В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
В 1950-х гг. каждому пользователю казалось, что только он один работает на банковском мейнфрейме, а на самом деле процессорное время компьютера равномерно делилось между всеми операторами терминалов. В таком режиме идентификация пользователя (обеспечение того, что за терминалом сидит нужный сотрудник, а не посторонний человек), а также его аутентификация (определение его прав и объема доступа к информации и услугам) особой проблемы не представляли. Эти права были жестко "зашиты" в рабочем терминале, а служащему достаточно было только ввести уникальный пароль. Такой режим работы стал прообразом будущих облачных услуг, а такой мейнфрейм – прародителем частного облака. Мейнфрейм и комната, где он располагался, в 1970-х гг. Превратились в серверную – частный дата-центр, где серверы банка находились под присмотром команды ИТ-специалистов.
В эру облачных вычислений (Cloud Computing), когда для снижения затрат стало возможным арендовать серверы в общем облаке, задача идентификации и аутентификации пользователей существенно усложнилась. Но зато расширились и функциональные возможности. Стало возможным предоставлять клиентам банка услуги через Интернет с использованием виртуальной частной сети VPN, ранжировать их в зависимости от статуса клиента и объема заказанных им услуг. Однако переезд банковских систем в облако потребовал особого внимания к системам безопасности и, в частности, к идентификации и аутентификации пользователей.
Идентификация – это присвоение объекту уникального имени (идентификатора) и сравнение данного уникального имени со множеством других подобных имен для установления личности и прав объекта. Идентификация напрямую связана с аутентификацией – проверкой подлинности, соответствия предъявляемого идентификатора. Чтобы подтвердить свою подлинность, объекту необходимо предъявить нечто, что может показать только обладающий данным идентификатором и никто другой. Без этих двух понятий невозможно говорить о контроле доступа – системе, устанавливающей разрешающие или запрещающие правила для доступа к определенным ресурсам.
Важность ограничения доступа к информации о частной жизни ни у кого не вызывает сомнений. Что касается банковской сферы, то здесь вопросы информационной безопасности еще более острые, поскольку инциденты могут привести к серьезным финансовым потерям. Сейчас большинство банков предоставляет свои услуги через облако. Для клиента это действительно удобно – не нужно приходить в офис для совершения какой-либо транзакции: получения кредита, покупки или продажи ценных бумаг и др. Это значительно повышает доходность банковского бизнеса. Но банку каждый раз приходится убеждаться, что человек по ту сторону сети за терминалом – именно его клиент, а не злоумышленник. Для этого чаще всего используется так называемая двухфакторная идентификация: во-первых, нужно знать уникальный пароль, во-вторых, ввести в специальное поле высланный банком одноразовый код, например через SMS.
Для корпоративных клиентов могут использоваться так называемые USB-токены, представляющие собой USB-флешку с записанной на ней идентификационной информацией, либо обеспечивающие автоматическое взаимодействие с облачной системой идентификации, а также специальные чиповые карты.
Такие устройства используют для многофакторной идентификации и аутентификации клиентов при постановке электронной подписи на документы и для шифрования данных, передаваемых по каналам связи. Сферы их применения:
Они также могут использоваться для передачи отчетности в Пенсионный фонд, ЕГАИС и т.д. USB-токены могут применяться и в промышленном Интернете вещей (IoT), и при работе с корпоративными порталами, и в промышленном оборудовании и различных устройствах (системах управления теплоснабжением и освещением, видеонаблюдением и др.).
Только комплексное применение различных систем может обеспечить контроль доступа и достаточную защиту банковской системы.
В банковских системах, использующих облачные решения, безопасность данных должна подкрепляться системами защиты информации (SecretNet, модуль доверенной загрузки "соболь" и др.) на стороне облачного провайдера, куда банк или финансовая организация выносит свои ИТ-системы на аутсорсинг.
Перспективы внедрения и развития облачного сервиса велики. Однако на территории россии на развитие этого направления в банковской сфере накладываются некоторые ограничения, в частности требования регуляторов по обеспечению информационной безопасности персональных данных, обрабатываемых в банковских информационных системах, а также требования международных платежных систем.
Стоит помнить и о других мерах безопасности и уделять больше внимания работе с персоналом. Так, по данным Forbes, 76% инцидентов происходит из-за внутреннего "инсайда", иначе говоря, подкупа сотрудников, в первую очередь системных администраторов. От внутренних утечек уберегают использование жестких политик и процедур предоставления доступа, полностью изолированные друг от друга сети и множество технических решений по информационной безопасности, например системы по контролю за действиями администраторов (Balabit и др.), SIEM-системы ("комрад", ArcSight и др.), внедрение в компании IPS/IDS (FortiGate и др.).
Не следует пренебрегать и элементарными мерами информационной гигиены. Джон Саффолк, бывший CIO правительства великобритании, приводил пример, когда для государственных служащих был составлен список из нескольких десятков пунктов, которые нужно соблюдать для защиты информации. выяснилось, что следование семи–восьми первым пунктам (запрет на использование сторонних флешек, обновление вирусной базы и проверка компьютеров на наличие вирусов) позволило предотвратить до 90% инцидентов.
Опубликовано: Журнал "Системы безопасности" #5, 2018
Посещений: 2743
Автор
| |||
В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций