Предварительный анализ рисков первичной идентификации субъектов доступа
Экспертная статья Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."
Предложена концепция предварительного анализа рисков первичной идентификации субъектов доступа. Концепция базируется на основе анализа международных стандартов по идентификации и аутентификации.
Введение
В связи с интенсивным развитием национальных программ в рамках Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы [1] и соответствующего роста информационных систем вопрос управления доступом пользователей, особенно в удаленном режиме, становится всё более ответственным. Одной из самых сложных задач при этом является идентификация субъекта, которому следует предоставить доступ к информационным ресурсам, особенно если ресурс содержит конфиденциальную информацию. Фактически для этого надо собрать и сопоставить электронные образы субъекта из разных информационных систем с официальными свидетельствами его идентичности, которые физическое лицо обычно предоставляет для идентификации (например, паспорт, удостоверение личности или водительское удостоверение).
В настоящее время отечественная нормативно-правовая база по регулированию процессов идентификации и аутентификации отстает от международной и нуждается в модернизации в части технических требований [2, 3]. Некоторые предложения по совершенствованию нормативной базы изложены в работах [3–5]. К сожалению, в нашей стране нет ни одного реализованного проекта по созданию цифровых отпечатков граждан; последняя попытка с внедрением универсальной электронной карты, как и предыдущие, закончилась неудачей. Тем не менее, в последние два-три года инициированы проекты создания Единой биометрической системы и совершенствования Единой системы идентификации и аутентификации для удалённой идентификации граждан. Например, согласно Федеральному за- кону 482-ФЗ с 1 июля 2018 года банки "вправе открывать и вести счета (вклады) клиентов – физических лиц, предоставлять кредиты клиентам – физическим лицам, а также осуществлять переводы денежных средств по таким счетам по их по-ручению без их личного присутствия после проведения идентификации клиентов – физических лиц путём установления и подтверждения достоверности сведений о них, определённых настоящим Федеральным законом, с использованием единой системы идентификации и аутентификации и единой биометрической системы" [6]. В связи с развитием этих проектов и национальной программы цифровой экономики в целом весьма актуальным становится вопрос о доверии к результатам цифровой идентификации и пределах применимости методов удалённой идентификации субъектов доступа. В работе [7] предложена основанная на анализе международных стандартов методика формирования иерархии доверия к результатам идентификации и синтезированы критерии доверия к таковым.
Целью данной работы является анализ международных стандартов для выработки концептуального подхода к оценке рисков электронной идентификации граждан применительно к задаче управления доступом к информационным ресурсам различного назначения.
Как показано в работе [7], идентификация разделяется на первичную, проводимую однократно в процессе регистрации, и вторичную, которую зарегистрированный в информационной системе пользователь проходит при каждой попытке доступа. Сначала рассмотрим угрозы первичной идентификации (ПИ), потенциально возникающие в ходе регистрации (напомним, что здесь участниками обмена информацией выступают заявитель, регистратор и проверяющая сторона).
Типовые угрозы первичной идентификации
Пространство угроз для процессов, связанных с управлением доступом пользователей, может быть весьма широким. Основываясь на анализе международных стандартов [8–14], из общего пространства угроз выделим типовые, относящиеся к участникам процесса регистрации, рассмотренным в работе [7].
Так, со стороны заявителя возможна угроза "маскарада" – попытки идентификации под чужим именем с последующим отказом от факта регистрации. В табл. 1 приведены варианты указанных угроз и методы их парирования.
Перечислим типовые угрозы действиям регистратора:
- неполнота или недостоверность данных, которые собраны на основе предъявленной заявителем информации;
- недостоверность подтвержденных данных на основе предъявленной заявителем информации (представляет собой один из самых опасных случаев мошенничества, когда заявитель представляет проверенные данные другого лица как свои, а регистратор получает и принимает их);
- угроза раскрытия личной информации пользователей, в том числе персональных данных (ПДн), злоупотребление личной идентификационной информацией в системе менеджмента идентификационных данных для бизнес-целей, отличных от тех, которые идентифицированы в документально оформленных правилах работы регистратора;
- атаки класса "человек посередине" (МitМ), в частности с целью подмены официального подтверждения или источника (органа выдачи) официальных свидетельств;
- ошибки связывания идентификационных данных с заявителем;
- наличие значительных ошибок первого и второго рода.
Перечисленные угрозы и методы их парирования представлены в табл. 2.
Также приведем угрозы проверяющей стороне:
- атака на каналы передачи данных;
- фальсификация источника подтверждения.
Методы парирования этих угроз состоят в применении взаимной аутентификации сторон и защиты каналов передачи данных.
Базируясь на анализе перечисленных типовых угроз, можно составить модель угроз применительно к конкретной ИС и реализованным в ней бизнес-процессам. При этом перечень угроз может быть расширен исходя из анализа рисков. Например, при удалённой регистрации (без личной явки нового пользователя), как минимум, к перечисленным выше угрозам добавятся предъявление муляжа при снятии биометрических характеристик, возможность подделки документов (поскольку предъявляются не оригиналы, а копии официальных свидетельств), отказ от регистрации, невыполнение обязательств по ответственности в случае конфликтных ситуаций и др.
На основе полученной для определённой ИС модели угроз может быть построена модель нарушителя и модель защиты. При наличии статистики инцидентов необходимо выявлять актуальные и потенциальные уязвимости, принимая необходимые меры по их парированию.
Стандарт [15] рекомендует до анализа рисков провести их идентификацию. По ее итогам выявляется вероятность наступления наиболее опасных событий. По результатам анализа в ряде случаев можно подключить механизм управления рисками, пример которого для аутентификации приведен в работе [18].
Основные категории рисков идентификации при регистрации нового пользователя информационной системы
На базе проведенного выше анализа угроз выделим три основные категории угроз для процесса регистрации: выдача претендентом себя за другое лицо (субъект не является тем, за кого себя выдает), отказ легального пользователя от регистрации и, наконец, компрометация инфраструктуры создания и подтверждения идентификационных данных. Более подробно рассмотрим угрозы выдачи себя за другое лицо и отказа от участия в регистрации, поскольку вопрос угроз для инфраструктуры хорошо изучен и решается с помощью традиционных мер защиты информации (например, защита от вторжений, ведение учета, независимый аудит и др.).
Основываясь на вышеизложенном и личном опыте автора, сформулируем ряд наиболее вероятных и опасных рисков первичной идентификации, связанных с категорией "субъект не является тем, за кого себя выдаёт", обозначив их вероятными опасными событиями (ВОС):
- ВОС1 – риск подмены владельца (предъявляются подлинные документы на другого субъекта: схожесть фотографии, грим-маскировка);
- ВОС2 – риск нарушения подлинности предъявленных документов и свидетельств (предъявляются поддельные документы с фотографией и другими данными заявителя);
- ВОС3 – риск отказа зарегистрированного пользователя от факта регистрации;
- ВОС4 – риск недостоверности идентификационной информации, в том числе подтвержденной в процессе верификации;
- ВОС5 – риск ошибок связывания цифровой идентификационной информации, ассоциированной с "цифровым образом" субъекта, с физической личностью субъекта;
- ВОС6 – риск ошибок идентификационных данных, в частности, статистические ошибки 1-го и 2-го рода (характерны при наличии значительных по объему идентификационных данных в БД, а также при использовании биометрии с механизмом сравнения на сервере);
- ВОС7 – риск доступа к личным данным неуполномоченного лица (вероятность раскрытия и/или модификации идентификационных данных), то есть риск нарушения целостности и/или конфиденциальности ПДн;
- ВОС8 – остальные риски.
Для удалённой первичной идентификации (регистрация нового пользователя в конкретной ИС в удалённом режиме – без личного присутствия) все указанные риски остаются, при этом риски 1, 3 и 5 будут существенно выше, чем при личной явке субъекта к регистратору [10, 11].
Заключение
На основе анализа международных стандартов рассмотрены типовые угрозы, возникающие в процессе первичной идентификации нового пользователя информационной системы. Показаны два подхода к оценке рисков первичной идентификации. Выделены типовые риски процесса первичной идентификации. Предложена шкала уровней тяжести последствий и шкала частот возникновения вероятных опасных событий. С помощью опроса экспертов по методу Дельфи получены оценки относительного размера ущерба и вероятностей реализации опасных событий для информационных систем закрытого типа (корпоративных систем) и открытого типа с обязательным требованием личной явки и без личной явки субъекта для регистрации его в качестве нового пользователя информационной системы.
Изложенные в статье положения позволяют построить модель угроз и модель нарушителя процесса регистрации новых пользователей для многих информационных систем. Проведенная система идентификации рисков дает возможность поставить задачу дальнейшего анализа рисков в рассматриваемой области с целью построения матрицы рисков процесса первичной идентификации новых пользователей.