Биометрическая аутентификация и Single Sign-On в ООО “Газпром сера”

Аналитическое агенство TAdviser опубликовало интервью с руководителем IT-отдела компании ООО “Газпром сера” Иваном Чернокнижниковым о внедрении биометрической аутентификации на основе решений Indeed ID.

Говоря об использовании Indeed Enterprise Authentication и Indeed Enterprise Single Sign-On для обеспечения информационной безопасности предприятия, Иван отметил существенное повышение уровня ИБ и защиты от несанкционированного доступа.

В интервью Иван рассказал о требованиях, которые компания ООО “Газпром сера” предъявляла к системам строгой аутентификации и единого входа при их выборе, а также о процессе внедрения выбранных решений.

В завершении беседы Иван дал рекомендации компаниям, которые находятся в процессе выбора систем данного класса.

Приводим полный текст интервью (источник — портал TAdviser).

Иван, расскажите, пожалуйста, каким образом в «Газпром сера» возникла потребность решения задач усиленной аутентификации пользователей? Что стало решающим фактором и послужило толчком к поиску решения и реализации проекта?

Потребность в усиленной аутентификации в «Газпром сера», пожалуй, как во многих современных компаниях, возникла из-за недостатков парольной аутентификации, говорить о которых, думаю, излишне. В последние годы эти недостатки многократно обсуждались и сегодня очевидны для подавляющего большинства компаний. Отмечу лишь, что проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны.

Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации, где влияние человеческого фактора сведено к минимуму. В качестве такого метода мы выбрали биометрическую аутентификацию по отпечатку пальца. Главными факторами в пользу выбора этой технологии для нас стали неотделимость аутентификатора (пальца) от пользователя и простота процедуры аутентификации.

Проект по внедрению новой технологии аутентификации мы реализовали на основе решений Indeed Enterprise Authentication и Indeed Enterprise Single Sign-On. Indeed Enterprise Authentication обеспечивает возможность использования технологий строгой аутентификации пользователей при доступе к ресурсам, а Indeed Enterprise Single Sign-On реализует технологию единого входа в масштабах предприятия.

Какие ключевые требования к системе вы предъявляли?

Обращали внимание на простоту и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.
Помимо качества работы и функциональности самого программного обеспечения, немаловажным критерием для нас было наличие полноценной технической поддержки, что позволило бы оперативно решать вопросы, возникающие в ходе внедрения и эксплуатации системы. В результате мы пришли к выводу, что решения Indeed ID удовлетворяют почти всем нашим требованиям и являются для нашей компании наиболее оптимальным вариантом.

Что изменилось в работе сотрудников после внедрения системы? Как теперь происходит аутентификация сотрудников?

С точки зрения получения доступа к приложениям и информационным системам, в работе сотрудников практически не произошло изменений. На каждое рабочее место были установлены считыватели отпечатков пальцев Futronic и вместо привычного ввода пароля теперь нужно просто приложить палец к считывателю.

С точки зрения исполнения регламентов и требований информационной безопасности, жизнь пользователей стала значительно проще. Теперь им не нужно придумывать сложные пароли, регулярно их изменять и запоминать. Вход на ПК сейчас строго ограничен и осуществляется только тем пользователем, которому предоставлен доступ к ресурсам. Соответственно, и сам пользователь получает доступ только к «своим» ресурсам. Таким образом, сотрудники теперь не опасаются компрометации своих учетных данных.

Как сотрудники восприняли новую технологию? Насколько быстро прошла адаптация к «новшеству»?

Вопрос нововведений в области обеспечения информационной безопасности всегда воспринимается сотрудниками достаточно остро, поскольку увеличение уровня безопасности обычно ассоциируется с уменьшением удобства работы.

Между тем, результат внедрения во многом зависит от лояльного отношения пользователей. Нам удалось добиться такого отношения. Во-первых, мы объяснили сотрудникам, для чего все это нужно. Во-вторых, немаловажную роль сыграла простота использования системы, которой мы уделяли внимание при изначальном выборе системы. Пользователи быстро привыкли к новой технологии аутентификации.

Много ли времени заняло внедрение системы? Потребовались ли какие-то кардинальные доработки системы?

В общей сложности, процесс внедрения — от пилотного внедрения системы до ее полного ввода в промышленную эксплуатацию — занял около 6 месяцев. Внедрение системы состояло из установки и первоначальной настройки серверной части и последующего централизованного распространения клиентских частей на рабочие места пользователей. Возникающие в ходе реализации проекта вопросы касательно функционирования системы мы оперативно решали совместно со специалистами Indeed ID в рамках технической поддержки.

Кардинальных доработок системы со стороны разработчика не потребовалось, а вот в механизме формирования отчетов у нас возникла необходимость индивидуальных доработок. Эту адаптацию мы выполнили самостоятельно.

Что изменилось после внедрения строгой аутентификации? Как проект в целом повлиял на информационную безопасность?

Естественно, есть процессы, которые никуда не исчезают из администрирования, но можно с уверенность сказать, что уровень информационной безопасности стал выше, а защита от несанкционированного доступа надежнее. Ушли проблемы и риски, связанные с парольным доступом. Внедрение аутентификации по отпечатку пальца исключило возможность отказа от выполненных действий, что упростило процесс расследования инцидентов в случае такой необходимости.

Ряд требований информационной безопасности и регламентов доступа к информационным системам теперь выполняются автоматически.

«Плюсы» выбранного решения очевидны. Удалось ли выявить какие-то «минусы»?

Для решения наших задач оказалось недостаточно реализованного в системе механизма аудита и журналирования событий. Поэтому для нас основной недостаток – это отсутствие записи событий системы Indeed ID в online-режиме в базу Microsoft SQL.

Какие рекомендации Вы можете дать компаниям, которые находятся в процессе выбора системы для строгой аутентификации или только начинают внедрять такое решение?

В любом проекте важно понимание целей и реальных потребностей компании. Выбирая технологии и средства аутентификации, а также соответствующие решения, необходимо проанализировать важность обрабатываемой информации, актуальные угрозы информационной безопасности и риски возможного ущерба (финансового, репутационного характера). Эти данные в совокупности с полномочиями пользователей и администраторов компании позволят определить необходимые требования к надежности аутентификации, что в свою очередь, позволит внедрить систему, оптимально подходящую под конкретные задачи и условия работы компании.