Предварительный анализ рисков первичной идентификации субъектов доступа
<p>Экспертная статья Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."</p>
Предложена концепция предварительного анализа рисков первичной идентификации субъектов доступа. Концепция базируется на основе анализа международных стандартов по идентификации и аутентификации.
Введение
В связи с интенсивным развитием национальных программ в рамках Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы [1] и соответствующего роста информационных систем вопрос управления доступом пользователей, особенно в удаленном режиме, становится всё более ответственным. Одной из самых сложных задач при этом является идентификация субъекта, которому следует предоставить доступ к информационным ресурсам, особенно если ресурс содержит конфиденциальную информацию. Фактически для этого надо собрать и сопоставить электронные образы субъекта из разных информационных систем с официальными свидетельствами его идентичности, которые физическое лицо обычно предоставляет для идентификации (например, паспорт, удостоверение личности или водительское удостоверение).
В настоящее время отечественная нормативно-правовая база по регулированию процессов идентификации и аутентификации отстает от международной и нуждается в модернизации в части технических требований [2, 3]. Некоторые предложения по совершенствованию нормативной базы изложены в работах [3–5]. К сожалению, в нашей стране нет ни одного реализованного проекта по созданию цифровых отпечатков граждан; последняя попытка с внедрением универсальной электронной карты, как и предыдущие, закончилась неудачей. Тем не менее, в последние два-три года инициированы проекты создания Единой биометрической системы и совершенствования Единой системы идентификации и аутентификации для удалённой идентификации граждан. Например, согласно Федеральному за- кону 482-ФЗ с 1 июля 2018 года банки "вправе открывать и вести счета (вклады) клиентов – физических лиц, предоставлять кредиты клиентам – физическим лицам, а также осуществлять переводы денежных средств по таким счетам по их по-ручению без их личного присутствия после проведения идентификации клиентов – физических лиц путём установления и подтверждения достоверности сведений о них, определённых настоящим Федеральным законом, с использованием единой системы идентификации и аутентификации и единой биометрической системы" [6]. В связи с развитием этих проектов и национальной программы цифровой экономики в целом весьма актуальным становится вопрос о доверии к результатам цифровой идентификации и пределах применимости методов удалённой идентификации субъектов доступа. В работе [7] предложена основанная на анализе международных стандартов методика формирования иерархии доверия к результатам идентификации и синтезированы критерии доверия к таковым.
Целью данной работы является анализ международных стандартов для выработки концептуального подхода к оценке рисков электронной идентификации граждан применительно к задаче управления доступом к информационным ресурсам различного назначения.
Как показано в работе [7], идентификация разделяется на первичную, проводимую однократно в процессе регистрации, и вторичную, которую зарегистрированный в информационной системе пользователь проходит при каждой попытке доступа. Сначала рассмотрим угрозы первичной идентификации (ПИ), потенциально возникающие в ходе регистрации (напомним, что здесь участниками обмена информацией выступают заявитель, регистратор и проверяющая сторона).
Типовые угрозы первичной идентификации
Пространство угроз для процессов, связанных с управлением доступом пользователей, может быть весьма широким. Основываясь на анализе международных стандартов [8–14], из общего пространства угроз выделим типовые, относящиеся к участникам процесса регистрации, рассмотренным в работе [7].
Так, со стороны заявителя возможна угроза "маскарада" – попытки идентификации под чужим именем с последующим отказом от факта регистрации. В табл. 1 приведены варианты указанных угроз и методы их парирования.
Перечислим типовые угрозы действиям регистратора:
- неполнота или недостоверность данных, которые собраны на основе предъявленной заявителем информации;
- недостоверность подтвержденных данных на основе предъявленной заявителем информации (представляет собой один из самых опасных случаев мошенничества, когда заявитель представляет проверенные данные другого лица как свои, а регистратор получает и принимает их);
- угроза раскрытия личной информации пользователей, в том числе персональных данных (ПДн), злоупотребление личной идентификационной информацией в системе менеджмента идентификационных данных для бизнес-целей, отличных от тех, которые идентифицированы в документально оформленных правилах работы регистратора;
- атаки класса "человек посередине" (МitМ), в частности с целью подмены официального подтверждения или источника (органа выдачи) официальных свидетельств;
- ошибки связывания идентификационных данных с заявителем;
- наличие значительных ошибок первого и второго рода.
Перечисленные угрозы и методы их парирования представлены в табл. 2.
Также приведем угрозы проверяющей стороне:
- атака на каналы передачи данных;
- фальсификация источника подтверждения.
Методы парирования этих угроз состоят в применении взаимной аутентификации сторон и защиты каналов передачи данных.
Базируясь на анализе перечисленных типовых угроз, можно составить модель угроз применительно к конкретной ИС и реализованным в ней бизнес-процессам. При этом перечень угроз может быть расширен исходя из анализа рисков. Например, при удалённой регистрации (без личной явки нового пользователя), как минимум, к перечисленным выше угрозам добавятся предъявление муляжа при снятии биометрических характеристик, возможность подделки документов (поскольку предъявляются не оригиналы, а копии официальных свидетельств), отказ от регистрации, невыполнение обязательств по ответственности в случае конфликтных ситуаций и др.
На основе полученной для определённой ИС модели угроз может быть построена модель нарушителя и модель защиты. При наличии статистики инцидентов необходимо выявлять актуальные и потенциальные уязвимости, принимая необходимые меры по их парированию.
Стандарт [15] рекомендует до анализа рисков провести их идентификацию. По ее итогам выявляется вероятность наступления наиболее опасных событий. По результатам анализа в ряде случаев можно подключить механизм управления рисками, пример которого для аутентификации приведен в работе [18].
Основные категории рисков идентификации при регистрации нового пользователя информационной системы
На базе проведенного выше анализа угроз выделим три основные категории угроз для процесса регистрации: выдача претендентом себя за другое лицо (субъект не является тем, за кого себя выдает), отказ легального пользователя от регистрации и, наконец, компрометация инфраструктуры создания и подтверждения идентификационных данных. Более подробно рассмотрим угрозы выдачи себя за другое лицо и отказа от участия в регистрации, поскольку вопрос угроз для инфраструктуры хорошо изучен и решается с помощью традиционных мер защиты информации (например, защита от вторжений, ведение учета, независимый аудит и др.).
Основываясь на вышеизложенном и личном опыте автора, сформулируем ряд наиболее вероятных и опасных рисков первичной идентификации, связанных с категорией "субъект не является тем, за кого себя выдаёт", обозначив их вероятными опасными событиями (ВОС):
- ВОС1 – риск подмены владельца (предъявляются подлинные документы на другого субъекта: схожесть фотографии, грим-маскировка);
- ВОС2 – риск нарушения подлинности предъявленных документов и свидетельств (предъявляются поддельные документы с фотографией и другими данными заявителя);
- ВОС3 – риск отказа зарегистрированного пользователя от факта регистрации;
- ВОС4 – риск недостоверности идентификационной информации, в том числе подтвержденной в процессе верификации;
- ВОС5 – риск ошибок связывания цифровой идентификационной информации, ассоциированной с "цифровым образом" субъекта, с физической личностью субъекта;
- ВОС6 – риск ошибок идентификационных данных, в частности, статистические ошибки 1-го и 2-го рода (характерны при наличии значительных по объему идентификационных данных в БД, а также при использовании биометрии с механизмом сравнения на сервере);
- ВОС7 – риск доступа к личным данным неуполномоченного лица (вероятность раскрытия и/или модификации идентификационных данных), то есть риск нарушения целостности и/или конфиденциальности ПДн;
- ВОС8 – остальные риски.
Для удалённой первичной идентификации (регистрация нового пользователя в конкретной ИС в удалённом режиме – без личного присутствия) все указанные риски остаются, при этом риски 1, 3 и 5 будут существенно выше, чем при личной явке субъекта к регистратору [10, 11].
Заключение
На основе анализа международных стандартов рассмотрены типовые угрозы, возникающие в процессе первичной идентификации нового пользователя информационной системы. Показаны два подхода к оценке рисков первичной идентификации. Выделены типовые риски процесса первичной идентификации. Предложена шкала уровней тяжести последствий и шкала частот возникновения вероятных опасных событий. С помощью опроса экспертов по методу Дельфи получены оценки относительного размера ущерба и вероятностей реализации опасных событий для информационных систем закрытого типа (корпоративных систем) и открытого типа с обязательным требованием личной явки и без личной явки субъекта для регистрации его в качестве нового пользователя информационной системы.
Изложенные в статье положения позволяют построить модель угроз и модель нарушителя процесса регистрации новых пользователей для многих информационных систем. Проведенная система идентификации рисков дает возможность поставить задачу дальнейшего анализа рисков в рассматриваемой области с целью построения матрицы рисков процесса первичной идентификации новых пользователей.
Следующая статья Метод анализа технологических рисков первичной идентификации субъектов доступа