию аутентификации во всех основных приложениях в организации, в каких-то случаях сделав ее сквозной – прозрачной для пользователя. Перевод пользователей просто на какую-то из технологий строгой аутентификации, например, в домене организации, конечно, повысит уровень ИБ, но можно упустить множество других возможностей, которые делают технологию привлекательной для пользователя и для бизнеса.

Оставьте комментарий »
Опубликовано в Новости отрасли, Статьи
Метки: , ,

Интервью Алексея Иванова журналу Information Security

Alexey Ivanov Information SecurityВ апрельском номере журнала Information Security (№2, 0213) опубликовано подробное интервью Алексея Иванова, руководителя службы ИБ банка КИТ Финанс. В интервью Алексей делиться опытом внедрения и эксплуатации централизованной биометрической системы управления доступом к ИТ-ресурсам банка на базе наших продуктов.

Хотим поддержать практику обмена практическим опытом между специалистами отрасли, и с разрешения редакции приводим текст данного интервью. Так же отметим, что банк КИТ Финанс является одним из наших первых клиентов. Специалисты банка внесли заметный вклад в развитие наших продуктов участвуя в обсуждениях текущего и будущего функционала. На сегодня в банке внедрены все основные элементы управления логическим доступом Indeed Identity.

Пароль умер, да здравствует пароль!

Каждый месяц СМИ публикуют очередную новость о каком-нибудь крупном взломе, произошедшем на просторах всемирной паутины. «Очередную», потому что эти события уже давно перестали быть чем-то из ряда вон выходящее. Казалось бы, совсем недавно только ленивое информационное агентство не писало на тему взломов SONY или Anonymous. И вот уже новостная лента взрывается срочными сообщениями о взломе 250 000 аккаунтов в Twitter. В июне 2012 года в публичный доступ были выложены 165000 хешей паролей от аккаунтов пользователей популярной социальной сети Linkedin. Компания Rapid7 провела их анализ и составила небольшой отчёт, в котором показала, насколько предсказуемы мы при выборе паролей. Из года в год список «самых-самых» остаётся практически неизменным: password, 12345678, qwerty…Все вы хоть раз да сталкивались с подобными комбинациями, не правда ли? Спасают ли ситуацию сложные криптостойкие пароли? Сегодня уже нельзя с уверенностью ответить «нет». Эксперты консалтинговой компании Deloitte уверены, что более 90% паролей интернет-пользователей, в том числе те, которые создаются профессиональными программистами и специальными программами, уязвимы к хакерским атакам.

Всё это свидетельствует о том, что использование парольной политики, в классическом виде, не может гарантировать безопасность информационных систем. О том, есть ли выход, и что можно сделать в сложившейся ситуации, мы решили узнать у тех, для кого проблемы с паролями уже в прошлом. Сегодняшний гость – Иванов Алексей Александрович, начальник Управления информационной безопасности и контроля Департамента информационной безопасности и охраны компании КИТ Финанс.

Оставьте комментарий »
Опубликовано в Новости отрасли, Статьи
Метки: ,

Банк «Санкт-Петербург» внедряет систему аутентификации и управления доступом на базе Indeed Identity

0fa779764983abe9a3e9ee7e493ed18b

В банке «Санкт-Петербург» завершился пилотный проект по внедрению централизованной системы строгой сквозной аутентификации и управления доступом Indeed Identity, реализованный совместно компаниями CSBI и «Индид». Использование продуктов Indeed Identity позволило обеспечить безопасный, удобный и легко контролируемый доступ сотрудников банка к корпоративным информационным ресурсам.

Минимизация рисков, вызванных человеческим фактором – такую задачу ставила перед собой служба информационной безопасности банка. Таким образом, необходимо было исключить использование паролей из жизни пользователей банка, тем самым сделав невозможным передачу пароля кому-либо, хранение его на стикерах и т.п. Решение Indeed Identity обеспечило возможность надежной беспарольной аутентификации при доступе сотрудников в сеть и бизнес-критичные приложения.

Подробнее:http://corp.cnews.ru/news/line/index.shtml?2012%2F03%2F21%2F482345

 

Оставьте комментарий »
Опубликовано в Новости Компании Индид, Новости отрасли, Пресс-релизы, Статьи

Интересная статья про аутентификацию по рисунку вен ладони

В статье подробро рассказывается про технологию аутентификации PalmSecure разработанной компанией Fujitsu. Данные технологии аутентификации возможно использовать с нашими решениями. Особенностями технологии является высокая скорость работы и отсутствие контакта ладони со сканером. Данные особенности могут быть использованы для решения задач по быстрой биометрической аутентификации/идентификации большого количества пользователей.

http://habrahabr.ru/company/fujitsu/blog/166787/http:/habrahabr.ru/company/fujitsu/blog/166787/

Оставьте комментарий »
Опубликовано в Новости отрасли, Статьи
Метки: , ,

Универсальная карта сотрудника: идея, ставшая реальностью

Ещё с детства мы знаем принцип «чем больше, тем лучше». По большей части он работает, но с течением времени становится ясно, что как и в любом правиле, в нём бывают исключения. Взять хотя бы скидочные и дисконтные карты. Сегодня практический каждый гипермаркет, каждый фитнес-центр и т.п. стараются привязать клиентов к себе через различные программы лояльности. Как следствие, в вашем кошельке начинают оседать всевозможные карточки. Через некоторое время всё это перестаёт помещаться в кошелёк и приходится придумывать выход из ситуации. Но уже на этом этапе видна проблема – она заключается в количестве карточек с, по сути, одной и той же функцией. Логично было бы иметь одну «универсальную» скидочную карту, на которую магазины бы записывали свою информацию. То есть совершаете вы покупку в новом месте, а вам вместо очередного куска пластика просто добавляют «раздел» на существующую карту. Удобно, не правда ли? Тем не менее, подобные «пережитки шопинга» встречаются повсеместно, и в частности в средствах аутентификации. Возьмём для примера небольшую среднестатистическую компанию. Её сотрудник вынужден обвешаться различными аутентификаторами, как Рэмбо гранатами: смарт-картой для доступа в здание, ключами от офиса, токенами с ЭЦП, а также всевозможными паролями для доступа к компьютеру и различным программам. Проблема, как говорится, на лицо. Но есть выход.

Универсальная карта сотрудника (УКС) – это идея, которая прямо здесь и сейчас начинает воплощаться в жизнь. Суть её проста и о ней вы наверняка уже догадались – избавиться от многообразия аутентификаторов. К слову, сам принцип «витает в воздухе» уже давно и нашёл свой отражение, к примеру, в технологии NFC. Но давайте разберёмся, нужна ли вообще УКС. Сегодня популярным и «массовым» средством аутентификации для доступа в здание \ офис \ сад \ огород является RFID-карта. Этакий белый кусок пластика, важность которого редко понимает кто-то из обычных сотрудников. «Вась, дай карточку, я покурить схожу». И Вася даёт, потому что какая, казалось бы разница. Что у него это белый кусок пластика, что у 100 других человек. Поэтому первой отличительной чертой УКС становится её персонификация. К примеру, так:

 

Универсальный аутентификатор

 

С технической точки зрения преимуществ никаких, но вот с психологической… Карточка, на которой изображено лицо сотрудника, его ФИО, а в некоторых случаях и указание на хранение в карточке математической свёртки биометрии (хоть нарисован и «липовый» отпечаток пальца, но внутри хранятся данные о настоящем), уже приобретает личностную ценность для человека и воспринимается совсем иначе, нежели просто белый кусок пластика.

Теперь о технической стороне вопроса. Как уже говорилось выше, идея универсальной карты сотрудника в том, чтобы «собрать всё в одном месте». Только это не значит, что любая процедура аутентификации сведётся к использованию RFID карты (с которой в ряде случаев можно изготовить дубликат). Технический аспект заключается в том, что пресловутый «кусок пластика» может служить своеобразной «базой» для различных способов аутентификации. Пластиковая карта одновременно может содержать в себе RFID (причём сразу несколько меток различных стандартов: MIFARE, HID, EM-MARINE), Смарт-карту с функциями ЭЦП, биометрии, зарплатной карты, и многое другое.  К тому же, чтобы не доводить до предынфарктного состояния службу безопасности (ведь утеря УКС приведет к компрометации всего набора интегрированных в ней аутентификаторов), можно запретить возможность использования УКС без дополнительного шага идентификации. То есть просто «приложить карточку» будет недостаточно. Нужно будет пройти биометрическую аутентификацию. Таким образом, в итоге мы получаем универсальное средство доступа, которое сотрудник будет беречь не потому что так написано в должностной инструкции, а потому что он полностью и явно осознаёт, что это в его интересах. При этом безопасность решения увеличится за счёт того, что использовать УКС без биометрии нельзя, а подделывать и то, и другой крайне дорого. Стоимость взлома замка превысит стоимость «сокровищ».

Важно понимать. Описанная идея – не фантазия, а уже практически реальность. Сегодня мы умеем управлять каждым из описанных способов аутентификации. Умеем их комбинировать и использовать совместно. Остался лишь один шаг – объединить это в одном физическом объекте. Забегая вперёд, скажем, что первый проект такого рода в России осуществляется прямо сейчас. Результаты не заставят себя ждать, а мы не заставим ждать вас и расскажем, что из этого получилось.

Оставьте комментарий »
Опубликовано в Новости отрасли, Статьи
Метки: , , ,

Обзор Cnews «Средства защиты информации и бизнеса 2012 г.»

В Обзоре CNews «Средства защиты информации и бизнеса 2012г» использование наших технологий  было упомянуто как одна из необходимых мер предупредительного характера.

Значительную часть вопросов по ИБ могут разрешить новейшие программные и аппаратные технологии и комплексы. Можно использовать такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами: многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам банка.

В Обзоре так же преведена выдержка из наших расчетов экономической эффективности применения комплексных, централизованных систем по управлению доступом сотрудников к информационным системам компании. К сожалению данные расчеты без контекста не сильно информативны. Если  у Вас есть необходимость познакомиться с расчетами подробно, загрузите их на нашем сайте.

Оставьте комментарий »
Опубликовано в Исследования, Новости Компании Индид, Новости отрасли, Статьи

Обзор CNews «ИТ в Банках и Страховых компаниях»

В Обзоре CNews «ИТ в Банках и Страховых компаниях» внедрение наших технологий в Банке «Санкт-Петербург» было упомянуто как инновационное и достойное внимания.

И еще – о проектах меньшего масштаба, но достойных внимания в силу своей инновационности. Банк «Санкт-Петербург» в 2012 г. завершил пилотный проект по внедрению централизованной системы строгой сквозной аутентификации и управлению доступом Indeed-Id. Использование продуктов линейки Indeed-Id IAM позволило обеспечить безопасный, удобный и легко контролируемый доступ сотрудников банка к корпоративным информационным ресурсам. В качестве основного способа аутентификации была выбрана высоконадежная биометрическая аутентификация по отпечатку пальца. По результатам успешной опытной эксплуатации системы беспарольной аутентификации и управления доступом Indeed-Id принято положительное решение о переводе системы в постоянную эксплуатацию и о внедрении во всех отделениях «Банка Санкт Петербург».

Все материалы Обзора CNews «ИТ в Банках и Страховых компаниях».

Добавим от себя что одновременно с Банком «Санк-Петербург» наши продукты в промышленном масштабе работают в таких финансовых организациях как Банк «КИТ Финанс» и Карайинвестбанк.

Оставьте комментарий »
Опубликовано в Исследования, Новости Компании Индид, Новости отрасли, Статьи

Шпион, выйди вон!

За последние пару лет операторы «большой тройки» уже дважды крупно оскандалились на SMS-сообщениях. В первый раз «помог» Яндекс и в принципе утечку можно относить к разряду утечек «по неосторожности». Но на этот раз… Федеральная служба безопасности сообщила о том, что была обнаружена группа злоумышленников, получивших от сотрудников МТС и «Вымпелкома» архивы SMS-переписки трёх высокопоставленных московских чиновников, после чего «Вымпелком» подтвердил факт утечки информации, а МТС, напротив, опроверг. Оставим поиск виновных на долю следствия и обратим внимание на материалы дела: неустановленные сотрудники технических центров мобильных операторов передавали конфиденциальную информацию третьим лицам. Говоря языком «безопасников», имело место действия инсайдеров.

Оставьте комментарий »
Опубликовано в Статьи

Пять мифов об инсайде или в каждом мифе есть доля мифа

Сколько копий было сломано в дебатах о том, представляют ли инсайдеры реальную угрозу бизнесу или нет. Часто компании попросту не осознают все возможные последствия для бизнеса, когда речь заходит об угрозе утечки информации. А многие руководители попросту не знают, кто такие инсайдеры или продолжают верить в собственную мифическую безопасность.

Оставьте комментарий »
Опубликовано в Статьи