Владимир Солонин, 17/12/18
О внедрении технологии аутентификации по смарт-картам и сертификатам, сложностях ее внедрения и что изменилось для пользователей редакции рассказал директор по информационной безопасности СДМ-банка Владимир Солонин.
– Каким образом появились задачи усиленной аутентификации пользователей и построения системы SSO? Что послужило толчком к поиску решения и реализации проекта?
– Можно строить эшелонированные системы антивирусной защиты, возводить множество стен из файерволлов, внедрять множество других средств защиты, но, во-первых, любая сложная система содержит в себе уязвимости, а во-вторых, угадываемые пароли никто не отменял. Можно включить политики, проверяющие сложность паролей, и пароль "Август2018!" будет удовлетворять всем критериям сложности, но будет ли он действительно сложным? Добиться от пользователей использования уникальных паролей в каждой информационной системе – очень нелегкая задача. Человек не машина, запрограммировать его не получится, только воспитать, используя методы убеждения. Регулярные проверки сложности паролей учетных записей путем выгрузки их хешей и взлома по словарям показали, что проводить регулярные семинары и тренинги, направленные на повышение осведомленности сотрудников, достаточно эффективно, если этим заниматься на регулярной основе. Однако таким образом лишь снижается число плохих паролей до некого уровня, но ведь достаточно только одного, если его смогли взломать.
– Кто выступал инициатором внедрения и заказчиком новой системы?
– Имея такую статистку, ИБ и ИТ получили одобрение у руководства на проект по внедрению системы управления идентификационными данными, благо о паролях знают все и важность их устойчивости понятна всем.
– Почему была выбрана технология аутентификации по смарт-картам и сертификатам? Рассматривались ли другие варианты аутентификации?
– Чем усилить пароль? Напрашивается классическое решение-комбинация: "знание" и "владение". Первый фактор – пароль, второй фактор – устройство, которое можно физически выдать пользователю. Вначале рассматривали биометрию, в частности отпечаток пальца, благо он всегда при пользователе. Альтернативным вариантом была смарт-карта с записанным на ней сертификатом. Этот вариант и победил в конечном итоге, так как в Windows есть уже возможность использовать для аутентификации смарт-карты, к тому же дополнительным бонусом получили сертификат, который можно использовать и для электронной подписи в электронной почте и в офисных документах. Немаловажно и то, что стоимость считывателей биометрии значительно выше считывателей смарт-карт, причем чем они надежнее, тем дороже. Непонятно, что делать в случае компрометации: сертификат можно отозвать и перевыпустить, а что делать с пальцем? Совместив чип с сертификатом с пропуском, получилось интегрировать систему со СКУД.
– Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие особенности были у ее внедрения?
– Задача была простой: облегчить жизнь пользователей и повысить уровень безопасности. К сожалению, не все системы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальные и сложные.
Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса.
– Какие есть сложности в использовании новой технологии аутентификации/SSO?
– Технических сложностей при использовании нет, они скорее технологические и организационные. При внедрении они, конечно, были из-за необходимости интеграции со многими системами. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, Иизменить технологический процесс внесения изменений или обновления существующих информационных систем, дополнив его процессом проверки функционирования систем 2FA и SSO, а также дополнить и протестировать все аварийные планы по переходу на резервные серверы с учетом новой технологии.
Еще из сложностей – организация процессов, связанных с жизненным циклом пропусков, порядок их выдачи и замены или, например, что делать, если пользователь забыл свой пропуск и находится к тому же в филиале? Впрочем, все решается.
– Что изменилось после внедрения усиленной аутентификации? Как проект в целом повлиял на ИБ?
– Забот у ИБ стало больше. Но это происходит при внедрении любой новой системы. Большинство проектов ИБ обычно невидимо для конечных пользователей, об ИБ обычно вспоминают, если письмо задержится или ссылка какая в Интернете не откроется. Этот же проект затронул всех пользователей.
– Что на деле изменилось для пользователей? Как они отнеслись к переходу на новую технологию доступа?
– У пользователя одни плюсы, пароли придумывать не надо, кроме одного PIN-кода для карты, вручную вводить логины и пароли в системы тоже не надо. Осталась одна забота – не забывать дома пропуск.
Если при переходе все происходит гладко, заранее все протестировано, а с пользователями предварительно проведена разъяснительная работа, то и отношение хорошее.
Для успешного внедрения приходится брать на вооружение маркетинговые технологии, и с их помощью новые продукты, как говорится, идут в массы.
– Какие, на ваш взгляд, существуют особенности в организации ИБ при работе сотрудников в финансовой организации?
– Банк – это надежность, обрабатываемая им информация – это деньги. Потому потеря этой информации – это прямая потеря денег. Банк – это и доверие, клиент передает банку много конфиденциальной информации, и ее необходимо защищать. Банк – это удобные сервисы, они шагнули вначале на стол к клиентам с системами "Банк – Клиент", а затем и к ним в карман на мобильные телефоны с системами "Мобильный банк". Банк – это бесперебойность, клиент должен быть уверен в том, что сможет перевести деньги или сделать платеж по карте в любое время и в любом месте.
ИБ в банке – это повышенная ответственность за обеспечение всего вышеперечисленного. Ответственность за то, что системы защиты должны работать и новые внедряемые системы не должны усложнять существующие процессы.
– Что повлияло на выбор конкретного поставщика решения?
– При выборе поставщика мы имели уже некоторое представление о том, как должна работать системы в наших реалиях. Один из главных критериев выбора – происхождение. Она должна быть российской. Простота внедрения, успешные внедрения в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже немаловажный фактор.
