Развитие мобильных технологий и размытие границ защитного ИБ-периметра вокруг банка привело к потребности более глубокого понимания различий между терминами «идентификация», «аутентификация» и «авторизация». IT-решения, реализующие эти бизнес-функции, все более дифференцируются, а некоторые из них подпадают под прямое регулирование со стороны ЦБ, ФСБ и т.д.

Давайте разберемся

Итак, идентификация — процесс определения, что за человек перед нами. Аутентификация — процесс подтверждения, что этот человек именно тот, за кого себя выдает. Авторизация — процесс принятия решения о том, что этой аутентифицированной персоне разрешается делать. Таким образом, это три разных, последовательных и взаимно не заменяемых понятия.

Идентификацию часто подразумевают в составе аутентификации. Но главное — четко различать аутентификацию и авторизацию. В ходе аутентификации мы удостоверяемся, что человек, который к нам пришел, обладает доказательствами, подтверждающими личность. С учетом степени доверия и политики безопасности систем проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографии.

Для наглядности связь и некоторые особенности этих процедур приведены в таблице ниже.

Таблица. Связь аутентификации и идентификации

Как видно, выделяются несколько ключевых элементов системы: субъект, который будет проходить процедуру, характеристика субъекта — отличительная черта, и т.д.

I know, I have, I am

Комментируя приведенную таблицу, Ирина Гуськова, начальник отдела сетевых услуг Orange Business Services, выделяет три основных фактора аутентификации.

1. То, что мы знаем (I know), — как правило, это пароль, ключевое слово, PIN-код банковской или SIM-карты. Аутентификацию по этому фактору легко внедрить, но и легко взломать — украденная запись или файл.

2. То, что мы имеем (I have), — это могут быть банковская карта, брелок с генератором паролей, смарт-карта и т.д. Технически более сложный метод, более дорогой в использовании, но и более надежный. В случае утери данного «предмета» мы можем сразу же сообщить в службу безопасности, где незамедлительно позаботятся о том, чтобы наш уникальный предмет мгновенно перестал быть средством аутентификации.

3. То, чем мы являемся (I am), – биометрика. Наши физические особенности: отпечатки пальцев, форма и объем рук, лица, тембр голоса, рисунок сетчатки глаза и т.д. Самый развивающийся на данный момент способ аутентификации, начиная с дактилоскопических сканеров на телефоне и заканчивая спектроанализаторами голоса.

Как правило, первые два фактора сами по себе, так или иначе, могут быть скомпрометированы, а внедрение третьего фактора (I am) — весьма дорогостоящая процедура, которая не всегда уместна: ставить дактилоскоп для покупки пачки сигарет — мера избыточная. Поэтому выбор стратегии аутентификации напрямую зависит от критичности систем и операций, для которых требуется аутентификация.

Для систем, не критичных для бизнеса (справочно-информационные порталы, персонализированные порталы новостных агрегаторов и т.д.), достаточно использовать один фактор, при этом фактора «I know» вполне достаточно, а использование фактора «I have» — дополнительная гарантия безопасности для конечного пользователя.

Для систем, взлом которых может оказать существенное влияние на бизнес компании или его клиента, использования фактора «I know» уже недостаточно, нужен как минимум более стойкий фактор «I have». Но лучше и надежнее — сочетание двух факторов. Двухфакторная аутентификация внедряется сейчас повсеместно — начиная от публичных почтовых сервисов (такую услугу предлагают Google, Yahoo, Yandex и другие) и заканчивая крупными компаниями, организующими доступ удаленных сотрудников в корпоративную сеть.

Наиболее перспективными факторами сейчас считаются биометрическая, многофакторная облачная аутентификация, а также строгая форма аутентификации. Что касается биометрии, «Банковское обозрение» 10 февраля 2017 года проводит конференцию «Удаленная идентификация и биометрия в финансовой отрасли: регулирование, технологии, решения», где будет подробно рассмотрено все, что имеет отношение к биометрии. Сейчас же коротко остановимся на двух оставшихся перспективных направлениях.

Аутентификация в облаке

Если раньше чаще всего требовалось развернуть on-premise-решение, то в настоящий момент набирает популярность AaaS (Authentication as a service) — управляемое решение по обеспечению двухфакторной аутентификации, при котором клиенту не требуется дополнительно разворачивать какую-либо инфраструктуру, а управление решением ложится на плечи провайдера.

Ирина Гуськова приоткрывает суть облачной аутентификации: «Услуга Orange по аутентификации пользователей основана на решении ведущего в этой области производителя. Платформа развернута на территории России в современном дата-центре в Москве, имеет отказоустойчивую архитектуру и соответствует требованиям законодательства по хранению и обработке персональных данных согласно ФЗ-152». Но это, что называется, must be. В чем особенности?

Сервис заключается в организации дополнительного второго фактора аутентификации в виде одноразового пароля для доступа к любым ресурсам как внутри предприятия клиента, так и к облачным сервисам. Данный пароль может быть сформирован как при помощи аппаратного аутентификатора, токена, так и при помощи приложений, установленных на пользовательские устройства. В качестве данных устройств могут выступать персональный компьютер, ноутбук или мобильные устройства. Также существует возможность аутентифицироваться при помощи SMS.

«Поскольку мы предлагаем полностью управляемый сервис, со стороны клиента не требуется никаких капитальных вложений и дополнительных ресурсов по обслуживанию данной платформы. Таким образом, клиент, выбирая данное решение, закрывает задачи создания единой точки аутентификации и повышения надежности идентификации пользователей при работе с корпоративными системами компании клиента», — рассказывает эксперт.

AaaS может уже похвастать и успешными примерами внед­рения в глобальных и отечественных компаниях, различных индустриях, включая финансовый и банковский секторы. Как считает большинство экспертов, именно в финансовой вертикали наблюдается все больший спрос на облака подобного рода.

Строгая аутентификация и ЭЦП

Заканчивая разговор об облаках, нельзя не упомянуть взлет технологий UAF для проведения безопасных транзакций и U2F для многофакторной аутентификации, разработанные FIDO Alliance. Последняя в ряде европейских стран уже вошла, что называется, в тренд и претендует на позиции национального стандарта в области аутентификации. Но если решение Orange нацелено на корпоративных пользователей, то FIDO большей частью ориентируется на физических лиц.

Основная задача FIDO Alliance — предоставление онлайн-службам возможности проведения строгой аутентификации для снижения числа проблем, связанных с необходимостью запоминания большого количества учетных данных. В ее составе лидеры технологического рынка Google и Microsoft, крупные финансовые структуры и платежные системы PayPal, Bank of America, Mastercard и Visa, а также ряд глобальных интернет-магазинов, например AliExpress.

U2F неплохо подходит для платежных систем, но, например, для систем ДБО, где существуют жесткие требования регуляторов, необходимы сертифицированные средства двухфакторной аутентификации пользователя и веб-сервера, формирования и проверки усиленной квалифицированной подписи, а также шифрования трафика. Чаще всего аппаратная реализация ЭЦП происходит при помощи неизвлекаемого ключа «на борту» смарт-карты и USB-токена. При этом должна быть реализована усиленная защита от атак на ЭЦП со стороны вредоносного ПО и удаленных злоумышленников при работе пользователей в недоверенной среде.

Обычно модули строгой аутентификации внедряются в рамках систем идентификации и управления доступом к информационным ресурсам предприятия (IDM). Практически стандартом стало использование SSO (Single Sign-On) — механизма единого входа в систему или в приложение. Применяя эту технологию, пользователи осуществляют вход во все приложения с использованием одного идентификатора, при этом исключается необходимость запоминания множества логинов и паролей, что сокращает время доступа к приложениям.

Из последних внедрений подобного рода можно привести пример Россельхозбанка, в феврале 2016 года завершившего проект по созданию системы учета, управления и аудита средств аутентификации и хранения ключевой информации (токенов) — IDM — на базе решения «Аванпост PKI». В декабре 2016 года банк «Российский капитал» объявил о выборе электронных идентификаторов Рутокен ЭЦП 2.0 от компании «Актив» (сертифицированных ФСБ) для генерации электронной подписи в ходе выполнения корпоративными клиентами платежных операций в системе ДБО. Масса успешных проектов есть в портфеле компании «Аладдин Р.Д.». При этом надо понимать, что банки защищаются при помощи усиленной аутентификации и ЭЦП не только от внешних злоумышленников, но и от внутренних нарушителей (инсайдеров, «суперадминов» и т.д.). Это отдельное огромное поле, которое имеет целый сонм своих специфических особенностей, о котором имеет смысл подробнее поговорить уже после конференции 10 февраля.