«Взломать» можно любую систему защиты; важно, насколько быстро

26 февраля 2013

Интервью с Дмитрием Романовым, заместителем директора департамента по работе с ключевыми клиентами, Digital Design

Не угасает ли интерес к теме безопасности в ИТ в последнее время?

При бешеном темпе развития современных технологий тема безопасности в сфере ИТ в последние годы не перестает быть актуальной. За данными физических и юридических лиц охотятся как мошенники, так и конкуренты. Кроме того, информация может попасть в общий доступ и без содействия злоумышленников: просто по ошибке. В любом случае для бизнеса это чревато денежными потерями. В то же время сотрудники различных компаний из всевозможных отраслей привыкают к мобильности и требуют возможности применять для работы смартфоны, планшеты и ноутбуки и при этом не беспокоиться за сохранность своих данных. Руководители хотят иметь возможность быстро принимать решения и использовать трудовые ресурсы как можно эффективнее, в том числе не терять из производственного процесса человека, отсутствующего в данный момент в офисе. Мало обеспечить такому сотруднику доступ – надо, опять же, обезопасить его.

Охранять информацию можно различными способами: от физического ограничения доступа к серверам и носителям до использования антивирусных программ, шифрования данных и сложной системы аутентификации. Давайте на этот раз и поговорим о последней.

На сегодняшний день существует множество способов аутентификации пользователя:

  • статические и динамические пароли (к первым мы все уже привыкли, вторые часто применяются при оказании услуг банков через Интернет);
  • контактные и бесконтактные токены (простейший пример – «таблетка» или бесконтактная метка (RFID) от двери в подъезд, более продвинутый вариант – токен в виде «флешки» для доступа к данным на компьютере);
  • смарт-карты (бывают в некоторых магазинах у кассиров);
  • распознавание изображений, движений и т.п.;
  • всевозможная биометрия.

Последний способ иногда оказывается удобнее, потому что физический ключ можно потерять, пароль можно забыть, а вот свои уникальные биометрические данные мы всегда держим «при себе». При биометрической идентификации пользователя могут использоваться отпечатки его пальцев, форма кистей рук, форма и размеры лица, голос, узор радужной оболочки и сетчатки глаз и венозная система.

Отпечатки пальцев подделать сложно, а вот пароль и токен можно украсть. Можно ли как-то заранее предусмотреть такие риски?

Конечно, при желании и необходимых средствах «взломать» можно практически любую систему защиты, поэтому важно, насколько быстро это можно осуществить. В связи с этим на сегодняшний день популярны системы многофакторной аутентификации: например, пароль, работающий только в сочетании с токеном, или смарт-карта, действующая только при идентификации пользователя по отпечатку пальца и т.д.

Возможны любые комбинации, и чем больше факторов используется, тем надежнее защита. Причем, применяются эти факторы как стационарно, так и на мобильных устройствах. Например, для планшетов существуют специальные считыватели отпечатков пальцев. Это «пристегивающиеся» устройства, которые необходимо всегда носить с собой для доступа к нужной информации. Еще одно интересное решение для немобильных устройств: учет присутствия пользователя в офисе. То есть, если сотрудник компании не прикладывал свою персональную «карту-проходку» к турникету при входе в офис, то для системы он находится вне офиса. И при попытке получить информацию с его компьютера или с сервера даже при правильно введенных паролях система откажет в доступе.

Какие интересные решения для аутентификации Digital Design уже применила в своих проектах?

Динамические пароли, получаемые в sms-сообщениях, давно стали популярными в интернет-банкинге. Но сейчас подобные решения начинают внедрять и коммерческие компании для внутреннего использования. Для одного из заказчиков мы уже реализовали проект по выстраиванию доступа к корпоративной сети с кодом аутентификации в sms. Правда, в последние пару лет для «обхода» системы аутентификации с динамическими паролями, отправляемыми через sms-сообщения на телефоны и смартфоны, взломщики стали использовать вредоносные программы, в частности, стал активно применяться Zeus. Этот вирус перехватывает пароли и отправляет их мошенникам. И способ борьбы с подобными угрозами только один – все та же многофакторная аутентификация, в случае применения которой взломщики просто не смогут воспользоваться украденным паролем, потому что система потребует какой-либо дополнительный ключ.

А как сами пользователи относятся к нововведениям в системе безопасности?

К сожалению, совершенствование механизмов защиты зачастую ведет к усложнению правил взаимодействия с системами. Это снижает удобство работы пользователей. Для решения такого противоречия идут несколькими путями: разрабатываются новые принципы аутентификации (например, «рукописный росчерк» вместо цифрового пароля на смартфонах и планшетах, определение по голосу и др.), создаются системы, берущие на себя часть рутинной работы. К последним можно отнести системы однократной аутентификации, т.н. Single Sign-On (SSO). И эти принципы (однократной и многофакторной идентификации) не противоречат друг другу и даже могут быть совмещены.

Однократная аутентификация подразумевает, что пользователь должен войти в систему только один раз за сеанс (при этом для входа может использоваться, в том числе, многофакторная аутентификация), и после того, как он распознан системой как «свой», ему не придется вводить дополнительные пароли для входа во внутренние подсистемы или перехода на другие разделы порталов. Речь идет о доступе ко всем корпоративным системам, каждая из которых имеет свои собственные пароли и способы аутентификации. Зачастую пользователю неудобно запоминать множество паролей и каждый раз вводить их для входа в новую программу или каталог. SSO позволяет так выстроить взаимоотношения со всеми системами, что для пользователя работа будет прозрачной и удобной, а с точки зрения систем он пройдет все нужные процедуры по аутентификации. Если первичная аутентификация позволяет надежно определить человека, то опасность для самих систем будет минимизирована. Системы SSO, совмещенные с системами управления доступом (Identity&Access Manager), позволяют не только облегчить жизнь пользователям, но и заметно повысить защищенность корпоративных данных благодаря гибкому управлению правами доступа к системам на основе ролевой модели и отслеживанию инцидентов информационной безопасности.

Насколько востребованы все эти решения в бизнесе?
На рынке чувствуется интерес к системам безопасности со сложными схемами аутентификации. Digital Design внедряет подобные решения в рамках комплексных проектов. Среди клиентов компании, для которых безопасность данных является чуть ли важнейшим параметром ИТ-инфраструктуры – банки, страховые компании, крупные СМИ и многие другие организации. Кроме того, мы активно занимаемся системами управления рабочими станциями и мобильными устройствами, что также связано с безопасным доступом к информации.

Получается, правильный подход к аутентификации – залог сохранности информации?

Успешная аутентификация не всегда означает возможность похитить данные. Защиту корпоративной информации можно организовать с помощью применения технологий терминального доступа и виртуальных рабочих станций (VDI). При этом на пользовательское устройство передается только изображение работающей программы/приложения. Данные в «чистом виде» не покидают хорошо защищенного ЦОДа. Минус заключается в том, что для работы с корпоративной системой пользователь должен быть в онлайне, подключаясь к корпоративной сети через защищенный канал передачи данных. Сейчас активно развиваются решения по офлайн-виртуальным машинам, но мобильные устройства пока к этому не готовы. Работать с такими решениями не всегда будет удобно, так как не учитываются особенности пользовательского интерфейса мобильного устройства. Однако эти недостатки во многих случаях могут компенсироваться следующими плюсами: возможностью работы с корпоративными системами из любой точки мира, где есть доступ к сети Интернет, и возможностью подключаться с любых подходящих устройств (ПК, планшеты, смартфоны и др.). И неважно, на какой платформе и операционной система работает конечное устройство. Среди производителей ПО для терминального доступа и VDI можно назвать тройку лидеров: это Citrix, Microsoft, VMware.

Хочу напомнить, что аутентификация аутентификацией, а забывать о правильных принципах проектирования и создания информационных систем нельзя. Система, сделанная быстро, но «на коленках» рано или поздно преподнесёт неприятные сюрпризы, и цена этих сюрпризов будет заметно выше, чем сэкономленные на проектировании подсистем безопасности средства.

<< К списку новостей

Продолжая использовать данный веб-сайт, вы соглашаетесь с Политикой использования файлов cookie и тем,
что группа компаний Digital Design может использовать файлы cookie для оптимизации работы веб-сайта.