Защита паролей банка — эффективность и особенности

А.Сова

Общие вопросы автоматизации документооборота

Бурное развитие компьютерных технологий и сетевых коммуникаций стимулирует переход от бумажных носителей документов к электронным. Резко возрастает роль электронного документа, и именно поэтому все большее внимание уделяется вопросам создания, хранения и передачи электронных документов.

Российская школа делопроизводства имеет вековые традиции и ряд уникальных особенностей: централизованный контроль за прохождением и исполнением документов, разделение труда между руководителями, исполнителями и собственно делопроизводственным персоналом и пр. В течение столетий – в общегосударственном масштабе – сложилась единая технология работы с управленческими документами, так называемая государственная система документационного обеспечения управления (ГС ДОУ). Все это делает многие западные пакеты поддержки документооборота малоэффективными, позволяя рассматривать их только как возможный (вспомогательный) инструментарий для решения делопроизводственных задач.

ДЕЛО – одна из лучших отечественных АСДД

В связи с этим заслуженной популярностью пользуются отечественные разработки в области систем автоматизации делопроизводства. Наиболее известной и конкурентоспособной является система «ДЕЛО» производства компании «Электронные офисные системы» (ЭОС). «ДЕЛО» – это 40 тысяч рабочих мест в 500 организациях во всех регионах России и в странах СНГ. Это промышленная технология управления электронными и бумажными документами, обеспечивающая эффективный контроль за их прохождением и исполнением. Основные особенности системы – полный учет реальной управленческой практики, масштабируемость и эффективность. Компанией ЭОС предлагается полный комплекс работ – установка, обучение, настройка, интеграция со смежными продуктами и оборудованием, авторский надзор и техподдержка, обновление и доработка ПО на заказ. Зачастую специалистам компании приходится предварительно решать вопросы выстраивания всего документооборота предприятия в соответствие с ГС ДОУ, а затем уже внедрять систему «ДЕЛО».

Общие принципы работы системы достаточно просты:

  • при регистрации документа (входящего или исходящего) создается электронная регистрационная карточка, с которой может быть связан сам документ, точнее – его электронная версия (т. е. файлы с текстом, изображениями, фонограммами и другими формами представления документа в компьютере);
  • каждый пользователь сети на своем рабочем месте (в соответствии со своим статусом) получает данные о документах, направленных ему на обработку, выполняет необходимые действия и направляет документ для дальнейшей работы. При этом автоматически фиксируется и накапливается информация о движении документов в организации;
  • система обеспечивает ведение множества электронных карточек учреждения, которые, однако, являются при этом подмножествами единой картотеки учреждения. При этом резолюции и связанные с ними документы автоматически перемещаются между картотеками в соответствии с принятой технологией прохождения документов. Таким образом, в любой момент времени в системе имеется полная информация о состоянии, истории движения и исполнении документов в организации;
  • система решает проблему координации работы с документами в территориально распределенных подразделениях или предприятиях организации. Обеспечивается оперативный обмен документами и резолюциями с использованием современных систем связи.

Проблема авторизации пользователей в системе «ДЕЛО»

«ДЕЛО» обеспечивает контроль как за самими документами, так и за работой персонала с ними. Средства системы позволяют осуществлять оперативный контроль за деятельностью предприятия и аналитическую обработку накапливаемых данных о документах и работе с ними персонала. В то же самое время для подобных систем остро встает вопрос правомочности доступа к документообороту. В АСДД «ДЕЛО», как и во многих других, используется авторизация пользователя по его имени и паролю, вводимому с клавиатуры. Данный метод сегодня не может считаться достаточно эффективным – пароль можно подсмотреть, подслушать или взломать. Тем более что, по общеизвестным данным, до 80% случаев неправомерного использования информации приходится на самих сотрудников компаний. Это возможно благодаря тому, что существующая во многих организациях система разграничения и контроля доступа выполняет скорее декоративные функции. Всем известно, что пароли у большинства пользователей короткие и простые. Если же системный администратор ценой титанических усилий заставил использовать сложные и длинные пароли, то, скорее всего, они написаны на листочках, прилепленных к монитору.

Решение проблемы авторизации – использование ПАК Мастер Паролей

Состав комплекса:

  • программа «Менеджер паролей». Обеспечивает работу с содержимым смарт-карточки и передачу авторизационной информации в требуемое приложение;
  • смарт-карточка (базовая – карточка памяти, ISO-7816, 16кбит). Хранит всю авторизационную информацию – пароли пользователя для доступа к любым приложениям;
  • устройство чтения/записи для смарт-карточек (ридер). Имеются внешние варианты с подключением к USB или COM+PS/2 и внутренние – с подключением к ISA- или PCI-разъемам.

Каким же образом комплекс повышает эффективность использования паролей? Рассмотрим основные особенности «Мастера Паролей»:

Комплекс работает практически с любыми приложениями, использующими парольную защиту и обеспечивает доступ в сетях Microsoft и Novell к:

Существует персональная (однопользовательская) и корпоративная версии комплекса. В персональной пользователь сам работает с содержимым карточки, осуществляет запись, модификацию и удаление авторизационной информации. Основное отличие корпоративной версии «Мастер Паролей Плюс» – это разнесение пользовательской и администраторской частей программного обеспечения. Администратор создает для конкретного пользователя ряд авторизационных записей для доступа к ресурсам сети и сохраняет эти данные на персональную смарт-карточку. Пользователь же при помощи карточки получает доступ только к тем ресурсам, которые соответствуют его правам. Для него комплекс совершенно прозрачен и не дает ему инструментов для доступа к содержимому карточки. Единственная операция, которую должен произвести пользователь в случае совместной работы комплекса «Мастер Паролей» и системы «ДЕЛО», – сменить начальный пароль для доступа к базе данных.

Комплекс «Мастер Паролей Плюс» – это:

Пользователь получает возможность работать со всеми программами при помощи одной смарт-карточки. Сотрудник входит на свое рабочее место, получает доступ к документам из базы данных, шифрует свои файлы, подписывает документы, работает в защищенной сети, отправляет и принимает почту, входит на защищенный сайт и в торговую программу. Все это и многое другое он делает, используя удобный единый носитель.

При необходимости специалистами компании «Рускард» могут быть реализованы дополнительные функции комплекса:

Защищенное хранение информации (Best Crypt и МП)

В информационной сети банка постоянно хранится и циркулирует большой объем ценной информации – отчетность по финансовым сделкам, информация об объемах операций, юридическая информация, данные клиентов и т. д. Поэтому рассмотрим более подробно реализацию защищенного хранения информации. Для обеспечения защиты хранящейся на сервере или локальной машине информации, как правило, используются программные средства шифрования. Такие программы создают файл-шифроконтейнер, в котором и хранится вся ценная информация.

Работа Best Crypt в связке с комплексом «Мастер Паролей» позволяет использовать длинные и сложные пароли (не поддающиеся вскрытию методом перебора), и при этом вводить их быстро и просто. Для того чтобы ценная информация (даже в зашифрованном виде) не попала в чужие руки, в комплексе «Мастер Паролей Плюс» предусмотрен режим экстренного гарантированного уничтожения шифроконтейнеров. При вставке специальной смарт-карточки в любой ридер, находящийся в сети организации, производится закрытие и уничтожение контейнеров. При этом на всю операцию требуется несколько секунд (при емкости шифроконтейнеров в десятки гигабайт). Разумеется, вся критичная информация регулярно сохраняется в надежном месте для последующего восстановления при необходимости. Кроме стирания информации, к операции вставки карточки можно привязать любые действия – закрытие приложений, выключение компьютеров, отправка сообщений и т. д.

Преимущества смарт-карточек перед USB-ключами

Используемая в комплексе смарт-карточка является легкозаменяемым элементом. Возможна поставка дополнительных карточек, карточек большей емкости или процессорных карточек. При этом устройства чтения/записи карточек (ридеры) остаются прежними. Это позволяет проводить существенную модернизацию продукта заменой только смарт-карточки, стоимость которой составляет 8-15% от стоимости комплекса в целом. Кроме того, смарт-карточка обладает рядом неоспоримых преимуществ перед другими носителями, например USB-токенами.

Надежность. Смарт-карточка устойчивее к внешним воздействиям – влажность, давление, изгиб, статическое электричество и т. д. Количество циклов вставки-извлечения для карточки – порядка 1 миллиона, для USB-токенов (в силу конструкции контактного узла) – существенно ниже.

Это интересно:  Какие права и обязанности имеют судебные приставы?

Персонифицируемость. Смарт-карточки легко персонифицируются – нанесение логотипов, надписей, фотографий, данных владельца, порядковых номеров, номеров подразделений, корпоративной символики возможно даже в офисных условиях. При большом количестве сотрудников это облегчает работу администратора и повышает удобство пользования. USB-ключи выпускаются в ограниченной цветовой гамме, и их персонификация (нанесение фирменных логотипов и надписей) обычно не предусматривается.

Дешевизна. В случае утери восстановление смарт-карточки гораздо дешевле, чем USB-ключа. Низкая стоимость карточек позволяет иметь дубликаты на случай утери или плановой замены. Кроме того, у администраторов или сотрудников с определенными полномочиями может быть несколько карточек для разных целей. При необходимости перейти на карточки с большим объемом памяти либо специальными функциями достаточно заменить только карточки и использовать те же самые устройства чтения-записи – это значительно удешевляет модернизацию системы. Необходимо отметить, что несколько смарт-карточек (по числу пользователей) и один ридер намного дешевле аналогичного количества USB-токенов. Потеря или поломка же USB-токена ведет к утере устройства в целом.

Удобство. Карточку удобнее хранить и использовать. Пользователи уже привыкли носить и применять различные карточки – телефонные, банковские и т. д. Дополнительная карточка стандартного размера (так называемый бизнес-формат) не вызовет у них затруднений. Разнообразие вариантов ридеров смарт-карточек позволяет использовать смарт-карточки на самых разных компьютерах — независимо от того, есть ли у них USB-разъемы. Считыватель для смарт-карточек можно разместить в удобном для пользователя месте – на мониторе, клавиатуре, на столе, под крышкой стола и т. д. Для ношения USB-токена необходимо помещать его либо на отдельный брелок (цепочку), либо на общую связку с ключами, что приводит к уменьшению срока службы и повышает вероятность повреждению ключа.

USB-токен требует наличия у компьютера USB-порта и его доступности – либо системный блок расположен на столе, либо разъем выведен на стол специальным удлинителем. При этом вставлять USB-ключ в разъем, не снимая его со связки ключей, неудобно, впрочем, так же как и каждый раз его с этой связки снимать.

Заключение

Комплекс «Мастер Паролей» способен достаточно легко интегрироваться с существующими прикладными системами, рабочими станциями, серверами и сетевым оборудованием. Процесс внедрения происходит без внесения изменений в существующую сеть предприятия. Внедрение комплекса осуществляется без перенастройки сетевого оборудования, изменения топологии, маршрутизации и внутренней адресной структуры различных сегментов и удаленных узлов действующей сети. Кроме того, комплекс позволяет использовать его совместно с другим специализированным программным обеспечением.

Хочется отметить, что помимо коммерческих организаций интерес к комплексам «Мастер Паролей» и особенно «Мастер Паролей Плюс» проявляют и госструктуры. Сейчас идет эксплуатация комплекса в системе МПС, на ряде железных дорог и вычислительных центров. Кроме того, комплекс внедряется в ряде торговых и финансовых организаций Москвы, Санкт-Петербурга и регионов РФ. Наши клиенты – торговые сети, кредитно-финансовые организации и госучреждения.

Проводятся сертификации «Мастера Паролей» в системе сертификации Гостехкомиссии при Президенте РФ и Министерства Обороны РФ для работы с информацией, содержащей сведения, отнесенные к гостайне.

Рассматривая систему информационной безопасности, необходимо учитывать следующее: очень важно, чтобы используемые в организации средства обеспечения информационной безопасности были интегрированы в единый комплекс. Обеспечивая надежность защиты, нельзя забывать об удобстве использования. Зачастую самым слабым элементом системы безопасности становится рядовой пользователь. Задача разработчиков и интеграторов состоит в том, чтобы сделать защиту как можно более незаметной и удобной. Необходимо помнить, что обеспечение информационной безопасности не должно мешать повседневной работе организации. И эту задачу успешно решает программно-аппаратный комплекс «Мастер Паролей», становясь основой для объединения различных решений в единую систему безопасности организации.

Особенности защиты информации в банковских системах: основные принципы и методики

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Чем важна информационная безопасность в банковских учреждениях

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

  1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
  2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Попытки доступа к тайной банковской информации

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.

  • Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
  • Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
  • К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
  • Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Методы защиты банковской информации

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

Это интересно:  Как открыть газовую заправку: пошаговый бизнес план

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Заключение

Выше были рассмотрены основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

Видео: Правила защиты банковской карты от мошенничества

Вопрос 3. Особенности защиты банковской информации

Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения (ПО) или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).

Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:

офис — удаленный менеджер;

головной офис — региональные офисы/отделения;

Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:

несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);

перехват и подмена трафика (подделка платежных поручений, атака типа «человек посередине»);

IP-спуфинг (подмена сетевых адресов);

отказ в обслуживании;

атака на уровне приложений;

сканирование сетей или сетевая разведка;

использование отношений доверия в сети.

Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:

представление документа от имени другого участника;

повтор переданной информации.

Для предотвращения этих злоупотреблений используются следующие средства защиты:

шифрование содержимого документа;

контроль авторства документа;

контроль целостности документа;

ведение сессий на уровне защиты информации;

обеспечение сохранности секретных ключей;

надежная процедура проверки клиента при регистрации в прикладной системе;

использование электронного сертификата клиента;

создание защищенного соединения клиента с сервером.

Комплекс технических средств защиты интернет-сервисов:

брандмауэр (межсетевой экран) — программная и/или аппаратная реализация;

системы обнаружения атак на сетевом уровне;

защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;

защита на уровне приложений: протоколы безопасности, шифрования, ЭЦП, цифровые сертификаты, системы контроля целостности;

защита средствами системы управления БД;

защита передаваемых по сети компонентов программного обеспечения;

мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей;

корректное управление политикой безопасности.

При проведении электронного документооборота должны выполняться:

аутентификация документа при его создании;

защита документа при его передаче;

аутентификация документа при обработке, хранении и исполнении;

защита документа при доступе к нему из внешней среды.

Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы.

Требования к структуре системы

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

службы общекорпоративного уровня — 1-й уровень иерархии;

службы подразделений или филиалов — 2-й уровень иерархии;

службы конечных пользователей — 3-й уровень иерархии.

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Вопросы для самоконтроля:

Понятие защиты информации. Аспекты защиты информации. Перечислите базовые принципы информационной безопасности.

Понятие компьютерного преступления. Основные виды компьютерных преступлений.

Классификация компьютерных преступлений.

Перечислите методы несанкционированного доступа и перехвата информации (пользуясь специфической терминологией), дайте их краткую характеристику.

Правовые аспекты защиты информации. Правовые акты Республики Казахстан, регламентирующие вопросы защиты информационных ресурсов.

Система защиты информации: понятие, подходы, архитектура безопасности систем.

Перечислите типы средств защиты информации, дайте их характеристику.

Меры по защите информации: аутентификация.

Меры по защите информации: пароли и электронная подпись.

Информационные угрозы банковских систем: виды, причины возникновения, средства защиты.

Состав и структура комплекса технических средств защиты Интернет-сервисов.

Антивирусные программы: понятие, требования к структуре антивирусной защиты банковской информационной системы.

Средства защиты в банкоматах.

Алиев, В. С. Информационные технологии и системы финансового менеджмента [Текст] : учебное пособие/ В. С. Алиев .- М. : Форум;ИНФРА-М, 2010.- 320 c.

Информатика и информационные технологии [Текст] : учебное пособие/ под ред. Ю.Д. Романовой .- 4-е изд., перераб. и доп.- М. : Эксмо, 2010.- 688 c.

Романова, Ю.Д. Информатика и информационные технологии [Текст] : учебное пособие/ Ю.Д. Романова, И.Г. Лесничая .- 2-е изд., перераб. и доп.- М. : Эксмо, 2009.- 320 c.

Альтернатива паролю

Аутентификация по паролю известна с давних времен. Однако она далеко не так надежна, как хотелось бы сегодня. Какие у нее есть альтернативы и каковы их особенности и перспективы?

Часовые на посту готовы предпринять самые решительные меры, чтобы помешать всем, кто не знает текущего пароля, пройти на охраняемый объект. Проблема в том, что пароль могут узнать не только свои.

По данным компании Positive Technologies, почти в половине случаев проникновение в корпоративную сеть осуществляется с использованием недостатков парольной защиты — путем подбора словарных паролей. В 79% систем на публичных ресурсах в Интернете использовались пароли, которые легко подобрать, причем они встречались как на уровне веб-приложений, так и для аутентификации доступа к сетевому и серверному оборудованию.

«Основными рисками, на снижение которых в первую очередь направлены средства идентификации и аутентификации, являются риски несанкционированного доступа к ИТ-ресурсам: компьютеру, сети, информации на сайтах, к почте и т. д. При этом антропогенные угрозы и связанные с ними уязвимости стоят на первом месте», — поясняет Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.».

По наблюдениям Михаила Башлыкова, руководителя направления информационной безопасности компании «Крок», классическая парольная защита постепенно уходит в прошлое, так как не обеспечивает должного уровня бе­зопасности. На смену приходят одноразовые пароли и другие средства многофакторной аутентификации. «В некоторых банках при аутентификации транзакций одноразовый пароль на стороне клиента формируется в зависимости от типа транзакции, — добавляет Башлыков. — Например, если клиент хочет перевести деньги с одного счета на другой, одноразовый пароль на его стороне формируется в зависимости от введенных параметров операции. Если зло­умышленник перехватит платеж и подменит номер счета, одноразовый пароль при проверке на стороне системы будет отличаться от введенного клиентом и аутентификация не пройдет».

Это интересно:  Побои - что это такое? Как снять побои?

«Применение новейших разработок в области аутентификации позволяет существенно снизить вероятность неправомерной авторизации пользователей, вторжения злоумышленников в информационную среду предприятия, а также несанкционированных действий инсайдеров», — считает Александр Колесников, технический директор компании Tegrus. Вместе с тем интеграция таких новинок в систему ИБ компании несет в себе определенные риски организационного характера. В частности, биометрическая аутентификация может быть негативно воспринята консервативными сотрудниками. Планируя внедрение таких решений, лучше заранее оповестить персонал о готовящихся изменениях, рассказать об организации хранения персональных данных и процедуре идентификации — это позволит свести риски негативного восприятия новинок практически к нулю.

Что эффективно сегодня?

В зависимости от уровня и частоты возникновения вероятных опасных событий можно применять те или иные технологии и средства аутентификации, поясняет Сабанов. Он рекомендует разделить их условно на три уровня: простая аутентификация (например, с помощью пароля), усиленная (например, одноразовый пароль) и строгая (двусторонняя, или взаимная, аутентификация с применением электронной подписи). В зависимости от уровня организации (точнее, степени «доверенности») процессов регистрации пользователя, хранения, предъявления аутентификатора, корректности применения протоколов аутентификации, проверки валидности электронного удостоверения и принятия решения «свой-чужой» можно использовать простую, усиленную или строгую аутентификацию. При этом риски должны не только оцениваться на этапе проектирования, но и отслеживаться в процессе эксплуатации выбранных средств.

«Одноразовые пароли на сегодняшний день оптимальны для аутентификации по соотношению цены и качества, — комментирует Башлыков. — Что касается инноваций, стоит упомянуть биометрические средства защиты: по сетчатке глаза или кровеносным сосудам в глазном яблоке, по отпечатку пальца, по 3D-слепку лица и даже по сердцебиению. Такие системы обеспечивают максимальный уровень бе­зопасности и одновременно являются самым дорогим решением. Потому их уместно использовать для особо крупных транзакций, доступа к критичным для бизнеса системам, защиты данных топ-менеджеров». Впрочем, по мнению Сабанова, технологии RFID и NFC, как и любая биометрия, могут всего лишь помогать лучше идентифицировать, но не аутентифицировать пользователя.

«Говоря об эффективности решений для аутентификации, я бы не разделял понятия надежности и целесообразности применения каждого вида этих систем для различных уровней доступа к корпоративным данным, поскольку с повышением надежности неизменно растет стоимость их внедрения, — замечает Колесников. — На мой взгляд, проектировать систему аутентификации пользователей необходимо в строгом соответствии с иерархией доступа сотрудников к критически важной информации: чем выше уровень их доступа, тем более надежные средства аутентификации должны применяться».

Мобильная аутентификация

Конструктивные особенности подавляющего большинства смартфонов и планшетов, к сожалению, оставляют единственную возможность аутентификации пользователей — на основании паролей, сетует Колесников. Повысить эффективность защиты в таком случае сможет более частая смена паролей и ограничение возможностей пользователя при доступе с мобильного устройства. Ноутбуки, в отличие от них, позволяют использовать для аутентификации аппаратные USB-ключи с функцией генерации одноразовых паролей.

Как отмечает Башлыков, для мобильной аутентификации сегодня самое популярное средство — это одноразовые пароли: «При оплате товаров или услуг пользователи получают их в большинстве случаев по SMS, вводя затем пароли на странице банка или через специальное приложение на мобильном устройстве». Есть и альтернативный способ получения пароля: клиент увидит его на экране телефона, но SMS при этом отправляться не будет. «Считается, что этот вариант более безопасен, так как интернет-канал, в отличие от SMS, можно зашифровать», — поясняет Башлыков.

Также достаточно активно развивается раздельная аутентификация, она особенно актуальна для банков. «Суть ее в следующем: у клиента банка имеется небольшой брелок, в корпусе которого зашиты два логически независимых устройства, формирующих одноразовые пароли. Одно устройство используется для строгой аутентификации в системе интернет-банкинга, а другое — для аутентификации сразу в нескольких других информационных системах (социальных сетях, порталах онлайн-игр, личной электронной почте и т. д.). Это делается для разграничения доступа к персональным и корпоративным данным», — рассказывает Башлыков.

Как бы то ни было, с точки зрения методологии оценки рисков аутентификации мобильный доступ мало отличается от традиционного, уверен Сабанов: «Видоизменяется и расширяется пространство угроз и уязвимостей. В частности, добавляются каналы возможных атак, а также отсутствие доверенной платформы и операционной системы. Поэтому возникает необходимость применять и более защищенные средства аутентификации. Выбор их необходимо осуществлять после исследования рисков».

Облачная аутентификация

По мнению Башлыкова, особой специфики в части аутентификации в облаках нет, и здесь наблюдаются те же тенденции развития, что и в области защиты «классических» систем и мобильных устройств. Колесников также согласен, что аутентификация в облаках принципиально не отличается от той, что производится в обычном аккаунте корпоративной информационной системы. Однако пока чаще всего используются пароли.

У Сабанова иное мнение: «Облако облаку рознь. В корпоративном облаке нет необходимости менять средства и механизмы аутентификации — все ресурсы находятся внутри защищенного периметра под контролем «своего» администратора безопасности. Совсем другое — публичные облака. Для безопасного управления доступом сотрудников к ним предприятиям необходимо будет перейти от распространенной парольной аутентификации к строгой».

Регламентная поддержка

Основной документ, регулирующий применение средств защиты корпоративных данных и разграничение прав доступа к ним, — корпоративная политика ИБ, напоминает Колесников: «Она должна определять, какими правами доступа и полномочиями действий в информационной системе должны обладать различные категории сотрудников, какие средства верификации личности должны применяться для каждой из этих категорий и так далее. Поэтому перед внедрением новинок в области аутентификации важно тщательно продумать иерархию прав пользователей и формализировать ее в виде отдельного документа, дополняющего общую политику ИБ».

Три года назад была утверждена новая версия закона об электронной подписи. Под его действие подпадают аутентификация и методом простых или одноразовых паролей (простая электронная подпись), и аутентификация через токены (усиленная квалифицированная и неквалифицированная электронная подпись), информирует Башлыков. В законодательстве описаны основные меры, которые необходимо предпринимать, чтобы обеспечить юридическую значимость такой аутентификации. Помимо этого, вопросы аутентификации решаются на уровне отдельных организаций: компании формируют политики безопасности, в них определяются требования к средствам аутентификации, регламенты их замены и т. д.

«Состояние нашей нормативной базы в части идентификации и аутентификации — это очень больной вопрос, — обеспокоен Сабанов. — Здесь мы отстаем от развитых стран минимум на 10 лет: выбор механизмов и средств идентификации и аутентификации сегодня отдан на откуп владельцам информационных систем. К сожалению, далеко не все понимают важность решения задач аутентификации и возможные способы корректного их решения. Возможно, толчком к развитию нормативной базы послужит обсуждаемая сегодня необходимость принятия федерального закона об идентификации и аутентификации».

Итак, аутентификация по паролю вполне может использоваться в системах, где требования к ее надежности не столь велики. Чтобы обеспечить более высокий уровень на­дежности аутентификации, есть другие, более хитрые и дорогостоящие средства. Очень важно, чтобы они были адекватны масштабам рисков и угроз, от которых они призваны защищать, поэтому выбор средств аутентификации необходимо проводить в тесном взаимодействии с бизнесом, опираясь на его видение рисков и отталкиваясь от его представлений о возможных потерях, — без этого никак.

Поделитесь материалом с коллегами и друзьями

Статья написана по материалам сайтов: bezopasnostin.ru, studfiles.net, www.osp.ru.

«

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий