Исторически необходимость аутентификации пользователя зародилась в начале 80-х, когда автоматизация пришла в корпоративный сектор. В России это случилось намного позже, но на западе именно тогда началась первая волна автоматизации бизнес-процессов на больших предприятиях, в авиакомпаниях и банках.
Аутентификация по логину и паролю была унаследована от различных исследовательских систем, в которых специалисты аутентифицировали себя именно так. Просто ничего нового придумано не было, поэтому известная старая методика распознавания пользователя получила дальнейшее распространение.
Поскольку сначала автоматизировали только основные бизнес-процессы, первые информационные системы на предприятиях были интегрированными, пользователю не приходилось запоминать множество пар логин-пароль, и большой проблемы это не представляло. Но уровень автоматизации постоянно возрастал: предприятия боролись за сокращение издержек и повышение эффективности, постепенно автоматизируя всё новые и новые бизнес-процессы. В организациях начало появляться всё больше и больше разных, независимых друг от друга ИТ-систем, обслуживающих различные нужды бизнеса. Так, к 2000 году на одном предприятии мог сосуществовать десяток информационных систем, и этот процесс всё ещё продолжается. Ведь конкуренция не исчезла, напротив, она обострилась, и гонит процесс автоматизации бизнес-процессов вперед. Как только все конкуренты подтягиваются за лидером, он начинает искать новый способ увеличения эффективности.
Это привело к тому, что на одного пользователя стало приходиться до пяти пар логин-пароль, причем, согласно требованиям отдела информационной безопасности, эти пары создаются так, чтобы их было тяжело подобрать в автоматическом режиме. Нужно, чтобы в пароле применялись буквы (вперемешку строчные и заглавные) и цифры, а также, чтобы получившаяся комбинация не несла никакой смысловой нагрузки. Все это крайне усложняет запоминание паролей для пользователя. Кроме того, пароли необходимо часто менять. И тут предприятия сталкиваются с тем самым пресловутым человеческим фактором: пользователи стараются всеми правдами и неправдами упростить себе жизнь с множеством паролей, ведь запомнить пять-десять пар бессмысленных сочетаний нереально. Кроме того, у сотрудников предприятия есть свои рабочие задачи, у них нет времени на то, чтобы вспоминать свои многочисленные пароли. Им платят за выписку счетов или отгрузку товара, а не за придумывание сложных труднозапоминаемых паролей. Поэтому пользователи игнорируют инструкции по ИБ и пытаются как-то выходить из этой ситуации. Более 50% пользователей упрощают себе жизнь тем или иным способом:
- ставят одинаковые пароли на все системы;
- записывают на бумажках и клеят к монитору или кладут под клавиатуру;
- хранят пароли на рабочем столе в текстовом файле;
- создают слабые пароли, которые легко запоминаются, но легко взламываются.
Конечно, все это плачевным образом сказывается на системе безопасности предприятия.
Если же пользователю не дают самому придумывать пароли, а принудительно их навязывают, он начинает их забывать. Возникает большое количество инцидентов по восстановлению паролей, что отвлекает его от выполнения своих обязанностей, а сотрудников ИТ-отдела – от их работы.
Ситуация усугубляется тем, что сотрудники иногда заменяют друг друга, при этом передают пароли, просят «зайти под ними» и что-то сделать, например, отправить документы. При увольнении сотрудников учётные записи не всегда сразу удаляются, потому что зачастую это сложно отслеживать. Учётная запись уволенного может продолжать существовать или даже иногда передаваться новому сотруднику. Например, новый бухгалтер может рассылать документы от имени предыдущего бухгалтера. Ведь так проще – адрес у всех в базе, можно сразу наладить коммуникацию.
Аутентификация по логину и паролю, по сути, является слабым звеном в общей информационной безопасности компании. Все исследования показывают, что большинство инцидентов происходят по вине пользователя. Это звено – первоочередная задача отдела ИБ. Если пользователи передают пароли, сложно думать о защите системы. Доступ всё равно подберут или украдут.
В России этой проблемы не существовало каких-то пять-десять лет назад. Но сегодня она неотвратима – автоматизация бизнеса набирает обороты. И если раньше компьютеры использовались просто как пишущие машинки, то сегодня из-за незащищённого компьютера можно потерять всю базу клиентов, а в худшем варианте развития событий – деньги со счёта. Но при этом средства защиты остались теми же.
И компании будут продолжать автоматизироваться, поэтому нужно думать об этом уже сейчас и учиться на ошибках более развитых стран, а не делать своих.
Технологии авторизации
Инструменты ИБ тоже не стоят на месте, они развиваются, появляются новые. Сегодня можно совершенно отказаться от аутентификации по логину и паролю, заменив её как минимум смарт-картами.
Сегодняшние средства авторизации:
Смарт-карты, токены или карточки с чипом. Их нельзя подделать и скопировать, они выдаются в единственно экземпляре. На этих картах также может содержаться электронная подпись или отпечаток пальца. Пользователь не будет заинтересован в передаче такого «ключа» третьим лицам.
Биометрическая аутентификация по отпечатку пальца. Здесь есть свои недостатки и неточности. Но как дополнительное средство аутентификации отпечаток пальца отлично работает. Есть более сложные биометрические данные – рисунок кровеносной системы ладони или радужной оболочки глаза, или черты лица. Есть много систем, которые позволяют это всё использовать.
Одноразовый пароль. Есть специальные брелоки, которые создают одноразовый код из 5-6 цифр. Его не надо запоминать, а если кто-то третий и подсмотрит, то код будет ему совершенно непригоден, ибо он одноразовый. Это очень удобно в поездках или командировках.
Здесь важно подойти к делу с умом. Например, охранять не совсем важную и особо важную информацию дифференцированно, и не «грузить» пользователей излишней безопасностью. Если секретарь всего лишь заказывает воду в офис и канцтовары, то авторизация по сетчатке глаза для таких целей будет выглядеть смешно. Здесь хватит обычной смарт-карты. Но как только она начинает работать с финансовыми документами, можно дополнительно авторизовать её по биометрическим данным.
Таким образом, предложив «многоярусную» аутентификацию, мы задаём разумные уровни защищенности для данных разного уровня конфиденциальности.
Здесь также надо сказать, что опыт внедрения подобных проектов у интеграторов и производителей этих систем накоплен неплохой. Это гарантирует разумный бюджет, внятные сроки и достаточно высокий уровень качества работы.
Сегодня в России внедрено как минимум несколько интересных решений:
Большой проект в Пенсионном Фонде России, работает уже несколько лет. Все несколько десятков тысяч сотрудников Фонда аутентифицируются по смарт-картам, не используя пароль. Систему продолжают развивать и поддерживать.
В банке КИТ-Финанс сотрудники аутентифицируются по отпечатку пальца. Это позволило обеспечить высокий уровень ИБ при доступе к информационным системам.
Компания «Фосагро» применяет строгую многофакторную аутентификацию. В этом проекте самый интересный момент – интеграция физического доступа (СКУД) и логического доступа: только тот человек, что зашёл в офис компании, может получить доступ к свои информационным ресурсам.
Предприятия продолжают развиваться, и наращивают автоматизацию своих бизнес-процессов. Но чем больше систем, тем больше сопротивление пользователей. Если три пары логин-пароль человек ещё может запомнить, то пять-семь он даже не будет запоминать. Лучше не доводить дело до проблемы, нужно задуматься заранее и подойти к решению упредительно, ведь от неё не уйти – переход на строгую аутентификацию пользователей необходим. Кроме того, подобный переход несёт в себе много дополнительной ценности. Централизация процессов, связанных с предоставление доступа, поможет повысить эффективность управления доступом к данным компании. Сотрудники, как офиса, так и ИТ-отдела, перестанут отвлекаться на восстановление пароля. Централизованный инструмент контроля доступа позволит точно знать, откуда сотрудник получал доступ, сколько раз вводил пароль, а также автоматизировать задачи отзыва или предоставления доступа.
Иными словами, автоматизация контроля доступа позволяет сделать компанию более эффективной и конкурентоспособной.
Материал подготовлен компанией Индид
Горячие темы