Интервью с экспертом: "Безопасность аутентификации прирастает стандартами"

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", в интервью порталу "Безопасность пользователей сети Интернет" рассказал об актуальных рисках информационной безопасности для пользователей систем идентификации и аутентификации.

Расскажите, пожалуйста, о наиболее актуальных рисках для пользователей современных систем идентификации и аутентификации. Что это за риски? Какова их природа?

Даже краткий ответ на вопрос о рисках и об их оценке занял бы объём в десяток страниц. И всё равно он не был бы исчерпывающим, поскольку для каждой информационной системы риски могут отличаться от общего типового перечня. Известно, что риск зависит от вероятности наступления нежелательного события и степени его последствий. Для некоторых типовых систем такие оценки актуальных рисков можно выполнить, опираясь на известное описание угроз аутентификации и методов их парирования, приведённых в международных стандартах, например, ITU-T X.1254, ITU-T 1278, ISO/IEC 29115, NIST SP-800-63-3. Поскольку российская нормативная правовая база, в отличие от зарубежных, не содержит подробных рекомендаций по построению систем идентификации и аутентификации (СИА), каждая организация на своё усмотрение строит систему управления доступом и входящую в неё СИА. Поэтому выделить общие риски для пользователей СИА весьма непросто.

Тем не менее, попробую ответить на ваш вопрос. Оценку рисков обычно выполняют для организации. Для пользователя такой анализ проводится весьма редко. Для некоторого типа информационных систем (ИС), например, систем дистанционного банковского обслуживания (ДБО), такая оценка полезна. Клиенту ДБО важно, чтобы данные его учётной записи никуда не "утекли", и злоумышленники впоследствии не смогли воспользоваться его финансовыми ресурсами. Риск реализации такого нежелательного события сегодня становится одним из самых актуальных для пользователей. Поэтому некоторым заказчикам мы предлагаем шифровать базу данных учётных записей, и уже нередко заказчики на это идут.

Рассмотрим второй риск. Хотя использование биометрических и поведенческих факторов аутентификации может повысить уровень доверия в результате аутентификации, для оценки их применимости следует учитывать следующие риски:

• В первую очередь, вероятностный характер биометрии: вероятность ошибочного определения того, что измеренные значения биометрии для отдельного субъекта совпадают с измеренными значениями для зарегистрированного в данной ИС пользователя, может быть уменьшена, но не устранена.
• Врожденные биометрические и поведенческие аспекты личности принципиально неизменны и, если когда-либо будет нарушена их конфиденциальность, то они не могут быть отменены и изменены.
• Врожденные биометрические и поведенческие характеристики личности не являются особым секретом. Их можно получить онлайн или, например, с помощью камеры телефона. Так можно получить изображения лица или узоры радужной оболочки глаза. Можно снять с предметов, к которым кто-то прикасался, отпечатки пальцев, в том числе получить их изображения с высоким разрешением.
• Процесс сопоставления наблюдаемого или измеренного биометрического аспекта может быть атакован, что может привести к неправильному распознаванию человека в качестве пользователя.

Учитывая вышесказанное, в качестве третьего риска можно указать риск несанкционированной потери или разглашения персональных данных (ПДн), поскольку все идентификационные данные субъекта доступа в той или иной степени являются его ПДн. Четвёртым риском являются различные реализации атак на протоколы аутентификации. К подобным атакам относятся:

• пассивное прослушивание;
• активные атаки – имитация легального пользователя, проверяющей и доверяющей сторон и перехват сеанса: обращение от имени пользователя к доверяющей стороне с целью получения конфиденциальной информации или ввода недействительной информации; обращение от имени доверяющей стороны к проверяющей стороне с целью получения конфиденциальной информации или ввода недействительной информации.

Какие новые риски могут возникнуть в перспективе? Ведь ландшафт угроз ИБ быстро меняется: злоумышленники совершенствуют технологии и методы атак, находят новые уязвимости, используют пробелы в регуляторике.

Я вас, наверное, разочарую, но не назову новых рисков, тем более в перспективе. Для этого надо быть провидцем. Да, технологии ИКТ быстро развиваются, и технологии атак меняются, но классификация рисков при этом меняется не столь быстро. Например, одним из наиболее актуальных рисков аутентификации является риск реализации атаки "человек посередине", при этом методы атаки меняются, а сама атака остаётся актуальной уже более 30 лет. В качестве второго примера можно привести риски реализации атак класса "социальная инженерия", выполняемых в виде совокупности психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию. Кибермошенники, использующие такие приёмы на практике, постоянно меняют тему и направление атак, приспосабливаясь к новым условиям, но от этого атаки и риски не меняют своё название и свою актуальность.

Очевидно, что на новые вызовы придётся отвечать. Каким вы видите развитие систем идентификации и аутентификации в этой связи?

Хотелось бы увидеть в ближайшей перспективе появление нормативных правовых актов, регулирующих процесс проектирования, построения, эксплуатации и аудита СИА. Существенная часть основы для этого закладывается в серии национальных стандартов системы ГОСТ Р, проекты которых уже разработаны и находятся на разных этапах согласования. По задумке ФСТЭК России базовым стандартом, заложившим фундамент для построения системы стандартов, является ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения", утверждённый в мае 2020 года. Этот стандарт и серия построенных на его основе стандартов призваны сократить отставание национальной системы стандартов от мировой, чтобы гармонизировать выход наших стандартов с минимальным разрывом по времени от международных. Пока это всего четыре стандарта, охватывающие область идентификации и аутентификации с точки зрения уровней доверия, но уже в ближайших планах предусматривается развитие этого базиса, вобравшего в себя тридцатилетний международный опыт, отображенный в двадцати трёх стандартах Международного союза электросвязи и Международной организации по стандартизации (ИСО). Начиная с указанных четырёх стандартов наша система стандартов будет развиваться в ногу с международными, при этом уже принятые и будущие стандарты не противоречат актуальной нормативно-правовой базе и могут служить одной из составляющих базиса для создания нормативной базы для СИА.

В настоящее время многие предприятия и организации переходят на удалённый доступ к государственным информационным системам и объектам критической информационной инфраструктуры (КИИ), и ФСТЭК России это допускает. Но возникают ли дополнительные риски в связи с таким переходом? Как их можно минимизировать?

Безусловно, удалённый доступ порождает дополнительные и весьма ощутимые риски. Это в первую очередь риски, характерные для сетевого взаимодействия через сети общего пользования и риски нарушения защиты оконечных устройств от несанкционированного доступа (НСД). Однако удалённая работа организуется по-разному.

В первую волну пандемии коронавирусной инфекции некоторые организации не были к ней готовы и существенно ослабили защиту ради предоставления удалённого доступа, чем в ряде случаев не преминули воспользоваться злоумышленники. Те организации, которые регулярно и последовательно следили за состоянием защищённости своих ресурсов, перешли на удалённый режим работы почти безболезненно, особенно те, у кого были резервные бюджеты. Хорошо известно, что были сделаны срочные закупки ноутбуков (объём продаж резко вырос, и к лету 2020 года запас ноутбуков в России "растаял"), которые были оснащены средствами защиты информации от НСД с возможностью построения VPN для доступа к корпоративным информационным ресурсам (КИР), и удалённая работа стала относительно безопасной.

Другое дело – организации, разрешившие своим сотрудникам подсоединяться к КИР с домашних компьютеров. Именно для таких организаций ФСТЭК России и выпустила Требования по безопасности информации к средствам обеспечения безопасно дистанционной работы в информационных (автоматизированных) системах, утверждённые Приказом от 16 февраля 2021 г. № 32, в разработке которого принял участие генеральный директор АО "Аладдин Р.Д." Сергей Груздев. Требования указанного приказа настолько серьёзно проработаны и строги, что до сих пор ни один разработчик не сертифицировал по этим требованиям своё решение. Поэтому ваша формулировка "ФСТЭК России допускает…" весьма относительна. По сути, это могло бы быть коротким ответом на вопрос "как можно минимизировать риски": применяйте сертифицированное по требованиям приказа 32 решение. Схема доступа, регламентированная в указанных Требованиях, подразумевает минимальный объём обмена информацией между конечными точками по каналу связи, защищённому сертифицированными средствами криптографической защиты информации, а требования непосредственно к средству обеспечения безопасности удалённой работы включают применение сертифицированной операционной системы и её доверенную загрузку после строгой (или усиленной) аутентификации пользователя только на авторизованных (разрешённых к использованию) ответственным лицом средствах вычислительной техники, а также блокирование возможности использования любых устройств ввода-вывода средств вычислительной техники и удалённого управления.

Какие методы аутентификации наиболее часто применяются пользователями на сегодняшний день, а какие станут самыми востребованными в будущем? Опишите тенденции, преобладающие на зарубежном и российском рынках средств аутентификации.

За последние несколько лет тенденция в мире состоит в последовательном усилении требований к аутентификации как в международных, так и в национальных стандартах развитых стран. В зависимости от уровня рисков строго выстроены уровни доверия к идентификации и аутентификации клиентов информационных систем. При этом рекомендуются и применяются на практике соответствующие методы аутентификации. К сожалению, в абсолютном большинстве документов нормативной правовой базы в основном путём "копи-паст" повторяются слова о необходимости применения идентификации и аутентификации, но не говорится, КАК это делать. Другими словами, выбор методов и средств аутентификации у нас отдан на откуп владельцам (администраторам) информационных систем. В условиях гонки за первенство в цифровизации зачастую выбираются самые простые в реализации (и далеко не соответствующие рискам) методы аутентификации, при этом понятия часто легко подменяются. Например, двухфакторной аутентификацией не слишком утруждающие себя изучением матчасти "информатизаторы" называют всё, что требует неоднократного предъявления в процессе аутентификации. К сожалению, техническая безграмотность разработчиков систем аутентификации и отсутствие "фильтра" в лице экспертов при подготовке проектов некоторых нормативных актов становятся устойчивой тенденцией.

Как вы оцениваете уровень развития национальных корпоративных систем управления аутентификацией? В каком направлении развиваются эти системы?

По большому счёту, повышенное внимание к проектированию СИА стало заметным только с развитием повсеместной цифровизации и началом реального импортозамещения. До этого администраторы, закончившие курсы Microsoft, строили СИА по одному лекалу наших западных "партнёров" с небольшими девиациями в зависимости от выделенных бюджетов. При переходе с импортного системного программного обеспечения (ПО) на свободно распространяемое выяснилось, что адекватной замены на инфраструктурные решения и достаточно удобные средства реализации корпоративных политик управления доступом пока в полном объёме не созданы. Многое надо "достраивать", особенно в части высоких уровней доверия идентификации и аутентификации. Например, для крупного корпоративного заказчика нет масштабируемого решения по обеспечению жизненного цикла цифровых сертификатов доступа, что позволило бы построить строгую многофакторную аутентификацию под управлением специального программного обеспечения. Другими словами, мы живём в эпоху перехода значительной части корпоративных СИА с зарубежного ПО на отечественное, что само по себе является безусловно полезным процессом. Выражаю надежду, что наши разработчики успеют предоставить этому перспективному рынку безопасное и функциональное программное обеспечение, обеспечивающее защищённость ИС различного назначения. При этом хотелось бы существенно повысить защиту данных учётных записей пользователей ИС объектов КИИ. Замечу, что альтернативы шифрованию с помощью сертифицированных отечественных алгоритмов пока не видится.

Как сейчас связаны идентификация и аутентификация с системами управления доступом? Какова роль аутентификации в эволюции данных систем?

На эту тему в 2021 году вышел ГОСТ Р 59383-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом", разработанный группой специалистов под моим руководством. Этот стандарт может позиционироваться как информационный, но поскольку он вбирает в себя мировой опыт создания СИА, как существенной части систем управления доступом, его пользу признали даже оппоненты. В стандарте чётко расписаны функции и зоны ответственности систем идентификации и систем авторизации, что на мой взгляд поможет администраторам глубже понимать роль и функции идентификации и аутентификации в системах управления доступом.

Как соотносится нормативная правовая база Российской Федерации и стандарты в части идентификации и аутентификации? Насколько они гармонизированы между собой, в чём пока не согласуются?

Исторически сложилось, что пристальное внимание уделялось защите от несанкционированного доступа. Нормативная база, созданная усилиями уполномоченных государственных органов, актуальна для этого вида нарушений в подавляющем большинстве реализаций. В то же время, как было отмечено выше, к сожалению, нормативная база в части санкционированного доступа и особенно в части идентификации и аутентификации пока отстаёт от интенсивно развивающейся системы национальных стандартов. Но это временное явление. Я надеюсь, что в ближайшее время у нас появится нормативная правовая база в части регулирования процессов и систем идентификации и аутентификации, отвечающая самым современным требованиям развития цифрового общества в Российской Федерации.

Как соотносятся международные стандарты по идентификации и аутентификации с системой национальных стандартов России? Вы являетесь экспертом ИСО в данном направлении информационной безопасности. Каковы ваши оценки?

Усилиями ФСТЭК России с помощью лицензиатов – разработчиков стандартов, входящих в ТК 362, удалось ликвидировать отставание в развитии системы стандартов ГОСТ Р. В течение 2022-2023 гг. мы выйдем на уровень современного состояния мировой системы стандартов, и я надеюсь, что с 2023 года стандарты по идентификации и аутентификации будут обновляться каждые 5 лет, как это принято в ИСО. Для этого уже сегодня созданы все условия. В международных организациях по стандартизации работают наши специалисты, оценивающие, какие полезные положения из международных стандартов необходимо привносить в национальную систему стандартов, а без каких мы вполне сможем обходиться. Создана совместная рабочая группа по разработке стандартов по аутентификации, в которую входят ведущие разработчики стандартов из компаний - лицензиатов ФСБ России и ФСТЭК России.

Вошли ли в стандарт ГОСТ Р "Защита информации. Идентификация и аутентификация. Основные положения" положения вашей докторской диссертации по формированию уровней доверия к идентификации и аутентификации? Имеются ли планы по развитию системы национальных стандартов в данном направлении?

Каждому стандарту предшествует анализ состояния не только международных и национальных стандартов, но и состояния научных исследований по предмету разрабатываемого стандарта. В итоге обычно получается достаточно толстый научно-технический отчёт. Естественно, некоторая часть положений из диссертации вошла в часть отчётов, которые легли в основу текстов проектов стандартов.

Поскольку наука не стоит на месте, и в данное время мы с аспирантами решаем научные проблемы по основам доверия к работе систем управления доступом различного назначения, куда СИА входит как существенная составляющая, то имеется вероятность того, что некоторые научные положения могут пригодиться в случае принятия решения уполномоченными органами о разработке новых стандартов по идентификации и аутентификации.

Оригинал статьи