Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Интервью с экспертом: «Безопасность аутентификации прирастает стандартами»

Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал об актуальных рисках информационной безопасности для пользователей систем идентификации и аутентификации.

Sabanov.png

Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.»

Расскажите, пожалуйста, о наиболее актуальных рисках для пользователей современных систем идентификации и аутентификации. Что это за риски? Какова их природа?

Даже краткий ответ на вопрос о рисках и об их оценке занял бы объем в десяток страниц. И все равно он не был бы исчерпывающим, поскольку для каждой информационной системы риски могут отличаться от общего типового перечня. Известно, что риск зависит от вероятности наступления нежелательного события и степени его последствий. Для некоторых типовых систем такие оценки актуальных рисков можно выполнить, опираясь на известное описание угроз аутентификации и методов их парирования, приведенных в международных стандартах, например, ITU-T X.1254, ITU-T 1278, ISO/IEC 29115, NIST SP-800-63-3. Поскольку российская нормативная правовая база, в отличие от зарубежных, не содержит подробных рекомендаций по построению систем идентификации и аутентификации (СИА), каждая организация на свое усмотрение строит систему управления доступом и входящую в нее СИА. Поэтому выделить общие риски для пользователей СИА весьма непросто.

Тем не менее, попробую ответить на ваш вопрос. Оценку рисков обычно выполняют для организации. Для пользователя такой анализ проводится весьма редко. Для некоторого типа информационных систем (ИС), например, систем дистанционного банковского обслуживания (ДБО), такая оценка полезна. Клиенту ДБО важно, чтобы данные его учетной записи никуда не «утекли», и злоумышленники впоследствии не смогли воспользоваться его финансовыми ресурсами. Риск реализации такого нежелательного события сегодня становится одним из самых актуальных для пользователей. Поэтому некоторым заказчикам мы предлагаем шифровать базу данных учетных записей, и уже нередко заказчики на это идут.

Рассмотрим второй риск. Хотя использование биометрических и поведенческих факторов аутентификации может повысить уровень доверия в результате аутентификации, для оценки их применимости следует учитывать следующие риски:

  • В первую очередь, вероятностный характер биометрии: вероятность ошибочного определения того, что измеренные значения биометрии для отдельного субъекта совпадают с измеренными значениями для зарегистрированного в данной ИС пользователя, может быть уменьшена, но не устранена.
  • Врожденные биометрические и поведенческие аспекты личности принципиально неизменны и, если когда-либо будет нарушена их конфиденциальность, то они не могут быть отменены и изменены.
  • Врожденные биометрические и поведенческие характеристики личности не являются особым секретом. Их можно получить онлайн или, например, с помощью камеры телефона. Так можно получить изображения лица или узоры радужной оболочки глаза. Можно снять с предметов, к которым кто-то прикасался, отпечатки пальцев, в том числе получить их изображения с высоким разрешением.
  • Процесс сопоставления наблюдаемого или измеренного биометрического аспекта может быть атакован, что может привести к неправильному распознаванию человека в качестве пользователя.

Учитывая вышесказанное, в качестве третьего риска можно указать риск несанкционированной потери или разглашения персональных данных (ПДн), поскольку все идентификационные данные субъекта доступа в той или иной степени являются его ПДн. Четвертым риском являются различные реализации атак на протоколы аутентификации. К подобным атакам относятся:

  • пассивное прослушивание;
  • активные атаки – имитация легального пользователя, проверяющей и доверяющей сторон и перехват сеанса: обращение от имени пользователя к доверяющей стороне с целью получения конфиденциальной информации или ввода недействительной информации; обращение от имени доверяющей стороны к проверяющей стороне с целью получения конфиденциальной информации или ввода недействительной информации.

Какие новые риски могут возникнуть в перспективе? Ведь ландшафт угроз ИБ быстро меняется: злоумышленники совершенствуют технологии и методы атак, находят новые уязвимости, используют пробелы в регуляторике.

Я вас наверное разочарую, но не назову новых рисков, тем более в перспективе. Для этого надо быть провидцем. Да, технологии ИКТ быстро развиваются, и технологии атак меняются, но классификация рисков при этом меняется не столь быстро. Например, одним из наиболее актуальных рисков аутентификации является риск реализации атаки «человек посередине», при этом методы атаки меняются, а сама атака остается актуальной уже более 30 лет. В качестве второго примера можно привести риски реализации атак класса «социальная инженерия», выполняемых в виде совокупности психологических и социологических приемов, методов и технологий, которые позволяют получить конфиденциальную информацию. Кибермошенники, использующие такие приемы на практике, постоянно меняют тему и направление атак, приспосабливаясь к новым условиям, но от этого атаки и риски не меняют свое название и свою актуальность.

Очевидно, что на новые вызовы придется отвечать. Каким вы видите развитие систем идентификации и аутентификации в этой связи?

Хотелось бы увидеть в ближайшей перспективе появление нормативных правовых актов, регулирующих процесс проектирования, построения, эксплуатации и аудита СИА. Существенная часть основы для этого закладывается в серии национальных стандартов системы ГОСТ Р, проекты которых уже разработаны и находятся на разных этапах согласования. По задумке ФСТЭК России базовым стандартом, заложившим фундамент для построения системы стандартов, является ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения», утвержденный в мае 2020 года. Этот стандарт и серия построенных на его основе стандартов призваны сократить отставание национальной системы стандартов от мировой, чтобы гармонизировать выход наших стандартов с минимальным разрывом по времени от международных. Пока это всего четыре стандарта, охватывающие область идентификации и аутентификации с точки зрения уровней доверия, но уже в ближайших планах предусматривается развитие этого базиса, вобравшего в себя тридцатилетний международный опыт, отображенный в двадцати трех стандартах Международного союза электросвязи и Международной организации по стандартизации (ИСО). Начиная с указанных четырех стандартов наша система стандартов будет развиваться в ногу с международными, при этом уже принятые и будущие стандарты не противоречат актуальной нормативно-правовой базе и могут служить одной из составляющих базиса для создания нормативной базы для СИА.

В настоящее время многие предприятия и организации переходят на удаленный доступ к государственным информационным системам и объектам критической информационной инфраструктуры (КИИ), и ФСТЭК России это допускает. Но возникают ли дополнительные риски в связи с таким переходом? Как их можно минимизировать?

Безусловно, удаленный доступ порождает дополнительные и весьма ощутимые риски. Это в первую очередь риски, характерные для сетевого взаимодействия через сети общего пользования и риски нарушения защиты оконечных устройств от несанкционированного доступа (НСД). Однако удаленная работа организуется по-разному.

В первую волну пандемии коронавирусной инфекции некоторые организации не были к ней готовы и существенно ослабили защиту ради предоставления удаленного доступа, чем в ряде случаев не преминули воспользоваться злоумышленники. Те организации, которые регулярно и последовательно следили за состоянием защищенности своих ресурсов, перешли на удаленный режим работы почти безболезненно, особенно те, у кого были резервные бюджеты. Хорошо известно, что были сделаны срочные закупки ноутбуков (объем продаж резко вырос, и к лету 2020 года запас ноутбуков в России «растаял»), которые были оснащены средствами защиты информации от НСД с возможностью построения VPN для доступа к корпоративным информационным ресурсам (КИР), и удаленная работа стала относительно безопасной.

Другое дело – организации, разрешившие своим сотрудникам подсоединяться к КИР с домашних компьютеров. Именно для таких организаций ФСТЭК России и выпустила Требования по безопасности информации к средствам обеспечения безопасно дистанционной работы в информационных (автоматизированных) системах, утвержденные Приказом от 16 февраля 2021 г. № 32, в разработке которого принял участие генеральный директор АО «Аладдин Р.Д.» Сергей Груздев. Требования указанного приказа настолько серьезно проработаны и строги, что до сих пор ни один разработчик не сертифицировал по этим требованиям свое решение. Поэтому ваша формулировка «ФСТЭК России допускает…» весьма относительна. По сути, это могло бы быть коротким ответом на вопрос «как можно минимизировать риски»: применяйте сертифицированное по требованиям приказа 32 решение. Схема доступа, регламентированная в указанных Требованиях, подразумевает минимальный объем обмена информацией между конечными точками по каналу связи, защищенному сертифицированными средствами криптографической защиты информации, а требования непосредственно к средству обеспечения безопасности удаленной работы включают применение сертифицированной операционной системы и ее доверенную загрузку после строгой (или усиленной) аутентификации пользователя только на авторизованных (разрешенных к использованию) ответственным лицом средствах вычислительной техники, а также блокирование возможности использования любых устройств ввода-вывода средств вычислительной техники и удаленного управления.

Какие методы аутентификации наиболее часто применяются пользователями на сегодняшний день, а какие станут самыми востребованными в будущем? Опишите тенденции, преобладающие на зарубежном и российском рынках средств аутентификации.

За последние несколько лет тенденция в мире состоит в последовательном усилении требований к аутентификации как в международных, так и в национальных стандартах развитых стран. В зависимости от уровня рисков строго выстроены уровни доверия к идентификации и аутентификации клиентов информационных систем. При этом рекомендуются и применяются на практике соответствующие методы аутентификации. К сожалению, в абсолютном большинстве документов нормативной правовой базы в основном путем «копи-паст» повторяются слова о необходимости применения идентификации и аутентификации, но не говорится, КАК это делать. Другими словами, выбор методов и средств аутентификации у нас отдан на откуп владельцам (администраторам) информационных систем. В условиях гонки за первенство в цифровизации зачастую выбираются самые простые в реализации (и далеко не соответствующие рискам) методы аутентификации, при этом понятия часто легко подменяются. Например, двухфакторной аутентификацией не слишком утруждающие себя изучением матчасти «информатизаторы» называют всё, что требует неоднократного предъявления в процессе аутентификации. К сожалению, техническая безграмотность разработчиков систем аутентификации и отсутствие «фильтра» в лице экспертов при подготовке проектов некоторых нормативных актов становятся устойчивой тенденцией.

Как вы оцениваете уровень развития национальных корпоративных систем управления аутентификацией? В каком направлении развиваются эти системы?

По большому счету, повышенное внимание к проектированию СИА стало заметным только с развитием повсеместной цифровизации и началом реального импортозамещения. До этого администраторы, закончившие курсы Microsoft, строили СИА по одному лекалу наших западных «партнеров» с небольшими девиациями в зависимости от выделенных бюджетов. При переходе с импортного системного программного обеспечения (ПО) на свободно распространяемое выяснилось, что адекватной замены на инфраструктурные решения и достаточно удобные средства реализации корпоративных политик управления доступом пока в полном объеме не созданы. Многое надо «достраивать», особенно в части высоких уровней доверия идентификации и аутентификации. Например, для крупного корпоративного заказчика нет масштабируемого решения по обеспечению жизненного цикла цифровых сертификатов доступа, что позволило бы построить строгую многофакторную аутентификацию под управлением специального программного обеспечения. Другими словами, мы живем в эпоху перехода значительной части корпоративных СИА с зарубежного ПО на отечественное, что само по себе является безусловно полезным процессом. Выражаю надежду, что наши разработчики успеют предоставить этому перспективному рынку безопасное и функциональное программное обеспечение, обеспечивающее защищенность ИС различного назначения. При этом хотелось бы существенно повысить защиту данных учетных записей пользователей ИС объектов КИИ. Замечу, что альтернативы шифрованию с помощью сертифицированных отечественных алгоритмов пока не видится.

Как сейчас связаны идентификация и аутентификация с системами управления доступом? Какова роль аутентификации в эволюции данных систем?

На эту тему в 2021 году вышел ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом», разработанный группой специалистов под моим руководством. Этот стандарт может позиционироваться как информационный, но поскольку он вбирает в себя мировой опыт создания СИА, как существенной части систем управления доступом, его пользу признали даже оппоненты. В стандарте четко расписаны функции и зоны ответственности систем идентификации и систем авторизации, что на мой взгляд поможет администраторам глубже понимать роль и функции идентификации и аутентификации в системах управления доступом.

Как соотносится нормативная правовая база Российской Федерации и стандарты в части идентификации и аутентификации? Насколько они гармонизированы между собой, в чем пока не согласуются?

Исторически сложилось, что пристальное внимание уделялось защите от несанкционированного доступа. Нормативная база, созданная усилиями уполномоченных государственных органов, актуальна для этого вида нарушений в подавляющем большинстве реализаций. В то же время, как было отмечено выше, к сожалению, нормативная база в части санкционированного доступа и особенно в части идентификации и аутентификации пока отстает от интенсивно развивающейся системы национальных стандартов. Но это временное явление. Я надеюсь, что в ближайшее время у нас появится нормативная правовая база в части регулирования процессов и систем идентификации и аутентификации, отвечающая самым современным требованиям развития цифрового общества в Российской Федерации.

Как соотносятся международные стандарты по идентификации и аутентификации с системой национальных стандартов России? Вы являетесь экспертом ИСО в данном направлении информационной безопасности. Каковы ваши оценки?

Усилиями ФСТЭК России с помощью лицензиатов – разработчиков стандартов, входящих в ТК 362, удалось ликвидировать отставание в развитии системы стандартов ГОСТ Р. В течение 2022-2023 гг. мы выйдем на уровень современного состояния мировой системы стандартов, и я надеюсь, что с 2023 года стандарты по идентификации и аутентификации будут обновляться каждые 5 лет, как это принято в ИСО. Для этого уже сегодня созданы все условия. В международных организациях по стандартизации работают наши специалисты, оценивающие, какие полезные положения из международных стандартов необходимо привносить в национальную систему стандартов, а без каких мы вполне сможем обходиться. Создана совместная рабочая группа по разработке стандартов по аутентификации, в которую входят ведущие разработчики стандартов из компаний - лицензиатов ФСБ России и ФСТЭК России.

Вошли ли в стандарт ГОСТ Р «Защита информации. Идентификация и аутентификация. Основные положения» положения вашей докторской диссертации по формированию уровней доверия к идентификации и аутентификации? Имеются ли планы по развитию системы национальных стандартов в данном направлении?

Каждому стандарту предшествует анализ состояния не только международных и национальных стандартов, но и состояния научных исследований по предмету разрабатываемого стандарта. В итоге обычно получается достаточно толстый научно-технический отчет. Естественно, некоторая часть положений из диссертации вошла в часть отчетов, которые легли в основу текстов проектов стандартов.

Поскольку наука не стоит на месте, и в данное время мы с аспирантами решаем научные проблемы по основам доверия к работе систем управления доступом различного назначения, куда СИА входит как существенная составляющая, то имеется вероятность того, что некоторые научные положения могут пригодиться в случае принятия решения уполномоченными органами о разработке новых стандартов по идентификации и аутентификации.