официальный блог компании индид

многофакторная аутентификация, контроль администраторов и управление сертификатами

Интервью Анатолия Скородумова журналу Information Security: Биометрия — это удобно!


Skorobumov
В июньском номере журнала Information Security (№3, 2013) опубликовано интервью Анатолия Скородумова, начальника отдела информационной безопасности ОАО “Банк “Санкт-Петербург». В интервью идет речь о внедрения и эксплуатации централизованной, биометрической системы управления доступом к ИТ-ресурсам банка. Данный проект был реализован на базе наших продуктов.

Хотим поддержать практику обмена практическим опытом между специалистами отрасли, и с разрешения редакции приводим текст данного интервью.

О внедрении строгой аутентификации на основе биометрических сканеров отпечатков пальцев в одном из крупнейших региональных банков России в эксклюзивном интервью редакции рассказал Анатолий Скородумов, начальник отдела информационной безопасности ОАО “Банк “Санкт-Петербург».

– Анатолий Валентинович, расскажите, пожалуйста, как вы решили проблему с парольным доступом для своей организации?

– Я бы определил решение одним словом – кардинально. Мы отказались от парольного доступа к информационным системам (ИС) банка, и внедрили строгую аутентификацию на основе биометрических сканеров отпечатков пальцев. Сразу оговорюсь, в системе не хранятся отпечатки пальцев пользователей, в ней используется достаточно сложный математический алгоритм вычисления хэш- функции на основе взаимного расположения точек (узелков) на отпечатке пальца. Каждый раз при аутентификации пользователя вычисляется хэш-функция, результат которой сравнивается со значением, хранящимся в системе. Но в каких-то случаях удобнее использовать аутентификацию на базе сертификатов, в каких-то – одноразовые пароли. Важно, что автоматизированная система, с помощью которой обеспечивается аутентификация пользователей в ИС банка и на базе которой мы строим технологию SSO (Single Sign On), позволяет нам применять практически любые виды аутентификации пользователей в системах.

Отмечу, что если вы задумались о переходе на строгую аутентификацию, стоит подходить к решению проблемы комплексно. Необходимо проработать единую технологию аутентификации во всех основных приложениях в организации, в каких-то случаях сделав ее сквозной – прозрачной для пользователя. Перевод пользователей просто на какую-то из технологий строгой аутентификации, например, в домене организации, конечно, повысит уровень ИБ, но можно упустить множество других возможностей, которые делают технологию привлекательной для пользователя и для бизнеса.

– Что послужило толчком для принятия решения о переходе на другой способ аутентификации?

– Недостатки, связанные с использованием паролей, уже многократно обсуждались. К середине 2000-х гг. явно проявились еще два негативных аспекта, связанных с использованием паролей.

Первое, появилось множество интернет-сервисов с парольной аутентификацией – различные социальные сети, мессенджеры, интернет-магазины и множество других. Для каждого надо придумать по возможности уникальный сложный пароль. Опыт работы подсказывает, что процент пользователей, у которых пароли от банковских систем и пароли от интернет-сервисов совпадают, будет близок к 90%. Заразив компьютер пользователя и собрав его пароли от интернет-сервисов можно быть уверенным, что какой-то из них подойдет и к банковским ИС.

Другой аспект, начавший вызывать тревогу, – это увеличение доли мобильных пользователей, которым необходим удаленный доступ к ИС банка. И для организации такого доступа обычной парольной аутентификации явно недостаточно.

Вначале мы рассматривали аутентификацию по сертификатам, хранящимся на токенах, но есть достаточно много тонкостей, которые могут свести на нет все ее преимущества. Отмечу лишь несколько: данная технология не позволяет защититься от передачи аутентификаторов другому лицу; токен всегда «воткнут» в USB-порт компьютера; если выдавать токены с паролем (PIN-кодом) «по умолчанию», у 70% пользователей он таким и останется; при использовании в организации значительного числа сертификатов и токенов потребуются специализированные программные средства по эффективному управлению ими (сертификаты истекают, люди увольняются, токены ломаются, теряются, забываются дома и т. д.).

В итоге мы выбирали из двух технологий – биометрической аутентификации и аутентификации на базе карт доступа в помещения. У каждой технологии есть свои плюсы и минусы. В итоге мы остановились на биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно.

Более того, нам удалось убедить бизнес в экономической целесообразности внедрения подобной системы.

– Насколько важна для вашего бизнеса централизация функции управления доступом и аутентификации? Какие задачи будут решаться с ее помощью?

– Такая задача важна для любого бизнеса, если количество пользователей ИС организации превышает несколько сотен.

Вы не пробовали посчитать, сколько времени тратят пользователи из-за забытых паролей доступа в ИС организации? А сколько времени тратят администраторы систем на управление паролями? Сколько времени, по-вашему, уходит на это у среднестатистического пользователя? По нашим оценкам, от 3 до 7 минут.

Довольно часто мне приходилось и проходится до сих пор слышать такую фразу, что необходимо выбирать между безопасностью и удобством использования автоматизированной системы. Применение современных технологий обеспечения безопасности, в частности биометрической аутентификации, если не опровергает, то во многом нивелирует все неудобства, связанные с обеспечением безопасности системы. Что может быть проще, чем просто приложить палец к сканеру?! Поверьте, открыть дома входной замок на порядок сложнее.

Основная ценность для бизнеса при внедрении такого класса системы – это снижение потерь рабочего времени сотрудников и повышение комфорта при работе сотрудников с ИС организации.

– Что дает внедрение системы биометрической аутентификации для обеспечения ИБ и для IT в целом?

– Основное – внедрение системы позволяет серьезно повысить уровень ИБ в организации. Уходят риски, связанные с компрометацией пароля: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору. В теории ИБ есть такой термин – «неотказуемость», невозможность отказаться от совершенных действий. Так вот, внедрение системы биометрической аутентификации позволяет обеспечить эту самую неотказуемость.

С точки зрения администрирования автоматизированных систем внедрение системы единой биометрической аутентификации во всех основных системах существенно снижает нагрузку на администраторов систем в части управления парольной защитой. Если у вас в организации внедрен процесс управления инцидентами, вам не составит труда проанализировать, какой процент инцидентов связан с аутентификацией пользователей в ИС.

Систему единой аутентификации целесообразно внедрять совместно с системой управления идентификационными данными пользователей (IDM), что мы успешно реализовали у себя в банке.

– Каково отношение пользователей к технологии аутентификации в целом? Воспринимают ли они это как «необходимое зло»?

– Обычно к технологиям обеспечения безопасности пользователи относятся с пониманием, но без восторга. Не все пользователи восприняли новую технологию с радостью. У некоторых была определенная настороженность и скепсис.

Настороженность вызывают два момента. Первое, как ни странно, это само отношение к сканированию отпечатка пальца. У обычного человека снятие отпечатка пальца прочно ассоциируется с преступлением и преступником.

Тут главное – спокойно и последовательно объяснять сотрудникам, что никто отпечатки пальцев с них не снимает, что система использует рисунок пальца для вычисления опреде- ленной математической функции, по результату которой невозможно ни в каком виде восстановить исходный рисунок.

Помогает еще такой способ. Говоришь пользователю: «Давай- те я оставлю вам отпечатки своих пальцев, всех десяти. Если придумаете, как их можно использовать, обязательно позвоните мне и сообщите!»

Второе – настороженность связана с тем, как надежно будет работать новая система. «А если система не будет меня пускать? А если я порежу палец? А если сломаю руку?» Приходится объяснять, что до основного внедрения система биометрической аутентификации на протяжении почти двух лет проходила опытную эксплуатацию в двух дополнительных офисах банка, что для защиты от случайностей типа перелома руки в системе сканируются четыре пальца – по два на каждой руке. Обычно вся настороженность улетучивается после первых нескольких регистраций пользователя в системе – пользователь сам убеждается, насколько это просто и удобно.

«Удобство использования!» – вот один из основных лозунгов внедрения системы биометрической аутентификации.

– Есть ли минусы у технологии, которую вы выбрали и есть ли куда ей развиваться?

– Есть люди, у которых слабо выражен отпечаток пальца – приходится более тщательно подходить к процедуре обучения аутентификаторов у таких пользователей. Бывают проблемы с аутентификацией, если пальцы очень холодные либо очень сухие – необходимо потереть руки друг о друга.

Также следует учитывать, что система рассчитана под использование в организации доменной аутентификации на базе ОС Windows. Для аутентификации в других ОС и рабо- тающих под их управлением приложениях, необходимо делать небольшие доработки в клиентском модуле системы аутенти- фикации.

На мой взгляд, основные усилия необходимо направить на совершенствования механизмов сквозной аутентификации (SSO), это позволит сделать систему еще более удобной для пользователей.

Полный текст, помимо печатной версии журнала, размещен на сайте издания.

Метки: , ,

Опубликовал автор: Алексей Баранов, 28 Июн 2013 в рубрике Новости отрасли, Статьи You can skip to the end and leave a response. Pinging is currently not allowed.



Leave a comment