В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Применение биометрических технологий в обеспечении информационной безопасности бизнеса

Константин Сорокин
Генеральный директор
компании BioLink Solutions

Информационная безопасность: новые вызовы и возможности биометрии

Беспрецедентные объемы оцифрованной информации, производимой и потребляемой бизнесом, и ее критическая роль в осуществлении каждого из направлений работы любой компании уже сами по себе обуславливают необходимость реализации целенаправленных и комплексных мер по обеспечению информационной безопасности. В контексте обсуждаемых проблем можно выделить следующие новые тенденции, придающие особую актуальность рассмотрению функций биометрических технологий:

1. Усиление активности злоумышленников и изменение ее характера: атаки все более смещаются в сферу воздействия на систему I AM с целью несанкционированного получения информации о правах и полномочиях пользователей на доступ к корпоративным ресурсам. В этом плане отчуждаемые от пользователя идентификаторы (материальные и информационные - пароли, PIN-коды и т.п.) представляют для злоумышленников самую привлекательную и легкую добычу.
2. Увеличение количества различных информационных систем, в которых одновременно приходится работать пользователям (и следовательно, постоянно проходить всю цепочку "идентификация - аутентификация - авторизация"). По данным опроса, проведенного компанией RSA среди представителей 1700 американских фирм, в среднем каждому пользователю требуется вводить до 13 различных паролей. Неудивительно, что пользователи стремятся применять одни и те же пароли для доступа к различным ресурсам, "для памяти" фиксируют их на стикерах, ковриках для мыши и т.п., охотно делятся паролями со своими коллегами и в целом начинают воспринимать систему IAM как враждебную их бизнес-целям.
3. Возрастание расходов на обслуживание паролей. По оценкам Gartner Group, ежегодная величина этих расходов в расчете на одного пользователя составляет 150 долл., а 35-40% от общего числа обращений в службу поддержки составляют запросы тех, кто забыл пароли и/или заблокировал их неправильным вводом свои рабочие станции.
4. Радикальное расширение сферы обращения электронных документов и связанное с этим повышение значимости функций проверки полномочий их авторов и обеспечения невозможности последующего отказа упомянутых лиц от проведения совершенных ими транзакций.
5. Рост разнообразия ИТ-решений и их платформ ("тонкие" клиенты, терминальные сессии, мобильные устройства), что также осложняет задачи IAM.

Одним из самых ярких свидетельств уязвимости парольных систем стали действия трейдера банка Societe Generale Жерома Кервьеля. Для махинаций на бирже, обошедшихся банку в 5 млрд евро, Кервьель использовал логины и пароли, любезно предоставленные ему коллегами, и именно после этого инцидента в Societe Generale было принято решение о переходе на биометрические технологии.

Биометрические идентификаторы уникальны для каждого человека, не могут быть отчуждены от него, одолжены или забыты, зато предъявлять их легко и просто. Более половины (а по некоторым оценкам, и свыше двух третей) биометрического рынка занимают решения, основанные на идентификации по отпечаткам пальцев, и в сфере информационной безопасности наблюдается аналогичная картина: по данным Frost & Sullivan, именно на долю упомянутых решений приходится 88,7% продаж биометрических средств защиты информации в финансовом секторе.

Задачи и сценарии применения биометрических технологий

Наибольшее распространение в корпоративной практике получили операционные системы Windows, и было бы логично рассмотреть использование биометрии в IAM именно на примере продуктов Microsoft, проанализировав интеграцию биометрических технологий с каталогом Active Directory (AD) - фундаментом ИТ-инфраструктуры.

Главными задачами биометрических технологий в этом контексте становятся:

• устранение недостатков, присущих паролям, картам, токенам и т.д., на основе идентификации пользователей ИТ-систем по отпечаткам пальцев;
• централизованное управление правами и полномочиями пользователей и жизненным циклом их учетных записей;
• протоколирование событий доступа, мониторинг и аудит событий в системе IAM.

Первым этапом этой деятельности служит регистрация сведений о биометрических идентификаторах: изображения отпечатков пальцев преобразуются в цифровые модели, восстановить из которых реальное изображение невозможно. При очередном обращении пользователя к ИТ-системе вновь создается цифровая модель идентификатора, которая сравнивается с ранее зарегистрированной.

Если модели совпали, сервер биометрической идентификации обращается к каталогу AD для формирования пакета с учетными данными пользователя, который транслируется на рабочую станцию. Приложение, инициировавшее запрос на распознавание, получает нужные ему сведения в привычном для себя виде логина пользователя (User ID) и, если это необходимо, его пароля, после чего в стандартном режиме проверяет идентичность пользователя и решает вопрос о предоставлении ему доступа к защищаемым ресурсам.

В решениях, основанных на применении технологий распознавания по отпечаткам пальцев, сравнение упомянутых моделей осуществляется автоматически. Это, во-первых, позволяет объединить этапы идентификации и аутентификации пользователя (с поиском ответов на вопросы "Кто ты?" и "Чем ты можешь подтвердить свои полномочия?"); во-вторых, выгодно отличает данные решения от тех, что базируются на других технологиях - например, распознавании по рисунку вен на пальце или ладони или же форме черепа. Эти экзотические методы нуждаются в дополнительных "подпорках": вводе пользователем пароля или предъявлении карты, что фактически перечеркивает преимущества биометрии.

Вместе с тем и классическая модель биометрической идентификации по отпечаткам пальцев не означает полного отказа от применения паролей, карт и токенов: они могут использоваться в сценариях многофакторной идентификации ("отпечаток плюс пароль", "отпечаток плюс карта"), востребованной, к примеру, при доступе к особо важным информационным ресурсам.

К важнейшим задачам биометрии в системе IAM также можно отнести:

• реализацию технологии единого доступа (Single Sign-On) на основе биометрической идентификации. В этом случае отпечаток пальца становится единым идентификатором не только для входа в корпоративную сеть, но и для доступа к защищаемым ресурсам Интернета и в прикладные программы, реализующие стандартные механизмы распознавания пользователей;
• организацию биометрической идентификации пользователей, работающих в терминальных сессиях, на "тонких" клиентах и платформах виртуализации;
• обеспечение возможности распознавания пользователей по отпечаткам их пальцев в корпоративных приложениях, в которых действуют отличные от стандартных механизмы идентификации.

Мировая и отечественная практика

Характерно, что в авангарде применения биометрических технологий в целях защиты информации выступают банки и другие кредитные организации, то есть заказчики, отличающиеся особой требовательностью к ИТ-инновациям. Из крупных событий 2012 г. можно отметить анонсирование германской сетью Sparkasse (аналогом российского Сбербанка) планов оснастить сканерами отпечатков пальцев 10 тысяч рабочих мест своих сотрудников и внедрение системы биометрической идентификации в деятельность служащих кредитного союза Service Credit Union (США).

Как же на этом фоне выглядит наша страна? Биометрические решения для защиты информации активно анонсируют лишь две фирмы: "Прософт-Биометрикс" и BioLink Solutions.

Именно на биометрических решениях для защиты информации основан самый масштабный проект по применению биометрических технологий в деятельности кредитных организаций на территории СНГ - в Народном банке Казахстана. Биометрические решения по защите информации востребованы и в других странах: так, на Украине их применяет Региональная информационная таможня Государственной таможенной службы и группа компаний "Интерпайп", а в США - полицейский департамент округа Аллен (штат Огайо).

Что же касается российских организаций, то здесь можно упомянуть Западно-Сибирский коммерческий банк, группу компаний "Видео-Интернэшнл", сызранский завод, банк "Авангард" и "Спецсетьстройбанк".

Выводы и перспективы

Проведенный анализ позволяет прийти к следующим заключениям:

1. Современная биометрия способна предложить корпоративным заказчикам надежные решения по защите информации, эффективно взаимодействующие с общей ИТ-инфраструктурой (включая каталог Active Directory, платформы виртуализации и "тонкие" клиенты).
2. Безусловное лидерство в данной сфере принадлежит технологиям идентификации по отпечаткам пальцев.
3. Перспективной выглядит задача дальнейшей интеграции биометрических технологий и других средств обеспечения информационной безопасности (шифрования, электронной подписи, систем защиты информации от несанкционированного доступа и т.д.).
4. Наибольшая выгода может быть получена корпоративными заказчиками при комплексном подходе к внедрению биометрических технологий, когда они распространяются не только на решение задач обеспечения информационной безопасности, но и на другие направления деятельности (учет рабочего времени сотрудников, контроль физического доступа, обслуживание клиентов).
5. Биометрические системы защиты информации активно применяются в России и за рубежом, и соответствующие проекты носят масштабный характер, что подтверждает потенциал и преимущества технологий биометрии.

Опубликовано: Каталог "СКУД. Антитерроризм"-2013
Посещений: 11731

Автор Константин Сорокин Генеральный директор компании BioLink Solutions Всего статей:  3

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций