Контакты
Подписка 2024

Знание и владение: выбор системы аутентификации СДМ-Банка

Владимир Солонин, 17/12/18

soloninО внедрении технологии аутентификации по смарт-картам и сертификатам, сложностях ее внедрения и что изменилось для пользователей редакции рассказал директор по информационной безопасности СДМ-банка Владимир Солонин.

– Каким образом появились задачи усиленной аутентификации пользователей и построения системы SSO? Что послужило толчком к поиску решения и реализации проекта?

– Можно строить эшелонированные системы антивирусной защиты, возводить множество стен из файерволлов, внедрять множество других средств защиты, но, во-первых, любая сложная система содержит в себе уязвимости, а во-вторых, угадываемые пароли никто не отменял. Можно включить политики, проверяющие сложность паролей, и пароль "Август2018!" будет удовлетворять всем критериям сложности, но будет ли он действительно сложным? Добиться от пользователей использования уникальных паролей в каждой информационной системе – очень нелегкая задача. Человек не машина, запрограммировать его не получится, только воспитать, используя методы убеждения. Регулярные проверки сложности паролей учетных записей путем выгрузки их хешей и взлома по словарям показали, что проводить регулярные семинары и тренинги, направленные на повышение осведомленности сотрудников, достаточно эффективно, если этим заниматься на регулярной основе. Однако таким образом лишь снижается число плохих паролей до некого уровня, но ведь достаточно только одного, если его смогли взломать.

Кто выступал инициатором внедрения и заказчиком новой системы?

– Имея такую статистку, ИБ и ИТ получили одобрение у руководства на проект по внедрению системы управления идентификационными данными, благо о паролях знают все и важность их устойчивости понятна всем.

Почему была выбрана технология аутентификации по смарт-картам и сертификатам? Рассматривались ли другие варианты аутентификации?

– Чем усилить пароль? Напрашивается классическое решение-комбинация: "знание" и "владение". Первый фактор – пароль, второй фактор –  устройство, которое можно физически выдать пользователю. Вначале рассматривали биометрию, в частности отпечаток пальца, благо он всегда при пользователе. Альтернативным вариантом была смарт-карта с записанным на ней сертификатом. Этот вариант и победил в конечном итоге, так как в Windows есть уже возможность использовать для аутентификации смарт-карты, к тому же дополнительным бонусом получили сертификат, который можно использовать и для электронной подписи в электронной почте и в офисных документах. Немаловажно и то, что стоимость считывателей биометрии значительно выше считывателей смарт-карт, причем чем они надежнее, тем дороже. Непонятно, что делать в случае компрометации: сертификат можно отозвать и перевыпустить, а что делать с пальцем? Совместив чип с сертификатом с пропуском, получилось интегрировать систему со СКУД.

Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие особенности были у ее внедрения?

– Задача была простой: облегчить жизнь пользователей и повысить уровень безопасности. К сожалению, не все системы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальные и сложные.

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса.

Какие есть сложности в использовании новой технологии аутентификации/SSO?

– Технических сложностей при использовании нет, они скорее технологические и организационные. При внедрении они, конечно, были из-за необходимости интеграции со многими системами. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, Иизменить технологический процесс внесения изменений или обновления существующих информационных систем, дополнив его процессом проверки функционирования систем 2FA и SSO, а также  дополнить и протестировать все аварийные планы по переходу на резервные серверы с учетом новой технологии.

Еще из сложностей – организация процессов, связанных с жизненным циклом пропусков, порядок их выдачи и замены или, например, что делать, если пользователь забыл свой пропуск и находится к тому же в филиале? Впрочем, все решается.

Что изменилось после внедрения усиленной аутентификации? Как проект в целом повлиял на ИБ?

– Забот у ИБ стало больше. Но это происходит при внедрении любой новой системы. Большинство проектов ИБ обычно невидимо для конечных пользователей, об ИБ обычно вспоминают, если письмо задержится или ссылка какая в Интернете не откроется. Этот же проект затронул всех пользователей.

Что на деле изменилось для пользователей? Как они отнеслись к переходу на новую технологию доступа?

– У пользователя одни плюсы, пароли придумывать не надо, кроме одного PIN-кода для карты, вручную вводить логины и пароли в системы тоже не надо. Осталась одна забота – не забывать дома пропуск.

Если при переходе все происходит гладко, заранее все протестировано, а с пользователями предварительно проведена разъяснительная работа, то и отношение хорошее.

Для успешного внедрения приходится брать на вооружение маркетинговые технологии, и с их помощью новые продукты, как говорится, идут в массы.

Какие, на ваш взгляд, существуют особенности в организации ИБ при работе сотрудников в финансовой организации?

– Банк – это надежность, обрабатываемая им информация – это деньги. Потому потеря этой информации – это прямая потеря денег. Банк – это и доверие, клиент передает банку много конфиденциальной информации, и ее необходимо защищать. Банк – это удобные сервисы, они шагнули вначале на стол к клиентам с системами "Банк – Клиент", а затем и к ним в карман на мобильные телефоны с системами "Мобильный банк". Банк – это бесперебойность, клиент должен быть уверен в том, что сможет перевести деньги или сделать платеж по карте в любое время и в любом месте.

ИБ в банке – это повышенная ответственность за обеспечение всего вышеперечисленного. Ответственность за то,  что системы защиты должны работать и новые внедряемые системы не должны усложнять существующие процессы.

Что повлияло на выбор конкретного поставщика решения?

– При выборе поставщика мы имели уже некоторое представление о том, как должна работать системы в наших реалиях. Один из главных критериев выбора – происхождение. Она должна быть российской. Простота внедрения, успешные внедрения в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже немаловажный фактор.

Темы:ИнтервьюБанки и финансы

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Инновации и безопасность – приоритеты "Сколково"
    Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”
    ”Cколково” не просто помогает стартапам, это еще и целый город со своей инфраструктурой, образовательной системой, жилыми кварталами. О том, как обеспечить безопасность экосистемы, не жертвуя при этом развитием цифровизации, рассказал Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • То, что мы делаем, реально работает
    Сергей Никитин, руководитель группы управления продуктами компании “Газинформсервис”
    Беседуем с Сергеем Никитиным, руководителем группы управления продуктами компании “Газинформсервис”, о том, как непросто заслужить доверие заказчиков, о важности синергии продуктов российских разработчиков и о том, почему термин “экосистема” не стоит применять к программам.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • RuBackup 2.0: новая версия решения для резервного копирования
    Андрей Кузнецов, генеральный директор “Рубэкап”
    В мае 2023 г. вышел релиз RuBackup 2.0, и редакция журнала поинтересовалась у Андрея Кузнецова, генерального директора “Рубэкап”, как развивается продукт.
  • Продвигаем принципы платформенности, надежности и экосистемности
    Мы вновь беседуем с Марией Рукавишниковой, основательницей компании Getmobit, дважды победительницей премии “Топ-100 ИТ-лидеров” от Global CIO, о новых вызовах, с которыми сталкиваются производители российских продуктов, стремясь сохранить баланс между целями развития бизнеса, запросами рынка и требованиями регуляторов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать