25.12.2009

Ролевые игры: аутентификация и «человеческий фактор» в банковских системах

Денис Калемберг, Ника Комарова, cnews.ru

Денис Калемберг, Ника Комарова, cnews.ru


Сегодня вопрос обеспечения строгой аутентификации в банковских учреждениях стоит как никогда остро. С одной стороны над банками довлеет закон «О персональных данных», где немалая роль отведена вопросу защиты и контроля доступа. С другой – общемировые финансовые коллизии обострили угрозу утечки информации, возведя её в квадрат за счёт массовых увольнений первого полугодия.


Известная аксиома «информация – это деньги» принимает буквальное значение в информационных системах банковских организаций. Фактически каждая цифра, хранящаяся в многочисленных базах данных, здесь имеет реальный денежный эквивалент. Для банка критично четкое определение ролей сотрудников, имеющих права на выполнение операций со счетами. Отдельным пунктом стоит требование по соблюдению правила «двух рук», когда каждая финансовая операция (перевод денег, изменение реквизитов и т.д.) должна выполняться одним сотрудником, а подтверждаться – другим. И все же в такой системе есть слабое звено. Им является метод подтверждения того, что сотрудник, предоставивший аутентификационные атрибуты для доступа в систему, является именно тем, за кого себя выдаёт.

Я – не я, и лошадь не моя

Несмотря на внушительное количество статей и усиленную пропаганду специалистов по информационной безопасности по обязательной работе с персоналом, на практике лишь немногие банки тратятся на тренинги и устраивают стресс-проверки относительно выполнения требований политик ИБ. Свод этих политик, единожды утвержденный начальством, скорее всего, заперт в сейфе службы безопасности и не является в общепринятом смысле «рабочим» документом.

Прописная истина для всех, кто знаком с социальной инженерией: «хочешь узнать пароль – поищи стикер около монитора» - к сожалению, работает. В том числе, и в банках. Как правило, сам логин секретной информацией не является, а пароль каждый второй сотрудник банка хранит если не под клавиатурой, то в ящике стола. Иногда, придя в банк к открытию офиса, можно наблюдать, как операционистка звонит своей опаздывающей коллеге с просьбой сообщить ее пароль, потому что иначе никак нельзя открыть операционный день и начать работу. Пароль легко сообщается сотруднику ИТ-подразделения, которому надо несколько раз перезагрузить настраиваемый компьютер. Или коллеге на время отпуска - на всякий случай. Все это, конечно, рабочие моменты, которые происходят ежедневно в сотнях банков, и не приводят к критическим последствиям, но бывают  исключения. Гарантий того, что завтра сотрудник не окажется в критической ситуации, нет. Если она потребует от него быстрого решения и быстрых денег – одним из выходов может стать кража средств у своего работодателя.

Ежедневно банками совершается по нескольку сотен тысяч проводок: осуществление денежного перевода в любой валюте на счет фирмы «под закрытие» может быть замечено не сразу, а это оставляет  шанс обналичить перевод. И дело в шляпе. Понятно, что отважившийся на противозаконную операцию инсайдер не будет совершать кражу под своей учетной записью. Для этого, не прилагая особых усилий, можно узнать пару чужих паролей и осуществить требуемый перевод «от имени» их владельцев. То есть выдать себя за другого легального пользователя системы, исполнить его роль в проведении операции и остаться неузнанным – это и есть основная цель инсайдера. Если система защиты и контроля доступа в банках допускает хотя бы минимальную возможность подобной операции, то её претворение в жизнь – это лишь вопрос времени.

Чем заняты «безопасники»?

Несмотря на жесткость в постановке вопроса, ответ не так очевиден, как кажется. Примитивный способ аутентификации с использованием пары «логин-пароль» является наиболее простым, дешевым и, как следствие, распространенным методом доказательства «подлинности» субъекта аутентификации в большинстве информационных систем. Если усилить требования к длине и сложности пароля, сотрудник начнет записывать его на бумажке. К эскалации проблемы приводит тот факт, что  у каждого сотрудника крупной организации наберется с десяток паролей к разным системам. Запомнить их все не каждому по силам.

Эксперты Positive Technologies в исследовании «Анализ проблем парольной защиты в Российских компаниях» проанализировали 185 тысяч паролей, используемых российскими пользователями для доступа к различным информационным системам, порталам, базам данных. Отчет содержит статистику по паролям, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, выполненных экспертами компании Positive Technologies в 2007-2009 году. В зависимости от типа выполняемых работ были задействованы различные методики компрометации учетных записей, в том числе и с применением специализированных сканеров безопасности, словарных атак и инструментальных аудитов.

Основные «слабые» места парольного способа аутентификации

Использование нестойких паролей, низкое качество парольных комбинаций. Как показало исследование, статистика используемых российскими пользователями паролей значительно отличается от зарубежной, опубликованной в последних западных исследованиях. Российский список паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). Показательно, что из 185 тысяч проанализированных паролей не было обнаружено ни единого смешанного пароля, использующего латинские и кириллические символы.

Несоблюдение элементарных требований к парольным комбинациям подвергает риску всю систему корпоративной информационной безопасности. Согласно исследованию, вероятность компрометации пароля из 4-ех символов равна ~97%, а при условии использовании 9-тисимвольного пароля этот показатель почти в 6 раз меньше и составляет ~17%. Эту проблему могло бы снизить внедрение несложных политик безопасности, не позволяющих применять пароли длиной менее 8-10 символов. Добавление правил о том, что пароль не должен содержать комбинации из соседствующих символов и символов одного регистра, позволяет существенно повысить уровень защиты доступа. Однако, Как уже было указано выше – порог запоминаемости лежит в зоне 4-5 паролей, если их больше – принятые меры по безопасности станут стимулом для их обхода.

Халатное отношение к вопросам безопасности со стороны администраторов. Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают «словарные» пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе. Подбор такого пароля методом словарной атаки, как правило, не составляет особого труда и не занимает много времени. При этом, пароль администратора, как привилегированного пользователя, позволяет иметь фактически неограниченный доступ ко всем типам данных, включая конфиденциальную информацию, персональные данные сотрудников и документы, содержащие коммерческую тайну. Риск, которому подвергает компанию рядовой пользователь, применяя нестойкий пароль, безусловно, высок. Но он не идёт ни в какое сравнение с тем ущербом, который может понести компания вследствие несанкционированного доступа с последующей утечкой конфиденциальных данных «от рук» администратора.

Несоответствие паролей стандартам безопасности. Следуя актуальным тенденциям перехода российских компаний кредитно-финансового сектора к применению международных стандартов, в отчете рассматривается проблема использования паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). Как известно, PCI DSS был создан в связи с ростом краж и утечек конфиденциальной информации, в частности, реквизитов доступа к счетам пользователей платёжных систем. Данный стандарт является обязательным во всем мире, в том числе на территории стран CEMEA куда входит и Россия. Действие Стандарта PCI DSS распространяется на всех тех, кто передает, обрабатывает и хранит данные держателей карт (VISA, MasterCard, American Express).По результатам исследования Positive Technologies, 74% паролей, используемых в корпоративном секторе, не соответствуют уровню безопасности, декларируемому PCI DSS. Из этого следует, что теоретически больше половины финансово-кредитных организаций, попавших в базу исследования, не смогли бы пройти обязательную ежегодную процедуру аудита на соответствие PCI DSS, а это повлекло бы за собой штрафные санкции со стороны международных платежных систем.

Одна из распространенных проблем, которые обнаруживают специалисты Positive Technologies в ходе тестирований на проникновения в соответствии с требованиями стандарта PCI DSS (Information Supplement: Requirement 11.3 Penetration Testing) в компаниях кредитно-финансового сектора, являются слабые пароли пользователей для доступа к промышленным СУБД и широкое использование системных паролей «по умолчанию». Несмотря на критичность данных систем, промышленные СУБД в компаниях кредитно-финансового сектора работают по принципу «поставил и забыл», в том числе и в парольной политике.

Резюмируя результаты исследования, можно утверждать, что уровень защищенности корпоративных информационных систем отечественных компаний по-прежнему остается очень низким. Более того, он в значительной степени зависит от «человеческого фактора». Пренебрегая элементарными политиками безопасности, службы безопасности оставляют на совести пользователя обеспечение защиты данных, с которыми тот работает. Немного улучшают ситуацию регулярные семинары для сотрудников, направленные на повышение их грамотности в вопросах информационной безопасности, с обязательным «запугиванием» на тему ответственности за разглашение пароля и т.д. Любые внезапные проверки просто заставят работников отлепить стикеры с паролями от монитора и поместить их под клавиатуру, ну или, в лучшем случае – в ящик стола.

Аутентификация: строгий подход

Следуя постулатам комплексного подхода к обеспечению информационной безопасности, понятно, что организационные мероприятия необходимо дополнять соответствующими техническими мерами. Отказ от слабых паролей в пользу двухфакторного метода аутентификации на базе аппаратных токенов (USB-ключей или смарт-карт) признан наиболее оптимальным способом решения данной задачи.

Двухфакторный способ подтверждения подлинности аутентификационных реквизитов базируется на следующих факторах – «то, что я имею» и «то, что я знаю». Для того, чтобы получить доступ в систему, пользователь должен во-первых, предъявить нечто – обычно токен или смарт-карту, подтвердив факт обладания, а во-вторых доказать, что этот токен принадлежит ему, указав PIN-код к нему.

Подобные технологии позволяют повысить уровень информационной безопасности в организации и существенно облегчить жизнь ее сотрудникам. На одном токене можно сохранять пароли ко всем системам и приложениям (так называемая политика «единого входа» - Single Sign On), с которыми ежедневно приходится работать пользователю.

Опыт показывает, что к физическому носителю парольной информации сотрудники компаний  относятся во много раз ответственнее, чем к абстрактному паролю. Психологическая тонкость состоит в том, что токен выдается под расписку, сотрудник несёт за него материальную и, своего рода, моральную ответственность. Кроме того, токен персонализирован, а, следовательно, все действия с его использованием будут выполняться «от лица»  владельца токена и могут быть отслежены в системе.

В правильно спроектированную систему двухфакторной аутентификации можно заложить и другие полезные возможности. Например, имплантировать в токены или смарт-карты RFID-метки для прохода через систему контроля и управления доступом (СКУД), что позволит обеспечить политику «чистых экранов», когда пользователь не может выйти из помещения (покурить, попить чаю и т.д.), не извлекая токен или смарт-карту из компьютера. А в момент извлечения операционная система блокируется до следующего подключения с вводом PIN-кода.

Terra Inсognita - недоверенная среда

Также не стоит сбрасывать со счетов и возможность удаленного доступа к информационным ресурсам для мобильных сотрудников. Обеспечение аутентификации из недоверенной среды – нетривиальная задача для банка. Проверить паспортные данные у человека, который пытается получить доступ по VPN невозможно, впрочем, как и проконтролировать наличие вовремя обновленного антивирусного ПО на его рабочей станции, а так же качество соблюдения банковских регламентов по безопасности. Риск кражи пароля при удаленном сценарии доступа возрастает на порядок: для его перехвата в ходе сеанса связи по открытым каналам используются самые различные средства, начиная от «шпионского» ПО и заканчивая атаками типа «человек-по-середине». Обеспечить должный уровень безопасности в данной ситуации можно двумя способами: с помощью расширения функциональных возможностей уже используемых внутри банковской организации USB-ключей, либо за счет аутентификации пользователей при помощи одноразовых паролей (ОТР, One-Time Password).

В первом случае аутентификация будет максимально безопасной, поскольку она основана на применении аппаратной криптографии, реализованной в USB-токене. Основное неудобство заключается вт необходимости установки драйверов, что может оказаться невозможным при работе из Интернет-кафе, гостиницы, с коммуникатора и т.д. В ближайшее время, правда, планируется выход на рынок токенов, которые не требуют установки драйверов, однако эта технология пока не и отработана потребует «обкатки», прежде чем стать массовой.

Во втором случае все несколько проще: сотруднику выдается специальное устройство - генератор одноразовых паролей (OTP-токен) - оснащенное кнопка и небольшим дисплеем на корпусе. При нажатии на кнопку устройство выдает последовательность из шести цифр, которую пользователь вводит в специальную Web-форму для пароля. В целях усиления надёжности такого способа аутентификации можно совместить одноразовый пароль с запоминаемой частью, тогда даже если некто украдет устройство, он не сможет получить доступ к данным. Перехваченная или подсмотренная злоумышленником последовательность чисел, созданная при нажатии на кнопку устройства, также ничего не даст, так как действительна лишь единожды.

Подведем итоги

Примером успешного перехода на средства строгой аутентификации может служить опыт ряда кредитно-финансовых учреждений,. «В условиях недостаточного экономического роста необходимо сохранять свою конкурентоспособность, минимизируя широкий спектр рисков, к числу которых относится возможность обхода сотрудниками установленных политик информационной безопасности, - комментирует ситуацию Сергей Коханько, начальник отдела информационной защиты и безопасности, «Первый Республиканский Банк», - Снижение влияния «человеческого фактора» за счет внедрения технологичных и прозрачных в управлении средств аутентификации позволило нам решить ряд задач в этой области».

Недавно проведенное исследование «Аналитического Банковского Журнала», в котором приняли участие эксперты из Промсвязьбанка, Россельхозбанка, Раффайзенбанка, Коммерцбанка (Евразия), Банка «Возрождение» и других, токены  признаются одним из лучших средств обеспечения контроля доступа к информационным ресурсам. Применение аппаратных токенов для обеспечения безопасного доступа к системам и приложениям позволяет свести к нулевому показателю случаи разглашения и использования чужой учётной записи для доступа к компьютерам и данным. «Аппаратные средства строгой аутентификации являются наиболее действенным и одновременно гибким способом противодействия несанкционированной деятельности, однако, при их внедрении банк должен будет решить большое число технических и организационных вопросов, а также отдельный финансовый вопрос по затратам на приобретение USB-токенов» - считает Иван Янсон, заместитель руководителя службы информационной безопасности «Промсвязьбанка».

В резюме исследования АБЖ делает вывод о том, что наиболее широкие перспективы на рынке средств аутентификации открываются для производителей токенов с аппаратной реализацией российской криптографии и интеграцией в инфраструктуру открытых ключей, что обеспечивает высокий уровень защиты в банковских системах и соответствует требованиям регуляторов – это особенно актуально в свете приближения известных сроков.