Успешная модель аутентификации для банковского сектора

- Расскажите, пожалуйста, почему в вашей организации возникла потребность внести изменения в существующую систему аутентификации и управления доступом?
- Как и любая организация, появившаяся не вчера и обрабатывающая большое количество данных, на определенном этапе мы столкнулись с так называемой болезнью роста. Количество систем и приложений, с которыми сотрудникам ежедневно приходилось работать, выросло настолько, что из-за отсутствия эффективных инструментов администрирования стало практически невозможно дать ответ на казалось бы простой вопрос: "Кто, к чему и на каких основаниях имеет доступ?". Мы поняли, что это сигнал и пора проводить изменения.

Изначально применялась самая простая и распространенная схема аутентификации в информационных системах-логин/пароль. Эта парольная история демонстрировала сбои каждый день и становилась для банка одновременно и головной болью, и серьезной брешью в системе ИБ. Пользователи вынуждены запоминать множество логинов и паролей к разным системам, что, естественно, вызывает с их стороны легкий протест и мотивирует на хитрости - сотрудники стараются использовать упрощенные пароли, записывать их в разные места, где-то "безопасно" хранить и т.п. IT-персоналу пароли тоже доставляют хлопоты - после отпусков и больничных сотрудники часто забывают свои пароли, учетные записи в результате блокируются. Но это, как говорится, "бытовые проблемы" паролей, на которые можно было бы закрыть глаза, если бы не один главный недостаток - нет никакой гарантии, что пароль вводит именно владелец учетной записи. И некоторые пользователи не видят в этом ничего страшного, считая нормальным сообщить свой пароль другому сотруднику, когда тому нужно его подменить.

- В итоге вы решили отказаться от паролей?
- Да. Сказанное выше привело нас к пониманию того, что нам нужна принципиально иная модель аутентификации в приложениях. Но одно дело - это понять, а другое – применить на практике. Первый же вопрос – "Какую систему выбрать?". Большинство информационных систем не предоставляет для доступа иных механизмов, кроме как логин/пароль. К тому же отказаться от паролей одномоментно практически невозможно – бизнес банка встанет в этот же день. Вместо этого мы решили искать решение, которое бы скрыло явное использование паролей, заменив их чем-то менее сложным для пользователя, но одновременно более надежным для организации в целом. В итоге такое решение было найдено, и пароли перестали быть секретом пользователя, а стали секретом автоматизированной системы безопасности.

– Расскажите, пожалуйста, подробнее о принципе работы выбранной системы.
– Представьте, что пароли, которые раньше хранились в голове человека, теперь хранятся в базе данных некой системы доступа в зашифрованном виде. Каждый раз перед получением доступа к нужному информационному ресурсу пользователь должен пройти процедуру аутентификации в центральной системе с помощью технологии, основанной на ином чем пароль принципе, например принципе обладания каким-то физическим предметом (картой). В случае успеха пользователь получает доступ к необходимому ресурсу, причем учетные данные (логин и пароль) подставляются системой автоматически, без участия самого пользователя.

– Насколько, на ваш взгляд, важно было начинать именно с решения проблемы аутентификации?
– Любой банк должен гарантировать безопасность обрабатываемой информации, поскольку это ПДн клиентов и сотрудников, коммерческая тайна, банковская тайна. Необходимо понимать, кто получает доступ к этой информации, и пресекать попытки несанкционированного доступа. Это однозначно приоритетная задача, которую в современном мире нельзя решить без применения высокотехнологичных систем.

– Какую технологию аутентификации вы используете? Какие у нее плюсы и минусы?
– Мы долго выбирали наиболее подходящий для нас способ аутентификации. В итоге по совокупности критериев было принято решение о применении бесконтактных карт, которые используются сотрудниками для входа в здание. Бесспорным плюсом являются абсолютная интуитивность и простота сценариев работы с картой. При этом для службы безопасности появилась возможность взаимно увязать логический доступ с физическим, избежав при этом дополнительных закупок – карта выдается каждому сотруднику сразу при устройстве на работу для доступа в здание. К минусам можно отнести возможность "одолжить" карту другому сотруднику, но на практике мы решили и эту проблему (организационными мерами).

– Каких результатов удалось добиться?
– Внедрение новой системы управления доступом позволило устранить все проблемы, о которых я говорил ранее. Сейчас служба безопасности абсолютно четко может сказать, кто, к каким системам и на каких основаниях имеет доступ. С помощью централизованных инструментов у администратора безопасности появилась возможность управлять правилами и политиками предоставления доступа во множество информационных систем как для отдельно взятого сотрудника, так и для целой группы.

Появилась возможность, которой раньше просто не было, – мгновенная блокировка доступа во все системы, если этого требует ситуация. Добились мы и значительного снижения операционных рисков, возникавших из-за многократного ввода неверных учетных данных в формы сторонних приложений, например для систем денежных переводов. Блокировка работы такого пункта вела к простоям (а значит, убыткам) в работе подразделений банка.

Результаты не столько количественные, сколько качественные – мы получили абсолютно прозрачный процесс управления учетными данными и паролями пользователей, связанный с развитием карьеры сотрудника, начиная от момента приема на работу и заканчивая увольнением: перевод на другую должность, ограничение или расширение должностных обязанностей и т.д.

– Что на деле изменилось для пользователей?
– Мы уделили много внимания тому, чтобы адаптировать систему под себя и сделать максимально удобной и полезной для каждого сотрудника.

По результатам пилотного внедрения мы договорились с разработчиком внести в систему ряд изменений, мешающих банку получить все необходимые выгоды и преимущества. Это было сделано, и теперь пользователи могут смело забыть все свои пароли, точнее, вообще о них не думать и не беспокоиться. Подчеркну, что в банке несколько десятков информационных систем и теперь сотрудникам не приходится тратить свое время на регулярную смену паролей в каждой из них (как того требуют внутренние нормативные документы по ИБ), смена паролей происходит автоматически по расписанию.

Кроме того, очень многие сотрудники оценили встроенную функцию "Быстрого запуска", выступающую центральной точкой доступа ко всем информационным ресурсам. Это крайне удобно и сокращает время поиска нужного приложения – один клик вместо утомительной навигации по списку программ, перечисленных в меню "Пуск".

– Как проект в целом повлиял на ИБ?
– Крупные проекты, связанные с внедрением новых систем аутентификации и управления доступом, всегда значительно влияют на организацию в целом, не только на отдельное подразделение ИБ. Чтобы эффект от внедрения состоялся, требуется слаженная и напряженная работа администраторов множества информационных систем, параметры и сценарии работы которых приводятся в соответствие с нормативными документами.

Нам пришлось провести ревизию всех механизмов предоставления доступа пользователям к информационным ресурсам, отбросить морально устаревшие или неудобные, изменить многие из существующих. Зато теперь мы можем сказать, что проект позволил гарантировать исполнение требований нормативно-правовых актов по ИБ не только самими пользователями, но и администраторами используемых в банке систем. Уверен, что в совокупности все это повысило общий уровень ИБ организации.

– Какие минусы у новой системы управления доступом вы бы выделили и есть ли возможность ее развивать?
– Несомненно, минусы есть у каждой системы. Мы реалисты и не думаем, что на рынке есть универсальный продукт, который бы подошел нам сразу. IT-инфраструктура в нашем банке развивалась много лет и не всегда в одном направлении (смеется), порой обнаруживаются совершенно нетривиальные сценарии доступа пользователей к информационным ресурсам. "Коробочными" средствами тут не обойтись, требуются индивидуальные доработки. К счастью, разработчик выбранной нами системы понимает эту проблему и идет навстречу. Это позволяет рассчитывать на то, что со временем даже самые сложные случаи и сценарии доступа будут автоматизированы и охвачены новой системой управления доступом.

– Какие еще интересные проекты по обеспечению информационной безопасности были внедрены у вас в банке?
– Наша служба исповедует принцип "безопасность для бизнеса", а не "безопасность ради безопасности", поэтому любые проекты по внедрению каких-либо систем всегда должны быть обоснованы и соответствовать текущим потребностям банка. Как вы, наверное, знаете, сейчас одним из основных вопросов, стоящих перед организациями, в том числе в финансовом секторе, является защита персональных данных. В прошлом году регуляторами в данной сфере было издано несколько нормативных документов, позволяющих операторам ИСПДн самостоятельно выбирать те средства защиты, которые экономически целесообразны и соответствуют моделям угроз, актуальным для данной конкретной организации, на базе приведенных в документах защитных мер. Таким образом, построение единого комплекса защитных средств, использование которых позволит банку выполнить все требования действующего законодательства, в том числе в сфере защиты ПДн, является нашей самой приоритетной задачей. Поэтому весь прошлый год мы посвятили выбору и внедрению программных и программно-аппаратных комплексов, позволяющих реализовать набор защитных мер, приведенных в приказе ФСТЭК № 21. В частности, были внедрены система предотвращения и обнаружения вторжений и система обнаружения и анализа уязвимостей в информационной среде.

– Каких угроз в информационной безопасности нужно опасаться бизнесу в 2014 году?
– Наиболее подверженными различным угрозам, на мой взгляд, для всего финансового сектора по-прежнему останутся направления интернет-банкинга и операции, связанные с оплатой услуг, сервисов, товаров в сети Интернет с использованием международных пластиковых карт. К сожалению, несмотря на все совершенствующиеся средства ИБ, внедряемые организациями банковского сектора, количество мошеннических операций по данным направлениям растет из года в год. Действия злоумышленников, как правило, направлены на хищение, компрометацию либо подмен ключевой информации клиента в системах ДБО и хищения данных держателей карт международных платежных систем Visa, MasterCard и т.д., результатом которых становится хищение денежных средств. Хочу отметить, что, как правило, руководство кредитных организаций на самом высоком уровне заинтересовано в обеспечении безопасности клиентского сектора и все больше внимания уделяет внедрению различных организационно-технических решений ИБ, направленных на защиту интересов клиента, однако, как показывает практика, результаты самых смелых технических решений могут быть сведены на нет человеческим фактором. Это связано с тем, что не все клиенты выполняют условия и рекомендации по ИБ, а иногда не выполняют основные принципы безопасного поведения в сети. К сожалению, социальная инженерия сейчас остается одним из наиболее эффективных способов обхода различных технических средств защиты (взять, например, те же SMS-мошенничества), злоумышленники подстраиваются мгновенно под современные реалии, их действия практически невозможно отличить от действий настоящих клиентов. Поэтому в выборе того или иного решения по ИБ, на мой взгляд, необходимо руководствоваться принципом минимизации человеческого фактора, разумеется, при условии, что обеспечен необходимый уровень технической защиты всего контура ИБ организации.