В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
Сегодня проблема информационной безопасности перестала быть рядовой и легко решаемой. Технологии развиваются невероятными темпами, появляются новые способы защиты информации и каналов передачи данных, растет уровень компетенции специалистов, работающих как на благо технологического и экономического развития, так и им во вред.
На конференциях, посвященных системам информационной безопасности, бьют тревогу: вполне вероятно, что уже через несколько лет терроризм выйдет на новый уровень – вместо взрывчатых веществ, грузовиков и оружия на сцену боевых действий придет дистанционное управление взломанными информационными системами. Ведь сегодня стало возможным украсть не только деньги, но и привязанные к удостоверению личности и персональным данным пользователя средства доступа, совершая противоправные действия от третьего, неавторизованного лица.
Так, например, прячущийся в каменных джунглях мегаполиса или на малонаселенном острове террорист сможет, находясь за тысячи километров от места событий, организовать крупномасштабную хакерскую атаку на военные или финансовые системы государственного уровня, получить доступ к персональным данным граждан и засекреченным стратегическим объектам, отключить электричество в больнице крупного города, поменять стрелки на крупном железнодорожном узле и многое другое. Потенциально убытки и потери могут оцениваться триллионами долларов, а восстановление инфраструктуры и систем – дополнительно сотнями миллионов, не говоря о главном – бесценности подверженных угрозам и рискам человеческих жизней.
Согласно проведенному компанией PwC в 2016 г. мировому исследованию экономических преступлений, в прошлом году киберпреступность заняла второе место (32%) среди общего числа противозаконных действий, уступив место лишь хищению и растрате средств (64%). При этом 85% пользователей Интернета всерьез опасаются стать жертвами злонамеренных угроз (исследование EU SOCTA, 2017).
Проблема потери контроля и управления своими правами доступа, банковскими счетами, сетевыми учетными записями и профилями, базами данных и регистрами остро стоит не только перед рядовыми пользователями. Больше всего обеспокоены руководители банковских и государственных структур, взаимодействующих со своей аудиторией через открытые сетевые каналы. Риску подвержены системы электронного правительства, порталы электронных услуг (дорожное движение, образование, медицина, налоговые, пенсионные и социальные программы) и банки, позволяющие клиентам производить действия со счетами через сетевые или мобильные приложения.
Сегодня и банки, и системы электронного правительства используют разные инструменты защиты доступа к информации во многих сочетаниях и комбинациях: имя пользователя, номер привязанного к учетной записи мобильного телефона, пароль, ключ с кодовой карты и др. Случаи мошенничества с данными в последнее время учащаются, и использование биометрических данных при предоставлении доступа может значительно снизить риски взлома.
Для того чтобы не запутаться в терминологии и процессах, освежим в памяти некоторые определения.
Верификация – это проверка идентификационного документа на подлинность и проверка пользователя на соответствие: является ли он действительно тем, за кого себя выдает, и владельцем предъявленного документа.
Идентификация – это удостоверение или установление личности человека по предъявленному документу или другим персональным уникальным данным, включая биометрические. Аутентификация – удостоверение личности человека по документу или любым персональным уникальным данным, включая биометрические, для совершения каких-либо действий, требующих специального доступа или разрешения. Например, чтобы зайти на портал государственных услуг и заплатить налог на имущество, пользователю необходимо аутентифицировать себя в системе.
Авторизация – наделение пользователя определенными правами для совершения каких-либо действий, требующих специального доступа или разрешения, проверка наличия таких прав и предоставление доступа.
Эксперты по информационной безопасности сходятся во мнении, что наибольшую степень защиты обеспечивает мультимодальная (или многофакторная) аутентификация. Именно сочетание разнообразных параметров может обеспечить максимальную надежность пользователю. Это могут быть комбинации из любого количества факторов, относящихся к разным категориям:
Биометрические данные каждого из нас по сути уникальны. Этот ключ невероятно сложно подобрать, подделать или украсть. Сегодня проверки биометрии осуществляются повсеместно: на пограничном контроле в аэропортах и транспортных узлах, в государственных службах, в образовательных и финансовых учреждениях. С каждым годом уровень проникновения биометрических технологий неуклонно растет.
В использовании биометрических модальностей для аутентификации пользователя есть много преимуществ. Отпечатки пальцев, лицо, глаз, голос – биометрия всегда с собой. Ее невозможно потерять, скопировать или передать другому. Биометрию удобно и быстро использовать: инструменты для распознавания и анализа биометрических данных сегодня доступны не только на используемом полицейскими или пограничными службами профессиональном оборудовании, но и на пользовательских портативных устройствах, например в виде приложений для смартфонов или планшетов. Сверка биометрических данных предоставляет высокую точность определения (проверки соответствия данных). Уменьшается объем бумажной работы, экономится время, раньше уходившее на заполнение анкет, протоколов и на поиск профиля нужного пользователя в картотеках, личных делах и базах данных.
Конечно, в применении биометрических решений есть и свои недостатки. Биометрия не может быть единственным инструментом аутентификации, так как сам по себе образец отпечатка пальца не несет в себе биографические данные владельца (имя, фамилия, пол, дата рождения) и является всего лишь инструментом сверки. Происходит сравнение отпечатка пальца предъявителя с ранее записанным образцом, чтобы подтвердить (или отклонить) совпадение.
Помимо этого, биометрические технологии подразумевают работу с конфиденциальными персональными данными, что влечет за собой необходимость в дополнительной защите рабочей среды, инфраструктуры и каналов передачи информации. Со временем определенным изменениям подвергаются и биометрические показатели: отпечатки пальцев стираются, голос может осипнуть из-за простуды, внешность может измениться из-за морщин, шрамов и даже бороды. Определение личности только по ее биометрическим данным не дает 100%-ной точности. К тому же интеграция биометрических технологий в реальную среду потребует установки сторонних систем и оборудования, что повлечет за собой дополнительные инвестиции в интеграцию и поддержку инфраструктуры и дополнительные обязательства между заказчиком, поставщиками и разработчиками третьих сторон.
Рассмотрение всех "за" и "против" биометрии как метода аутентификации дает нам возможность смело утверждать, что при ее объединении с другими факторами мы можем получить высоконадежную, жизнестойкую и конкурентоспособную систему, которая может обеспечить пользователям удобный и вместе с тем оправданно защищенный механизм удостоверения личности.
Процедура аутентификации пользователя не должна строиться лишь вокруг удобства применения информационной системы – необходим приемлемый и надежный баланс. Многоступенчатая и чересчур мудреная процедура аутентификации обеспечит надежность, но отпугнет пользователей. Одним из ярких примеров может стать внедрение идентификационной карты в Германии: разработчики настолько добросовестно подошли к ее защите, что лишь 3% держателей карт хоть раз воспользовались ей для доступа к разнообразным электронным услугам. Для остальных 97% механизм аутентификации оказался чересчур сложным.
Сегодня на рынке уже существуют продуманные и гармоничные системы аутентификации. В них используют до трех модальностей и форм-факторов в различных комбинациях одновременно. При этом в современных системах сочетаются и повышенная безопасность, и удобство. От пользователя не требуется запомнить несколько идентификаторов и паролей, нет нужды и в загрузке отдельных дополнительных программ, драйверов и плагинов на свое устройство. В зависимости от необходимого уровня авторизации достаточно использовать оптимально подобранную комбинацию факторов. Например, идентифицировать себя в электронном дневнике школьника можно просто по паролю, на сайте ГИБДД – по одноразовому паролю и образцу лица, а на портале государственных услуг – по электронной подписи в сочетании с образцом изображения лица.
Селфи-снимок для доступа к интернет-банку или порталу электронных услуг для нас пока в новинку, но и этого на сегодняшний день мало: цифровые мошенники давно используют технологии морфинга, подменяя одно фото другим для обмана системы. Поэтому разработчики систем защиты доступа все чаще применяют более надежный способ: биометрия распознается не по статичному изображению или отпечатку, а по "живому" лицу или пальцу – образец лица снимается в движении, в повороте головы, а при снятии отпечатка пальца проверяется его тепло.
Разработчикам необходимо думать быстро и эффективно, чтобы предусмотреть все: безопасность систем, их удобство, быстродействие, стоимость и риски, ведь речь идет как о безопасности каждого отдельно взятого пользователя, так и о благе организации, государства и всего мира.
Опубликовано: Журнал "Системы безопасности" #6, 2017
Посещений: 3918
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
