Аутентификация и единая точка доступа в ПАО “СДМ-Банк”

О внедрении технологии аутентификации по смарт-картам и сертификатам, сложностях внедрения и изменениях для пользователей редакции журнала «Информационная безопасность» рассказал директор по информационной безопасности СДМ-банка Владимир Солонин.

Приводим полный текст интервью (источник — журнал Information Security).

Information Security: Каким образом появились задачи усиленной аутентификации пользователей и построения системы SSO? Что послужило толчком к поиску решения и реализации проекта?

Владимир Солонин: Можно строить эшелонированные системы антивирусной защиты, возводить множество стен из файерволлов, внедрять множество других средств защиты, но, во-первых, любая сложная система содержит в себе уязвимости, а во-вторых, угадываемые пароли никто не отменял. Можно включить политики, проверяющие сложность паролей, и пароль «Август2018!» будет удовлетворять всем критериям сложности, но будет ли он действительно сложным? Добиться от пользователей использования уникальных паролей в каждой информационной системе – очень нелегкая задача. Человек не машина, запрограммировать его не получится, только воспитать, используя методы убеждения. Регулярные проверки сложности паролей учетных записей путем выгрузки их хешей и взлома по словарям показали, что проводить регулярные семинары и тренинги, направленные на повышение осведомленности сотрудников, достаточно эффективно, если этим заниматься на регулярной основе. Однако таким образом лишь снижается число плохих паролей до некого уровня, но ведь достаточно только одного, если его смогли взломать.

Information Security: Кто выступал инициатором внедрения и заказчиком новой системы?

Владимир Солонин: Имея такую статистку, ИБ и ИТ получили одобрение у руководства на проект по внедрению системы управления идентификационными данными, благо о паролях знают все и важность их устойчивости понятна всем.

Information Security: Почему была выбрана технология аутентификации по смарт-картам и сертификатам? Рассматривались ли другие варианты аутентификации?

Владимир Солонин: Чем усилить пароль? Напрашивается классическое решение-комбинация: «знание» и «владение». Первый фактор – пароль, второй фактор – устройство, которое можно физически выдать пользователю. Вначале рассматривали биометрию, в частности отпечаток пальца, благо он всегда при пользователе. Альтернативным вариантом была смарткарта с записанным на ней сертификатом. Этот вариант и победил в конечном итоге, так как в Windows есть уже возможность использовать для аутентификации смарт карты, к тому же дополнительным бонусом получили сертификат, который можно использовать и для электронной подписи в электронной почте и в офисных документах. Немаловажно и то, что стоимость считывателей биометрии значительно выше считывателей смарт-карт, причем чем они надежнее, тем дороже. Непонятно, что делать в случае компрометации: сертификат можно отозвать и перевыпустить, а что делать с пальцем? Совместив чип с сертификатом с пропуском, получилось интегрировать систему со СКУД.

Information Security: Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие особенности были у ее внедрения?

Владимир Солонин: Задача была простой: облегчить жизнь пользователей и повысить уровень безопасности. К сожалению, не все системы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными
и сложными. Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса.

Information Security: Какие есть сложности в использовании новой технологии аутентификации/SSO?

Владимир Солонин: Технических сложностей при использовании нет, они скорее технологические и организационные. При внедрении они, конечно, были из-за необходимости интеграции со многими системами. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, изменить технологический процесс внесения изменений или обновления существующих информационных систем, дополнив его процессом проверки функционирования систем 2FA и SSO, а также дополнить и протестировать все аварийные планы по переходу на резервные серверы с учетом новой технологии. Еще из сложностей – организация процессов, связанных с жизненным циклом пропусков, порядком их выдачи и замены или, например, что делать, если пользователь забыл свой пропуск и находится к тому же в филиале? Впрочем, все решается.

Information Security: Что изменилось после внедрения усиленной аутентификации? Как проект в целом повлиял на ИБ?

Владимир Солонин: Забот у ИБ стало больше. Но это происходит при внедрениия любой новой системы. Большинство проектов ИБ обычно невидимо для конечных пользователей, об ИБ обычно вспоминают, если письмо задержится или ссылка какая в Интернете не откроется. Этот же проект затронул всех пользователей.

Information Security: Что на деле изменилось для пользователей? Как они отнеслись к переходу на новую технологию доступа?

Владимир Солонин: У пользователя одни плюсы, пароли придумывать не надо, кроме одного PIN-кода для карты, вручную вводить логины и пароли в системы тоже не надо. Осталась одна забота – не забывать дома пропуск. Если при переходе все происходит гладко, заранее все протестировано, а с пользователями предварительно проведена разъяснительная работа, то и отношение хорошее. Для успешного внедрения приходится брать на вооружение маркетинговые технологии, и с их помощью новые продукты, как говорится, идут в массы.

Information Security: Какие, на ваш взгляд, существуют особенности в организации ИБ при работе сотрудников в финансовой организации?

Владимир Солонин: Банк – это надежность, обрабатываемая им информация – это деньги. Потому потеря этой информации – это прямая потеря денег. Банк – это и доверие, клиент передает банку много конфиденциальной информации, и ее необходимо защищать. Банк – это удобные сервисы, они шагнули вначале на стол к клиентам с системами «Банк – Клиент», а затем и к ним в карман на мобильные телефоны с системами «Мобильный банк». Банк – это бесперебойность, клиент должен быть уверен в том, что сможет перевести деньги или сделать платеж по карте в любое время и в любом месте. ИБ в банке – это повышенная ответственность за обеспечение всего вышеперечисленного. Ответственность за то, что системы защиты должны работать и новые внедряемые системы не должны усложнять существующие процессы.

Information Security: Что повлияло на выбор конкретного поставщика решения?

Владимир Солонин: При выборе поставщика мы имели уже некоторое представление о том, как должна работать система в наших реалиях. Один из главных критериев выбора – происхождение. Она должна быть российской. Простота внедрения, успешные внедрения в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже немаловажный фактор.