Контакты
Подписка
МЕНЮ
Контакты
Подписка

Стратегия перехода на биометрическую аутентификацию сотрудников

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

БАНКИ
БИОМЕТРИЯ
АУТЕНТИФИКАЦИЯ

Стратегия перехода на биометрическую аутентификацию сотрудников

Недостатки обычной парольной системы общеизвестны. Это и использование простых паролей, и запись их в легкодоступных местах, и передача паролей коллегам по работе или ИТ-персоналу компании. Биометрическая аутентификация была призвана для решения этих проблем
Анатолий Скородумов
Заместитель директора – начальник управления
по обеспечению информационной безопасности
(CISO) Банка "Санкт-Петербург"

К середине 2000-х гг. стали явно прослеживаться еще два негативных аспекта, связанных с использованием паролей. Первое – появилось множество интернет-сервисов с парольной аутентификацией: различные социальные сети, мессенджеры, интернет-магазины и множество других. Для каждого надо придумать по возможности уникальный сложный пароль. Опыт работы показывает, что процент пользователей, у которых пароли от банковских систем и пароли от интернет-сервисов совпадают, близок к 90%. Заразив компьютер пользователя и собрав его пароли от интернет-сервисов, можно быть уверенным, что какой-то из них подойдет и к банковским информационным системам.

Другой аспект, начавший вызывать тревогу, – это увеличение доли мобильных пользователей, которым необходим удаленный доступ к информационной системе (ИС) банка. Для организации такого доступа обычной парольной аутентификации явно недостаточно.

Выбор технологии

Мы выбирали из двух технологий: биометрической аутентификации и аутентификации на базе карт доступа в помещения (СКУД). У каждой технологии есть свои плюсы и минусы. Наш выбор биометрической аутентификации был обусловлен прежде всего тем, что данная технология обеспечивает неотделимость аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Довольно часто мне приходилось и приходится слышать фразу, что необходимо выбирать между безопасностью и удобством использования автоматизированной системы. Применение современных технологий обеспечения безопасности, в частности биометрической аутентификации, если не опровергает, то во многом нивелирует все неудобства, связанные с обеспечением безопасности системы. Что может быть проще, чем просто приложить палец к сканеру?! Поверьте, открыть дома входной замок на порядок сложнее.

Помимо повышения общего уровня информационной безопасности, ценность для бизнеса при внедрении такого класса системы заключается в снижении потерь рабочего времени сотрудников из-за проблем, периодически возникающих с их паролями, а также в повышении комфорта при работе сотрудников с информационными системами организации.

Палец не отменил, а лишь скрыл пароль

Внедрение системы биометрической аутентификации (БА) достаточно простое. Основное время уходит на получение аутентификаторов (математической свертки от папиллярного рисунка пальцев) пользователей. Во многом система использует возможности и механизмы MS AD. Дело еще в том, что реализация не предполагает замену парольной аутентификации в большом количестве эксплуатируемых в Банке автоматизированных систем. Парольная аутентификация в системах как была, так и остается. Решение позволяет отделить пользователя от пароля. Для него все выглядит так, как будто он аутентифицируется в системе по отпечатку пальца. На самом деле после того, как пользователь приложил свой палец для аутентификации, система БА по параметрам окна регистрации системы и ряду других параметров определяет, в какой именно автоматизированной системе регистрируется пользователь, и подставляет за него необходимый пароль. При этом пароль пользователя генерируется автоматически в соответствии с заданной политикой. При желании можно хоть каждый день генерировать пользователю в каждой системе новый пароль максимальной длины и сложности.

В системах контроля физического доступа в помещения Банка в настоящее время биометрическая аутентификация не используется.

Обычно к технологиям обеспечения безопасности пользователи относятся с пониманием, но без восторга. И в нашем Банке не все пользователи восприняли новую технологию с радостью. У некоторых была определенная настороженность и скепсис.

Настороженность вызывали два момента. Первое, как ни странно, – это само отношение к сканированию отпечатка пальца. У обычного человека снятие отпечатка пальца прочно ассоциируется с преступлением и преступником. Тут главное – спокойно и последовательно объяснять сотрудникам, что никто отпечатки пальцев у них не снимает, что система использует рисунок пальца для вычисления определенной математической функции, по результату которой невозможно ни в каком виде восстановить исходный рисунок.

Внедрение системы единой биометрической аутентификации во всех основных автоматизированных системах существенно снизило нагрузку на администраторов в части управления парольной защитой. Пользователи очень "любят" забывать свои пароли либо блокировать их, не обратив внимание на раскладку клавиатуры или регистр вводимых букв

Второе – у некоторых пользователей существовали опасения, надежно ли будет работать новая система: а если система не будет меня пускать? а если я порежу палец? а если сломаю руку? Приходилось объяснять, что до основного внедрения система биометрической аутентификации на протяжении почти двух лет проходила опытную эксплуатацию в двух дополнительных офисах Банка, что для защиты от случайностей типа перелома руки в системе сканируются четыре пальца – по два на каждой руке.

В настоящее время система прочно прижилась в Банке и ни у кого не возникает никаких вопросов или возражений в части ее использования.

Биометрическая аутентификация обеспечила "неотказуемость"

Внедрение системы позволило серьезно повысить уровень информационной безопасности в организации. Были сняты проблемы, связанные с компрометацией пароля: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору. В теории ИБ есть такой термин – "неотказуемость", невозможность отказаться от совершенных действий. Так вот, внедрение системы биометрической аутентификации позволило обеспечить эту самую "неотказуемость".

Внедрение системы единой биометрической аутентификации во всех основных автоматизированных системах существенно снизило нагрузку на администраторов в части управления парольной защитой. Пользователи очень "любят" забывать свои пароли либо блокировать их, не обратив внимание на раскладку клавиатуры или регистр вводимых букв.

Будущее за адаптивными системами и искусственным интеллектом

В последние годы активно развиваются и внедряются системы биометрической аутентификации. Большинство людей это уже ощутили на себе, так как во многих мобильных устройствах внедрена система аутентификации по отпечатку пальца. Достаточно перспективными видятся технологии биометрической аутентификации на базе изображения лица и голоса человека. Они уже используются в ряде систем и технологий и с течением времени будут задействоваться все шире. В будущем не только люди будут узнавать свои вещи, но и вещи будут узнавать своих владельцев.

Мы в Банке используем биометрическую аутентификацию с 2011 г. и планируем активно развивать данное направление как в части работников организации, так и применительно к клиентам Банка.

С учетом огромного числа изменений, ежедневно происходящих в информационных системах организации, все менее эффективным представляется подход, основанный на внедрении конкретных средств защиты против конкретных угроз безопасности. Все большую популярность завоевывают адаптивные системы, работающие на принципе выявления аномалий. Последние два-три года в Банке внедрено несколько систем фрод-анализа, основанных на принципе выявления аномалий. В среднесрочной перспективе на смену адаптивным системам безопасности должны прийти системы на базе искусственного интеллекта.

Очень много разговоров в последнее время ведется по поводу так называемых больших данных (Big Data). Данная технология несет в себе огромный потенциал в части обеспечения информационной безопасности. В современном информационном мире возможность поиска и сопоставления информации из различных, в том числе неструктурированных информационных массивов, может позволить выявлять угрозы на самых ранних стадиях их появления, оперативно производить оценку объектов и субъектов, обеспечивать эффективный контроль безопасности сложных систем на основе огромного количества параметров.

Опубликовано: Каталог "СКУД. Антитерроризм"-2017
Посещений: 3973

  Автор

Анатолий Скородумов

Анатолий Скородумов

Начальник Управления по обеспечению информационной
безопасности Банка "Санкт-Петербург"

Всего статей:  3

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций