Прогресс систем аутентификации
Сегодня организации вынуждены выстраивать четкую схему управления доступом к корпоративным данным, в связи с чем такой аспект информационной безопасности, как строгая аутентификация с использованием смарт-карт технологий и токенов, становится неотъемлемой частью формирования защищенной информационной среды.
Так называемая "кража личности" за прошедший год стала угрозой №1 во всём мире. Фактически 2006-й год стал абсолютным чемпионом по объёмам хищения конфиденциальных данных вследствие несанкционированного доступа и преступной халатности компаний, по отношению к вверенной им персональной информации о клиентах и собственной коммерческой тайне. Громких прецедентов по краже приватных данных фактически с каждым месяцем становится всё больше. Вспомним хотя бы недавние сообщения в СМИ об утечке из базы данных Университета Калифорнии, когда 800 тыс. человек оказались под угрозой кражи личности. Или печальный пример компании Affiliated Computer Services (ACS), из-за кражи персонального компьютера из офиса которой пострадало около 1,4 млн. человек. Другая весьма неприятная история связана с организованной деятельностью преступной сети, которая развернула свою деятельность в штате Флорида. Мошенники использовали украденные персональные данные, чтобы получать кредиты в банках региона. С 2002 года незаконным способом преступники заработали около 12 млн. долларов.
Российская практика также изобилует прецедентами, связанными с утечкой приватной информации. В сентябре 2006 года в Интернете появились предложения купить базу данных 700 тыс. российских пользователей потребительских кредитов, что явно указывает на утечку конфиденциальной информации. Далее в продаже появилась новая база данных о потребительских кредитах "Банковского черного списка физлиц: Москва и Московская область", которая содержала данные о 3 тыс. неблагонадежных заемщиков банка "Первое ОВК", взявших кредиты в 2000-2003 годах.
Но в конце 2006 года произошло событие, буквально потрясшее всё банковское сообщество. Инфоромация о заёмщиках сразу 10 российских банков, среди которых "Русский стандарт", Импэксбанк, ХКФ-банк, Росбанк, Финансбанк, собранная в базу данных "Отказы по кредитам и стоп-листы банков России", содержащую 3 млн. записей (!) о просрочках и неплатежах по кредитам, а также отказах в их выдаче, появилась в свободной продаже. Аналитики Infowatch и других авторитетных агентств сразу высказали мнение о том, что характер записей в свободно продаваемой базе однозначно определяет преступника – это инсайдер, легальный сотрудник банка, имеющий доступ к данной информации.
Между тем, недавнее исследование компании Deloitte "2006 Global Security Survey", посвященное защите информации, показало, что 70% утечек приватных данных обходятся пострадавшему финансовому институту более чем в 1 млн. долларов каждая. Более того, специалисты Deloitte назвали кражу личности - "преступлением XXI века"… Однако каким бы громким не было название, заставит ли это банки и другие отраслевые организации обратить внимание на проблему защиты данных, пока сказать сложно.
Очевидно одно: незаконное добывание и последующая продажа персональных данных – это серьёзная проблема, которую необходимо решать. И чем быстрее, тем лучше, пока она не приняла ещё более пугающие масштабы, грозящие не только миллионными финансовыми потерями и многотысячными извинениями перед своими клиентами, но и попросту в уходом с рынка компаний, вовремя не позаботившихся о защите данных и о своей репутации.
Доступ закрыт на ключ.
Тема Identity & Access Management (IAM) - организации системы централизованного управления аутентификацией и доступом пользователей в последнее время стала одной из самых "горячих" и активно обсуждается на всех конференциях и ИТ-форумах. Показательным в этом плане является прошедшее в конце 2006 года крупное технологическое мероприятие Microsoft "Платформа-2007", где особое место уделялось проблеме аутентификации, как таковой, и применению персональных аппаратных идентификаторов при доступе (в том числе, удаленном) к информационным системам.
Многие компании ошибочно полагают, что развёртывание инфраструктуры IAM на основе системы строгой аутентификации с использованием токенов часто связано с ресурсозатратностью. Это в корне неверно. В сравнение с той же системой запоминаемых паролей (объяснить живучесть которой можно лишь консерватизмом компаний её применяющих и примитивностью использования) применение токена - это существенная экономия.
Пароли же, напротив, требуют больших вложений, поскольку их утеря обходится компании весьма недешево. По данным, которые недавно представила Burton Group, любое обращение в службу поддержки обходится в $25 - $50, и 35% - 50% из этих обращений связаны с "забываемостью" сложных паролей . Если учесть ещё и задержку в рабочем процессе, связанную с утратой пароля, то ущерб становится очевидным. Вспомнив традиционные недостатки паролей, такие как обязательная многосимвольность, использование нескольких (иногда до 10-15) паролей в работе и отсутствие каких бы то ни было гарантий в области безопасности, вывод напрашивается сам собой.
Внедрение системы строгой аутентификации обеспечивает возможность для доверенных пользователей получать доступ к конфиденциальным данным в любое время и в любом месте. Обладая необходимыми средствами безопасности, организация может предоставлять пользователям доступ к программным средствам и услугам, что в ином случае было бы сопряжено с большим риском или было бы просто невозможно с технологической точки зрения.
Фактически электронный ключ – USB-устройство или смарт-карта – это гарантия того, что пользователь всегда однозначно идентифицируем. Следовательно, риск кражи данных существенно снижается, а в случае инцидента – нарушитель будет безошибочно выявлен.
Строгая аутентификация предполагает использование двух или более дополнительных факторов. Наличие физического электронного ключа – токена или смарт-карты и знание его PIN-кода подтверждают личность его владельца и его права на доступ. В настоящее время, на рынке представлено множество токенов, основанных на разных технологиях и выполненных в различных форм-факторах.
Токен полифункционален, его архитектура позволяет обеспечить безопасный доступ к компьютеру, корпоративной сети, ресурсам Интернет, порталам и приложениям. Токен реализует защиту портативных и настольных компьютеров, шифрование файлов, управление учетными данными пользователей и защиту передаваемых данных.
Использование токенов позволяет организациям сократить расходы на предотвращение потенциальных нарушений в сфере безопасности. К числу таких правонарушений относятся: нарушение правил пользования данными и сетевыми ресурсами со стороны инсайдеров, хищение данных с портативных компьютеров и прочие действия, подрывающие нормальный режим функционирования компании. Аутентификация устанавливает барьер между законным и незаконным использованием электронных ресурсов компании. Как следствие, снижается риск сбоев и ошибок, спровоцированных халатными или умышленными действиями пользователей.
Таким образом, система IAM на основе технологии двухфакторной аутентификации в масштабе компании позволяет решить следующие подчас трудоёмкие задачи:
- организацию систем аутентификации и авторизации участников корпоративной сети и многочисленные приложения,
- работу систем управления доступом пользователей корпоративной сети и организацию систем управления внешним доступом;
- организацию систем управления Web- доступом пользователей,
- организацию и модернизацию VPN-соединений,
- формирование системы защищенных соединений с корпоративными ресурсами из недоверенной среды (например, из Интернет-кафе).
Заботясь о сохранности данных, многие организации пришли к использованию токенов для аутентификации в сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы и защитой почтовых сообщений. Кроме того, некоторые токены для аутентификации – в частности, реализованные на основе смарт-карт – позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам и данным.
Развертывание инфраструктуры токенов является базовой платформой для дополнительных защитных мер, таких как безопасный доступ к информационным ресурсам, контроль физического доступа и контроль доступа к приложениям.
Так как приобретение токенов является долгосрочным вложением (особенно если в перспективе организация планирует перейти на использование инфраструктуры открытых ключей - PKI), следует задуматься о том, чтобы система безопасности была как можно более масштабируемой и гибкой. Только при этом условии она будет удовлетворять не только текущим, но и прогнозируемым требованиям безопасности.
Почему рынок аутентификации будет развиваться. Основные причины и ориентиры на 2007 год.
Однако, не смотря на все технологические преимущества и открывающиеся бизнес-перспективы, стоит учесть, что массовое внедрение систем строгой аутентификации находится в серьёзной зависимости от зрелости рынка, высокого уровня ИТ-культуры и стабильности экономики в целом.
В деловой сфере европейских стран и США уже сформировалось понимание того, что безопасность напрямую влияет на эффективность бизнеса, сокращение расходов, соблюдение современных стандартов, обеспечение эффективной рабочей среды и привлечение клиентов. А как обстоят дела в России относительно данных вопросов?
Укрепление нормативной базы.
Наличие адекватных, реально работающих соблюдаемых гражданами законов является показателем уровня развития того или иного общества и его культуры. При этом во главу угла законодательства всего цивилизованного мира всегда ставились и ставятся интересы граждан того или иного государства и их защита. В связи с этой простой логикой понятно, что законы, призванные охранять приватные данные человека, обеспечивать их неприкосновенность и защиту перед несанкционированным использованием, являются приоритетом номер один развитого правового государства.
Россия сделала семимильный шаг впёред в этом направлении, когда Президент РФ В. В. Путин в июле 2006 года подписал закон N152-ФЗ "О персональных данных". В сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся приватные сведения российских граждан. Долгожданный закон требует, чтобы каждая организация (именуемая в законе - Оператор), владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные данные были использованы без соответствующего разрешения законного владельца. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Несмотря на то, что многие оценивают ФЗ РФ "О персональных данных", как излишне лояльный, первое исследование, проведённое среди отечественных ИТ-специалистов, показывает, что принятия данного нормативного акта ждали и восприняли с воодушевлением.
Речь идёт об исследовании аналитиков InfoWatch совместно с SecurityLab, опросивших посредством анкетирования 300 российских ИТ-специалистов. По итогам анализа, подавляющее большинство респондентов (94%) убеждено, что России был просто необходим закон "О персональных данных". Беззащитность приватной информации и постоянные утечки баз данных вызывают очень серьезную озабоченность респондентов. В то же время, 40% опрошенных профессионалов не верят, что закон будет работать на практике и причину видят в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%).
Текущие требования закона большинством голосом (79%) признаны вполне приемлемыми для реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.
Дальнейшее развитие Закона предполагает формирование уполномоченного органа, который будет следить за соблюдением требований закона "О персональных данных" и опубликует официальный стандарт по безопасности приватной информации. Чем скорее это будет сделано, тем скорее Закон станет рабочим в полном смысле слова, что создаст необходимую базу для распространения средств персонализированного доступа, как основы информационной безопасности.
Укреплению нормативной базы в области безопасности будет способствовать принятие стандартов ISO 17799 и ISO 27001 в России. Если в 2007 году ISO 17799 и 27001 станут ГОСТ’ми – российский рынок информационной безопасности получит мощный "драйвер" для расширения, укрупнения и развития. Их принятие ознаменует начало "бума сертификации", что естественным образом положительно отразится на прозрачности бизнеса компаний и будет способствовать формированию открытых рыночных отношений – и внутренних, и внешних.
Принятие данных стандартов станет прогрессивной движущей силой для дальнейшего роста сегмента рынка 3А. При наличии необходимых политик информационной безопасности в организациях, отказ от классической системы запоминаемых паролей в пользу технологий Simple Sign On (SSO) неизбежен. В свете вероятного увеличения числа преступлений, связанных с хищением персональных данных, уже не только банки и финансовые учреждения предпочтут парольному доступу более надежные методы аутентификации с помощью технологий смарт-карт и/или технологий одноразовых паролей в системах, использующих удаленный доступ.
Распространение сервисов ЭЦП, создание упорядоченной структуры удостоверяющих центров в России.
Ещё одним ярким моментом конца 2006 года можно назвать создание Головного удостоверяющего центра города Москвы (ГУЦ), который стал стратегически важным звеном для создания российского национального пространства доверия, в основу которого закладываются лучшие демократические принципы и свободы трансграничного информационного обмена.
Важной задачей ГУЦ является объёдинение имеющихся на сегодняшний день внутри региона разрозненных удостоверяющих центров и консолидация их в единую систему доверия, основанную на технологиях PKI.
Технология PKI, базирующаяся на использовании сертификатов, определяющих полномочия пользователей, по существу является способом безопасного распределения публичных (открытых) ключей. При этом закрытые ключи всегда должны оставаться закрытыми. Если злоумышленник может получить закрытый ключ какой-либо из сторон, участвующих в информационном обмене, это значит, что он легко может расшифровать все сообщения, посланные этой стороне. Кроме того, он может подписать любое сообщение от имени легального пользователя, и успешно исполнить его роль в информационном обмене. Соответственно такое важное свойство ЭЦП, как неотказуемость, будет утрачено. Понятно, что программный способ хранения закрытых ключей (например, на диске компьютера, являющегося потенциально небезопасной средой) ввиду их многочисленных уязвимостей (необходимость дублирования на каждом используемом компьютере, уязвимость для вредоносных программ, зависимость от среды функционирования и др.) не в состоянии обеспечить нужный уровень защиты закрытых ключей от компрометации.
Признанной во всем мире альтернативой программным хранилищам, защищенным паролями, являются аппаратные токены, обладающие криптографическими возможностями и использующие технологии смарт-карт. Они разработаны специально для надежного противостояния различным типам атак и обеспечивают максимально высокий уровень безопасности. Именно поэтому в удостоверяющих центрах, в том числе и Головном, для хранения закрытых ключей используются защищенная память токена, из которой они не могут быть извлечены.
Развитие инфраструктуры УЦ даст новый стимул к расширению рынка и востребованности токенов в России. При этом те компании, который использовали токен для аутентификации, смогут использовать его ещё и для работы с ЭЦП, не тратя на приобретение новых устройств ни копейки.
SSO – решение проблемы "слабых" паролей.
С вступлением России в ВТО очевидно, что требования к защите информационных систем будут только повышаться, а значит информационная инфраструктура предприятий будет усложнятся. Постепенное наращивание ИТ-систем приводит к росту числа приложений, которые приходится использовать в работе, а соответственно, росту числа паролей к ним, которые приходится запоминать. Учитывая то, что пароли должны быть всё-таки сложнее года рождения или клички собаки, становится очевидно, что каждый раз припоминать комбинацию из десяти различных символов, букв и цифр достаточно проблематично. Технология Simple Sign On позволяет отказаться от запоминания и надёжно хранить в памяти электронного ключа значения, вводимые в поля практически любых Windows-приложений (имена и пароли для бухгалтерских программ, архиваторов, почтовых программ и т.п.), автоматически подставлять их в окна-запросы приложений и управлять ими.
Таким образом, технология SSO заметно экономит время пользователей и обслуживающего персонала, позволяет сократить расходы и способствует более продуктивной работе. По некоторым данным внедрение SSO позволяет экономить до 30% расходов на поддержку системы ИБ в организациях, поэтому, планируя развитие ИТ внутри компании, придётся это учитывать.
Мобильные устройства и удаленный доступ.
По данным Cnews уже в третьем квартале 2006 года объемы продаж ноутбуков достигли отметки в 1 млн., что свидетельствует о 50% росте даже на тот момент. Это событие прямо говорит о популярности мобильных технологий и расширение использования удаленного доступа и беспроводных сетей. Между тем, ноутбуки и другие мобильные компьютеры наиболее уязвимы для краж и утечки информации. Вопрос защиты удаленных каналов связи становится всё более острым.
Понятно, что доступ к корпоративным ресурсам компании, в том числе и финансовым, должен быть защищен. Сегодня компаниям необходимо сосредоточиться на тех решениях, которые обеспечивают необходимый уровень безопасности при удаленном подключении к VPN и сети Интернет, а также защищают компьютеры и данные сотрудников в то время, пока они находятся в командировке или в отпуске.
Даже если в компаниях развернута инфраструктура IAM на основе аппаратных токенов, воспользоваться ими из "недоверенной среды" - Интернет-кафе или точек мобильного доступа - можно далеко не всегда, ведь это требует подключения к USB-порту и установки специального программного обеспечения. В этом случае для реализации процесса строгой аутентификации и подтверждения прав доступа конкретного пользователя можно использовать гибридные электронные ключи со встроенным генератором одноразовых паролей (OTP - One Time Password). В зависимости от конкретных задач эти устройства используют различные методы аутентификации, как в подключенном к USB-порту состоянии, так и в автономном режиме. К таким комбинированным токенам относятся так же USB-ключи со встроенным модулем flash-памяти, которые помимо возможностей аутентификации предоставляют удобный способ хранения данных и драйверов устройств на самом токене.
Таким образом, пользователи могут в любое время и в любом месте получить доступ к необходимым данным и приложениям. С точки зрения бизнес-возможностей (особенно актуальных для аутсорсинг-партнёров) совместная работа реализуется оперативно, упрощается связь с клиентами и увеличивается общая производительность. Возможностью удаленного доступа могут пользоваться доверенные лица, которые вместе будут составлять единое интегрированное сообщество сотрудников, клиентов, поставщиков и партнеров. Это особенно актуально для использования в различных web-сервисах, виртуальных офисах, использование программного обспеспечения, как услуги, а так же в так называемых социальных сетях, Интернет-сообществах, специализированных блогах и др. Внутри этой защищенной среды пользователи смогут пользоваться всевозможными программными средствами и услугами, что в ином случае было бы сопряжено с большим риском или было бы просто невозможно с практической точки зрения.
На правах заключения
В преддверье вступления России в ВТО многие компании обеспокоены возможной сменой "правил игры", перераспределением сил на рынках и нагнетанием конкурентной обстановки. Если раньше сертификация на соответствие международным стандартам была обязательной лишь для компаний, планирующих самостоятельно выходить на международные рынки и конкурировать с иностранными игроками на равных, то сегодня – это условие сохранения своих позиций на российском рынке.
В ходе возрастания правовой зрелости законодательных актов компании вынуждены искать пути снижения "непрофильных" затрат с тем, чтобы иметь возможность сосредоточиться на наращивании ключевых конкурентных преимуществ, в том числе репутации, напрямую связанной с обеспечением гарантированной защиты информации от любого несанкционированного воздействия или утечки.
В этой связи организации стремятся найти единое всеобъемлющее решение, предпочитая его бесконечным комбинациям различных систем и технологий. Это решение должно быть максимально совместимым с различными устройствами аутентификации, приложениями и средствами управления. Компании заинтересованы в том, чтобы получить как можно большую отдачу от своих инвестиций и при этом пользоваться наиболее приемлемым и удобным для всех сотрудников решением. Иными словами, организации предпочитают единое быстроокупаемое устройство, которое соединяет в себе наибольшее число функций. Именно таким устройством является токен и построенная на базе аппаратной аутентификации система Identity & Access Management и прежде всего потому, что это - эффективная платформа для решения не только текущих, но и прогнозируемых потребностей национальной российской ИТ-инфраструктуры.