Интервью Алексея Иванова журналу Information Security

В апрельском номере журнала Information Security (№2, 2013) опубликовано подробное интервью Алексея Иванова, руководителя службы ИБ банка КИТ Финанс. В интервью Алексей делиться опытом внедрения и эксплуатации централизованной биометрической системы управления доступом к ИТ-ресурсам банка на базе наших продуктов.

Хотим поддержать практику обмена практическим опытом между специалистами отрасли, и с разрешения редакции приводим текст данного интервью. Так же отметим, что банк КИТ Финанс является одним из наших первых клиентов. Специалисты банка внесли заметный вклад в развитие наших продуктов участвуя в обсуждениях текущего и будущего функционала. На сегодня в банке внедрены все основные элементы управления логическим доступом Indeed Identity.

Пароль умер, да здравствует пароль!

Каждый месяц СМИ публикуют очередную новость о каком-нибудь крупном взломе, произошедшем на просторах всемирной паутины.

«Очередную», потому что эти события уже давно перестали быть чем-то из ряда вон выходящее. Казалось бы, совсем недавно только ленивое информационное агентство не писало на тему взломов SONY или Anonymous. И вот уже новостная лента взрывается срочными сообщениями о взломе 250 000 аккаунтов в Twitter. В июне 2012 года в публичный доступ были выложены 165000 хешей паролей от аккаунтов пользователей популярной социальной сети Linkedin. Компания Rapid7 провела их анализ и составила небольшой отчёт, в котором показала, насколько предсказуемы мы при выборе паролей. Из года в год список «самых-самых» остаётся практически неизменным: password, 12345678, qwerty…Все вы хоть раз да сталкивались с подобными комбинациями, не правда ли? Спасают ли ситуацию сложные криптостойкие пароли? Сегодня уже нельзя с уверенностью ответить «нет». Эксперты консалтинговой компании Deloitte уверены, что более 90% паролей интернет-пользователей, в том числе те, которые создаются профессиональными программистами и специальными программами, уязвимы к хакерским атакам.

Всё это свидетельствует о том, что использование парольной политики, в классическом виде, не может гарантировать безопасность информационных систем. О том, есть ли выход, и что можно сделать в сложившейся ситуации, мы решили узнать у тех, для кого проблемы с паролями уже в прошлом. Сегодняшний гость – Иванов Алексей Александрович, начальник Управления информационной безопасности и контроля Департамента информационной безопасности и охраны компании КИТ Финанс.

Скажите, как в вашей компании была решена проблема с парольным доступом?

Проблема парольной защиты остро встала перед нами в период активного роста региональных (территориально–удаленных) офисов Банка. Именно тогда были выявлены попытки совершения мошенничества сотрудниками офисов при обслуживании клиентов. При этом, чтобы «запутать следы», сотрудники совершали такие действия, используя чужие учетные данные.

Но откуда сотрудникам были известны данные авторизации коллег?

Вариантов несколько. Во–первых, пароли часто передавались между сотрудниками просто по необходимости (нужно что–то срочно отправить, кто–то заболел и т.д.) и потом не менялись. Во–вторых, их элементарно можно было подсмотреть  визуально или в оставленном без присмотра блокноте. В–третьих, из–за стремительного увеличения количества различных автоматизированных систем (АС), предназначенных для обслуживания клиентов, увеличивалось и количество необходимых для запоминания паролей, так как эти системы обычно использовали собственные базы для идентификации пользователей. Но человек банально не способен держать в голове десяток–другой бессмысленных комбинаций, не говоря уже о том, чтобы каждый месяц этот список обновлять.

Конечно, со стороны отдела информационной безопасности постоянно проводились инструктажи и проверки по выполнению требований парольной политики. Однако в итоге мы поняли,  что её необходимо кардинально менять. Важным моментом при выборе встал вопрос выбора, как усилить технологию идентификации пользователя, так как любой отчуждаемый от сотрудника идентификационный  носитель (смарт–карта, БСК, токен и т.к.) не позволял гарантировать требуемую стойкость системы идентификации (средства многофакторной аутентификации терялись, ломались, могли быть скопированы). Оптимальным способом жесткого идентификационного контроля доступа была выбрана биометрия  на основе отпечатка пальца.

Во–первых, этот способ применяется ТОЛЬКО с ведома владельца учетной записи. А во–вторых, применение биометрии очень похоже на дактилоскопию и резко повышает ответственность сотрудника за свои действия в любой автоматизированной системе.

Насколько вообще важна для вашего бизнеса централизация функции управления доступом и аутентификации?

Финансовый сектор всегда являлся лакомым куском для различного рода мошенников, поэтому вопросы управления доступом  должны решаться централизованно, под контролем специализированного подразделения и с учетом всех изменений и рисков по направлению информационной безопасности. Мы выстроили свою политику таким образом, что все значимые для бизнеса АС используют усиленную систему идентификации пользователя с использованием биометрии. Этот принцип использован в технологии ESSO, когда все необходимые пароли пользователя централизованно хранятся в защищенном виде и при необходимости их применения выдаются системой только после строгой идентификации запросившего их пользователя.

В чём польза такого подхода?

Она очевидна. Во–первых, для решения вопросов адекватной сильной степени защиты от подбора пароля в АС постоянно усиливаются условия их использования. Пароли делаются более стойкими к взлому (растёт их сложность, периодичность смены), но при этом их надо помнить пользователю. Но если он забыл пароль – придётся затратить время как минимум на выполнение процедур официального сброса и смены пароля. Скажем так, на непрерывности бизнеса это сказывается не лучшим образом. При централизации управления доступом эта проблема исчезает. Во–вторых, все попытки доступа к системам фиксируются сразу в нескольких местах: непосредственно в АС и в ещё одной системе. Последняя отвечает за централизованное управление всеми учетными данными и аутентификаторами пользователей. Важно понимать, что хоть паролей становится всё больше, а они, в свою очередь, становятся всё сложнее, пользователю теперь нет необходимости запоминать их. Компонент клиентской части осуществляет перехват обращений пользователя к ресурсам, предлагая ему пройти универсальную процедуру аутентификации. В нашем случае это выражается к прикладыванию пальца к сканеру отпечатков. Если процедура пройдена успешно и доступ пользователю разрешен, агент передает логин и пароль запрашиваемому ресурсу. Такой подход становится исключительно полезным в фокусе усилении позиции нашего государства по обеспечению информационной безопасности при работе в системах содержащих сведения, относимые к персональным данным.

Сдвинемся в сторону практики. Вы используете биометрическую аутентификацию. Сколько сэмплов вводится в базу? Всем известно, что если сэмпл только один, и сотрудник именно этот палец, к примеру, порезал, то авторизоваться не получится.

Конечно, мы «подстраховались» на этот счёт. Изначально в базу по каждому сотруднику заносится 2 разных, пальца по одному на каждой руке. Такой подход оптимален при работе системы строгой идентификации в территориально удаленном подразделении, особенно если часовые пояса с  головным офисом не совпадают.  Это позволяет минимизировать случаи обращения пользователей по вопросам «нечитаемости» пальца.

Как решается проблема с удалённым рабочим местом? К примеру, если есть необходимость работать из дома или в командировке. 

ИБ банковского сектора придерживается  консервативных взглядов по вопросам удаленного доступа  сотрудников бизнес–подразделений к рабочим местам  извне. Поэтому масштабная удалённая работа не практикуется. Это скорее исключение, нежели правило. Тем не менее, если такая необходимость появится – я не вижу препятствий использования технологии  при работе в терминальной среде (RDP) или через Citrix. Ноутбуки, конечно же используются, и как правило в них существует встроенный биометрический сканер.   При отсутствии встроенного сканера в ноутбуке или планшете  сотрудник может  использовать либо мобильный вариант устройства сканирования отпечатка, либо проводить аутентификацию доступа используя иной способ идентификации: по одноразовой матрице доступа (ОТМ), Google OTP. Естественно перед использованием таких способов проводятся предварительные  настройки на конечном устройстве.

Не жалуются ли сотрудники на все эти «новшества»?

Напротив. Скажу без преувеличения – пользователи очень довольны. Пропала потребность передавать свои пароли по настоянию руководителя  в случае отсутствия сотрудника.  Бывают ситуации, когда специализированное прикладное ПО должно выполнить какую–то операцию (функционал) именно под конкретной учетной записью пользователя. Раньше сотруднику приходилось компрометировать свой пароль в случае своего отсутствия (например, заболел человек) и по телефону (просьбе руководителя или коллеги) сообщался свой пароль, хотя требования ИБ не позволяли этого делать. В общем,  заболевший сотрудник находился в ситуации: или нарушить требования ИБ или стать нелояльным по отношению к коллегам.  Теперь этот неловкий момент упразднен, все происходит только официальным путем через сброс пароля в АС с фиксацией события в подразделении ИБ.  Таким образом, с момента передачи пароля руководителю или коллеги вместо отсутствующего сотрудника, весь груз ответственности за операции, выполняемые под этой учетной записью, ложится уже на них.

Кроме того, сотрудники теперь не записывают свои пароли где–нибудь, они даже не могут их записать, так как просто не знают их. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.  Кстати политикой (настройками) АС можно задавать период смены паролей хоть  на ежедневной основе – это не будет напрягать ни пользователя, ни систему.

Но идеальных технологий не бывает. Есть ли минусы у применяемой вами?

Минус способа биометрической аутентификации по отпечатку пальца лично я вижу только один: это первоначальные затраты на покупку сканеров. В среднем затраты составляют около 3–4 тысяч рублей на одно рабочее место. И, конечно же, надо иметь небольшой запас таких сканеров на случайбыстрого роста количества пользователей или выхода из строя устройств. В остальном, одни только плюсы.

Сегодня любое решение, призванное помочь бизнесу или снизить его риски, рассматривается не только с позиции эффективности. Действует как минимум связка «ценакачество». В этом плане биометрическая аутентификация находится, пожалуй, на лидирующих позициях. Технология не идеальна – её можно обойти. Только вот стоимость взлома скорее всего окажется гораздо дороже той информации, которую злоумышленникам удастся заполучить.

Спасибо.

Полный текст, помимо печатной версии журнала, размещен на сайте издания.