08.05.2020

Предварительный анализ рисков первичной идентификации субъектов доступа

Журнал "Защита информации. INSIDE", № 2/2020, май, 2020

Экспертная статья Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."

Предложена концепция предварительного анализа рисков первичной идентификации субъектов доступа. Концепция базируется на основе анализа международных стандартов по идентификации и аутентификации.

Введение

В связи с интенсивным развитием национальных программ в рамках Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы [1] и соответствующего роста информационных систем вопрос управления доступом пользователей, особенно в удаленном режиме, становится всё более ответственным. Одной из самых сложных задач при этом является идентификация субъекта, которому следует предоставить доступ к информационным ресурсам, особенно если ресурс содержит конфиденциальную информацию. Фактически для этого надо собрать и сопоставить электронные образы субъекта из разных информационных систем с официальными свидетельствами его идентичности, которые физическое лицо обычно предоставляет для идентификации (например, паспорт, удостоверение личности или водительское удостоверение).

В настоящее время отечественная нормативно-правовая база по регулированию процессов идентификации и аутентификации отстает от международной и нуждается в модернизации в части технических требований [2, 3]. Некоторые предложения по совершенствованию нормативной базы изложены в работах [3–5]. К сожалению, в нашей стране нет ни одного реализованного проекта по созданию цифровых отпечатков граждан; последняя попытка с внедрением универсальной электронной карты, как и предыдущие, закончилась неудачей. Тем не менее, в последние два-три года инициированы проекты создания Единой биометрической системы и совершенствования Единой системы идентификации и аутентификации для удалённой идентификации граждан. Например, согласно Федеральному за- кону 482-ФЗ с 1 июля 2018 года банки "вправе открывать и вести счета (вклады) клиентов – физических лиц, предоставлять кредиты клиентам – физическим лицам, а также осуществлять переводы денежных средств по таким счетам по их по-ручению без их личного присутствия после проведения идентификации клиентов – физических лиц путём установления и подтверждения достоверности сведений о них, определённых настоящим Федеральным законом, с использованием единой системы идентификации и аутентификации и единой биометрической системы" [6]. В связи с развитием этих проектов и национальной программы цифровой экономики в целом весьма актуальным становится вопрос о доверии к результатам цифровой идентификации и пределах применимости методов удалённой идентификации субъектов доступа. В работе [7] предложена основанная на анализе международных стандартов методика формирования иерархии доверия к результатам идентификации и синтезированы критерии доверия к таковым.

Целью данной работы является анализ международных стандартов для выработки концептуального подхода к оценке рисков электронной идентификации граждан применительно к задаче управления доступом к информационным ресурсам различного назначения.

Как показано в работе [7], идентификация разделяется на первичную, проводимую однократно в процессе регистрации, и вторичную, которую зарегистрированный в информационной системе пользователь проходит при каждой попытке доступа. Сначала рассмотрим угрозы первичной идентификации (ПИ), потенциально возникающие в ходе регистрации (напомним, что здесь участниками обмена информацией выступают заявитель, регистратор и проверяющая сторона).

Типовые угрозы первичной идентификации

Пространство угроз для процессов, связанных с управлением доступом пользователей, может быть весьма широким. Основываясь на анализе международных стандартов [8–14], из общего пространства угроз выделим типовые, относящиеся к участникам процесса регистрации, рассмотренным в работе [7].

Так, со стороны заявителя возможна угроза "маскарада" – попытки идентификации под чужим именем с последующим отказом от факта регистрации. В табл. 1 приведены варианты указанных угроз и методы их парирования.

Перечислим типовые угрозы действиям регистратора:

  • неполнота или недостоверность данных, которые собраны на основе предъявленной заявителем информации;
  • недостоверность подтвержденных данных на основе предъявленной заявителем информации (представляет собой один из самых опасных случаев мошенничества, когда заявитель представляет проверенные данные другого лица как свои, а регистратор получает и принимает их);
  • угроза раскрытия личной информации пользователей, в том числе персональных данных (ПДн), злоупотребление личной идентификационной информацией в системе менеджмента идентификационных данных для бизнес-целей, отличных от тех, которые идентифицированы в документально оформленных правилах работы регистратора;
  • атаки класса "человек посередине" (МitМ), в частности с целью подмены официального подтверждения или источника (органа выдачи) официальных свидетельств;
  • ошибки связывания идентификационных данных с заявителем;
  • наличие значительных ошибок первого и второго рода.

Перечисленные угрозы и методы их парирования представлены в табл. 2.

Также приведем угрозы проверяющей стороне:

  • атака на каналы передачи данных;
  • фальсификация источника подтверждения.

Методы парирования этих угроз состоят в применении взаимной аутентификации сторон и защиты каналов передачи данных.

Базируясь на анализе перечисленных типовых угроз, можно составить модель угроз применительно к конкретной ИС и реализованным в ней бизнес-процессам. При этом перечень угроз может быть расширен исходя из анализа рисков. Например, при удалённой регистрации (без личной явки нового пользователя), как минимум, к перечисленным выше угрозам добавятся предъявление муляжа при снятии биометрических характеристик, возможность подделки документов (поскольку предъявляются не оригиналы, а копии официальных свидетельств), отказ от регистрации, невыполнение обязательств по ответственности в случае конфликтных ситуаций и др.

На основе полученной для определённой ИС модели угроз может быть построена модель нарушителя и модель защиты. При наличии статистики инцидентов необходимо выявлять актуальные и потенциальные уязвимости, принимая необходимые меры по их парированию.

Стандарт [15] рекомендует до анализа рисков провести их идентификацию. По ее итогам выявляется вероятность наступления наиболее опасных событий. По результатам анализа в ряде случаев можно подключить механизм управления рисками, пример которого для аутентификации приведен в работе [18].

Основные категории рисков идентификации при регистрации нового пользователя информационной системы

На базе проведенного выше анализа угроз выделим три основные категории угроз для процесса регистрации: выдача претендентом себя за другое лицо (субъект не является тем, за кого себя выдает), отказ легального пользователя от регистрации и, наконец, компрометация инфраструктуры создания и подтверждения идентификационных данных. Более подробно рассмотрим угрозы выдачи себя за другое лицо и отказа от участия в регистрации, поскольку вопрос угроз для инфраструктуры хорошо изучен и решается с помощью традиционных мер защиты информации (например, защита от вторжений, ведение учета, независимый аудит и др.).

Основываясь на вышеизложенном и личном опыте автора, сформулируем ряд наиболее вероятных и опасных рисков первичной идентификации, связанных с категорией "субъект не является тем, за кого себя выдаёт", обозначив их вероятными опасными событиями (ВОС):

  • ВОС1 – риск подмены владельца (предъявляются подлинные документы на другого субъекта: схожесть фотографии, грим-маскировка);
  • ВОС2 – риск нарушения подлинности предъявленных документов и свидетельств (предъявляются поддельные документы с фотографией и другими данными заявителя);
  • ВОС3 – риск отказа зарегистрированного пользователя от факта регистрации;
  • ВОС4 – риск недостоверности идентификационной информации, в том числе подтвержденной в процессе верификации;
  • ВОС5 – риск ошибок связывания цифровой идентификационной информации, ассоциированной с "цифровым образом" субъекта, с физической личностью субъекта;
  • ВОС6 – риск ошибок идентификационных данных, в частности, статистические ошибки 1-го и 2-го рода (характерны при наличии значительных по объему идентификационных данных в БД, а также при использовании биометрии с механизмом сравнения на сервере);
  • ВОС7 – риск доступа к личным данным неуполномоченного лица (вероятность раскрытия и/или модификации идентификационных данных), то есть риск нарушения целостности и/или конфиденциальности ПДн;
  • ВОС8 – остальные риски.

Для удалённой первичной идентификации (регистрация нового пользователя в конкретной ИС в удалённом режиме – без личного присутствия) все указанные риски остаются, при этом риски 1, 3 и 5 будут существенно выше, чем при личной явке субъекта к регистратору [10, 11].

Заключение

На основе анализа международных стандартов рассмотрены типовые угрозы, возникающие в процессе первичной идентификации нового пользователя информационной системы. Показаны два подхода к оценке рисков первичной идентификации. Выделены типовые риски процесса первичной идентификации. Предложена шкала уровней тяжести последствий и шкала частот возникновения вероятных опасных событий. С помощью опроса экспертов по методу Дельфи получены оценки относительного размера ущерба и вероятностей реализации опасных событий для информационных систем закрытого типа (корпоративных систем) и открытого типа с обязательным требованием личной явки и без личной явки субъекта для регистрации его в качестве нового пользователя информационной системы.

Изложенные в статье положения позволяют построить модель угроз и модель нарушителя процесса регистрации новых пользователей для многих информационных систем. Проведенная система идентификации рисков дает возможность поставить задачу дальнейшего анализа рисков в рассматриваемой области с целью построения матрицы рисков процесса первичной идентификации новых пользователей.