Интервью с директором по информационной безопасности СДМ-банка о внедрении Indeed AM
В очередном номере журнала Information Security (№5, 2018) было опубликовано интервью с директором по информационной безопасности СДМ-банка Владимиром Солониным. В интервью речь идет о внедрении технологии аутентификации по смарт-картам и сертификатам, сложностях внедрения и изменениях для пользователей. Приводим полный текст интервью (источник — Журнал Information Security).
Каким образом появились задачи усиленной аутентификации пользователей и построения системы SSO? Что послужило толчком к поиску решения и реализации проекта?
Можно строить эшелонированные системы антивирусной защиты, возводить множество стен из файерволлов, внедрять множество других средств защиты, но, во-первых, любая сложная система содержит в себе уязвимости, а во-вторых, угадываемые пароли никто не отменял. Можно включить политики, проверяющие сложность паролей, и пароль «Август2018!» будет удовлетворять всем критериям сложности, но будет ли он действительно сложным? Добиться от пользователей использования уникальных паролей в каждой информационной системе – очень нелегкая задача. Человек не машина, запрограммировать его не получится, только воспитать, используя методы убеждения. Регулярные проверки сложности паролей учетных записей путем выгрузки их хешей и взлома по словарям показали, что проводить регулярные семинары и тренинги, направленные на повышение осведомленности сотрудников, достаточно эффективно, если этим заниматься на регулярной основе. Однако таким образом лишь снижается число плохих паролей до некого уровня, но ведь достаточно только одного, если его смогли взломать.
Кто выступал инициатором внедрения и заказчиком новой системы?
Имея такую статистку, ИБ и ИТ получили одобрение у руководства на проект по внедрению системы управления идентификационными данными, благо о паролях знают все и важность их устойчивости понятна всем.
Почему была выбрана технология аутентификации по смарт-картам и сертификатам? Рассматривались ли другие варианты аутентификации?
Чем усилить пароль? Напрашивается классическое решение-комбинация: «знание» и «владение». Первый фактор – пароль, второй фактор – устройство, которое можно физически выдать пользователю. Вначале рассматривали биометрию, в частности отпечаток пальца, благо он всегда при пользователе. Альтернативным вариантом была смарткарта с записанным на ней сертификатом. Этот вариант и победил в конечном итоге, так как в Windows есть уже возможность использовать для аутентификации смарт-карты, к тому же дополнительным бонусом получили сертификат, который можно использовать и для электронной подписи в электронной почте и в офисных документах. Немаловажно и то, что стоимость считывателей биометрии значительно выше считывателей смарт-карт, причем чем они надежнее, тем дороже. Непонятно, что делать в случае компрометации: сертификат можно отозвать и перевыпустить, а что делать с пальцем? Совместив чип с сертификатом с пропуском, получилось интегрировать систему со СКУД.
Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие особенности были у ее внедрения?
Задача была простой: облегчить жизнь пользователей и повысить уровень безопасности. К сожалению, не все системы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными. Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса.
Какие есть сложности в использовании новой технологии аутентификации/SSO?
Технических сложностей при использовании нет, они скорее технологические и организационные. При внедрении они, конечно, были из-за необходимости интеграции со многими системами. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, изменить технологический процесс внесения изменений или обновления существующих информационных систем, дополнив его процессом проверки функционирования систем 2FA и SSO, а также дополнить и протестировать все аварийные планы по переходу на резервные серверы с учетом новой технологии. Еще из сложностей – организация процессов, связанных с жизненным циклом пропусков, порядком их выдачи и замены или, например, что делать, если пользователь забыл свой пропуск и находится к тому же в филиале? Впрочем, все решается.
Что изменилось после внедрения усиленной аутентификации? Как проект в целом повлиял на ИБ?
Забот у ИБ стало больше. Но это происходит при внедрении любой новой системы. Большинство проектов ИБ обычно невидимо для конечных пользователей, об ИБ обычно вспоминают, если письмо задержится или ссылка какая в Интернете не откроется. Этот же проект затронул всех пользователей.
Что на деле изменилось для пользователей? Как они отнеслись к переходу на новую технологию доступа?
У пользователя одни плюсы, пароли придумывать не надо, кроме одного PIN-кода для карты, вручную вводить логины и пароли в системы тоже не надо. Осталась одна забота – не забывать дома пропуск. Если при переходе все происходит гладко, заранее все протестировано, а с пользователями предварительно проведена разъяснительная работа, то и отношение хорошее. Для успешного внедрения приходится брать на вооружение маркетинговые технологии, и с их помощью новые продукты, как говорится, идут в массы.
Какие, на ваш взгляд, существуют особенности в организации ИБ при работе сотрудников в финансовой организации?
Банк – это надежность, обрабатываемая им информация – это деньги. Потому потеря этой информации – это прямая потеря денег. Банк – это и доверие, клиент передает банку много конфиденциальной информации, и ее необходимо защищать. Банк – это удобные сервисы, они шагнули вначале на стол к клиентам с системами «Банк – Клиент», а затем и к ним в карман на мобильные телефоны с системами «Мобильный банк». Банк – это бесперебойность, клиент должен быть уверен в том, что сможет перевести деньги или сделать платеж по карте в любое время и в любом месте. ИБ в банке – это повышенная ответственность за обеспечение всего вышеперечисленного. Ответственность за то, что системы защиты должны работать и новые внедряемые системы не должны усложнять существующие процессы.
Что повлияло на выбор конкретного поставщика решения?
При выборе поставщика мы имели уже некоторое представление о том, как должна работать система в наших реалиях. Один из главных критериев выбора – происхождение. Она должна быть российской. Простота внедрения, успешные внедрения в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже немаловажный фактор.
Читайте еще по теме
Айдентити Конф 2024 — первая в России конференция на тему безопасности Identity
Открылась регистрация на Айдентити Конф 2024, которая состоится 31 октября в пространстве Кибердома в Москве. Конференция состоится впервые и станет ежегодным событием и центром притяжения экспертизы в области […]
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
Интервью Юрия Анатольевича Юрченко, ОАО «ОКБМ Африкантов»
В очередном номере журнала Information Security (№5, 2013) опубликовано интервью Юрия Юрченко, руководителя отдела информационных технологий ОАО «ОКБМ Африкантов». В интервью идет речь о внедрения и эксплуатации централизованной системы управления […]
Интервью Анатолия Скородумова журналу Information Security: Биометрия — это удобно!
В июньском номере журнала Information Security (№3, 2013) опубликовано интервью Анатолия Скородумова, начальника отдела информационной безопасности ОАО “Банк “Санкт-Петербург». В интервью идет речь о внедрения и эксплуатации централизованной, биометрической системы […]
Интервью Алексея Иванова журналу Information Security
В апрельском номере журнала Information Security (№2, 2013) опубликовано подробное интервью Алексея Иванова, руководителя службы ИБ банка КИТ Финанс. В интервью Алексей делиться опытом внедрения и эксплуатации централизованной биометрической системы […]