Тема управления доступом к информационным ресурсам, или говоря более профессиональным языком IDM (Identity Management), возникла очень давно. Как только появилась первая информационная система, встал вопрос организации доступа к ней. Однако на заре развития информационных технологий управление доступом сводилось к простому заведению учётных записей пользователей и присвоения им логина и пароля. Малое количество информационных систем, отсутствие компьютерных преступлений и непонимание масштаба потенциальных проблем позволяло подразделениям ИТ спокойно жить без каких-либо специализированных систем управления доступом.
Однако время шло, количество информационных систем неуклонно возрастало. Компании переводили в электронный вид все большие объемы информации, включая и наиболее конфиденциальную. Стали выявляться и осмысливаться риски, связанные с тем, что электронная информация имеет совершенно иные способы распространения и требует иных мер для ее сохранения. Стали появляться политики безопасности, сложные системы аутентификации, электронно-цифровые подписи, удостоверяющие центры и многое-многое другое. Да и сотрудники, обеспечивающие доступ, разделились на два больших лагеря: службы информационных технологий (ИТ) и информационной безопасности (ИБ).
В современных реалиях управление доступом превратилось в системную задачу огромной сложности, в рамках которой службы, отвечающие за управление доступом, должны не только открывать, закрывать и изменять доступ для сотен сотрудников к десяткам систем в соответствии со сложными правилами, мгновенно реагируя на прием на работу, увольнения, карьерные перемещения или изменения бизнес-процессов. Но и обеспечивать безопасность корпоративной информации за счет использования современных и сложных систем, таких как системы предотвращения несанкционированного доступа, инфраструктуры открытых ключей PKI (Public Key Infrastructure) и многих других.
Решение всех этих задач в ручном режиме становиться крайне трудоемким, неэффективным и неизбежно приводит к следующим негативным последствиям:
- Значительным задержкам в скорости выполнения заявок на предоставление и изменение доступа. Не редки примеры, когда в крупных компаниях вновь принятый на работу сотрудник проводит в ожидании получения доступа к положенным ему ИТ-системам до 10 рабочих дней. Т. е. на протяжении первых двух недель работы сотрудник не в состоянии выполнять какую-либо работу и приносить пользу своему работодателю. При том, что зарплату за это время он получит в полном объеме. Не сложно оценить, какие потери будет нести компания, ежегодно принимающая на работу сотни сотрудников и оплачивающая им столь долгий период бездействия.
- Постоянному раздуванию штата ИТ-администраторов — пропорционально росту штата основных бизнес-подразделений и количеству ИТ-систем.
- Дополнительным затратам на приобретение программного обеспечения. По статистике, в компаниях, не имеющих систем автоматизированной оценки соотнесения реальных прав доступа и необходимых для работы прав, в соответствии с ролевой моделью, до 30% лицензий на приобретенное ПО используются не по назначению. Т. е. вы будете докупать новые лицензии на ПО, в связи с расширением штата, не имея представления о том, что 30% сотрудников, за которыми закреплены уже приобретенные лицензии, ими не пользуются и они им для работы совершенно не нужны.
- Появлению в системе неактуальных учетных записей и «мертвых душ», учетных записей уже уволенных сотрудников. А вот эта проблема уже представляет серьезные риски с точки зрения информационной безопасности. Представьте себе, что вы жестко увольняете нерадивого сотрудника за некачественную работу. Очевидно, что после этого у него остается недовольство бывшим работодателем и желание как-то поквитаться с ним, при удобном случае. А тут вдруг выясняется, что у этого сотрудника, уже получившего полный расчет и трудовую книжку, т. е. ничем юридически не связанного с компанией, забыли отозвать права доступа к информационным системам. Ну потерялась служебная записка где-то на пути из отдела персонала до отдела ИБ. О том, что может произойти в подобной ситуации мы регулярно читаем в новостях.
Для эффективной автоматизации процесса управления доступом и решения всех описанных выше проблем и были созданы системы класса IDM. Простыми словами принципы работы системы IDM выглядят следующим образом. На стадии ее внедрения в компании создается и загружается в систему ролевая модель доступа, т. е. описание категорий сотрудников и необходимых им для работы доступов к тем или иным информационным системам. Сама система IDM, установленная в организации, становится связующим звеном между пользователями и информационными системами, т. е. IDM-система, связанная конекторами со всеми другими информационными системами компании, автоматически заводит и при необходимости изменяет права доступа для сотрудников. При этом в IDM-системе формируется единая база всех прав доступа для всех работающих сотрудников, что очень серьезно облегчает контроль корректности предоставляемого доступа. При этом очень серьезно разгружаются системные администраторы. Вместо ручного заведения пользователей в десятки систем, они администрируют единую базу, обладающую удобными для работы пользовательскими интерфейсами. Но это еще не все, IDM системы обязательно увязываются с кадровыми системами компании, что позволяет мгновенно и в автоматическом режиме получать всю информацию о любых движениях персонала. Т. е. как только в отделе персонала будет проведен приказ о приеме нового менеджера по продажам, IDM-система тут же сформирует для него все необходимые учетные записи во всех положенных ему системах, а при проведении приказа об увольнении автоматически и незамедлительно заблокирует все права доступа.
Удобство таких систем очевидно, и с каждым годом число организаций, постоянно использующих их в своей работе, неуклонно растет. Но давайте попробуем взглянуть в недалекое будущее и попытаться понять, куда будут развиваться эти системы и как они будут выглядеть через 10−15 лет?
Многофакторная аутентификация Уже сейчас организации, серьезно заботящиеся о своей информационной безопасности, используют системы двухфакторной аутентификации. Суть этого метода заключается в том, что пользователь для получения доступа к информационным ресурсам должен не только знать некий пароль (ПИН код), но и иметь некий материальный носитель (токен или смарт карту), который должен быть считан компьютером. Т. е. доступ будет открыт только при соблюдении двух условий безопасности: токен вставлен в USB-порт и введен верный ПИН-код. Такая аутентификация значительно усложняет несанкционированный доступ. Даже если злоумышленник смог узнать легитимные логин и пароль, без токена он не сможет ими воспользоваться. И наоборот, даже если вы потерянный или украденный токен попадает к злоумышленникам, воспользоваться им без знания ПИН-кода не получиться.
Именно в развитии и увеличении набора параметров аутентификации и будет заключаться один из важнейших трендов развития IDM-систем. Уже сейчас, в компании Avanpost ведутся работы по интеграции нашей IDM-системы с несколькими наиболее популярными системами СКУД (Системы Контроля и Управления Доступом), которые контролируют физический доступ сотрудников на территорию предприятия. Элементами СКУД являются те самые турникеты на входе в офис, магнитные замки на различных помещениях и электронные карточки-пропуска, которые вы носите с собой. Как же могут быть связаны системы IDM и СКУД? Очень просто. На программном уровне мы можем ввести дополнительный параметр аутентификации: подтвержденное СКУД пребывание сотрудника, чьи аутентификационные данные вводятся в систему с определенного компьютера, в офисе компании и еще точнее — именно в том помещении, где установлен этот комьпютер. Т. е. уже недостаточно иметь токен и знать его ПИН-код. Чтобы заветное приложение открылось, надо еще, чтобы система СКУД подтвердила системе IDM, что сотрудник, от чьего лица делается попытка войти в ту или иную систему, действительно сегодня пришел в офис и находится в том самом помещении, из которого сейчас пришел запрос на доступ.
На первый взгляд, это может показаться излишне сложным и не очень нужным, но давайте рассмотрим пример из жизни. У одного из наших клиентов произошло несанкционированное списание денег со счета через систему Дистанционного Банковского Обслуживания (ДБО). По итогам расследования инцидента было достоверно установлено, что данная транзакция была проведена с компьютера главного бухгалтера по всем правилам с использованием токена, выданного в банке. При этом главный бухгалтер клялась, что данную транзакцию не проводила. Дополнительное расследование установило, что в тот момент, когда произошел перевод денег, главбух со своими коллегами находилися на обеде в соседнем кафе. Это подтвердилось и информацией из системы СКУД, и показаниями свидетелей. Т. е. главный бухгалтер покинула свое рабочее место, забыв заблокировать свой компьютер и оставив в нем свой ключ от системы «клиент-банк» (токен). И некий злоумышленник, находившийся в этот момент в офисе, просто зайдя в пустое помещение бухгалтерии совершил перевод денег. Поскольку офис этой компании не был оборудован видеокамерами, установить злоумышленника так и не удалось. А главный бухгалтер получила не только строгий выговор за халатность, но и целый ряд ее премий и бонусов еще долго будет отчисляться в счет компенсации украденной суммы. По итогам этого инцидента организация реализовала у себя «защиту от дурака». Теперь дверь бухгалтерии оборудована магнитным замком, который открывается изнутри только при условии, что токен от клиент-банка вынут из компьютера. Т. е. главный бухгалтер физически не сможет выйти из своего кабинета, пока доступ к системе платежей открыт. И реализация такого функционала стала возможна за счет интеграции систем IDM и СКУД.
Эту систему можно по праву назвать системой ТРЕХФАКТОРНОЙ АУТЕНТИФИКАЦИИ:
- Я имею физический ключевой носитель.
- Я знаю ПИН код.
- Я нахожусь в правильном месте и это подтверждено системой СКУД.
Еще одним направлением усложнения систем доступа может стать использование идентификаторов, неотделимых от конкретного человека. Это биометрические параметры: отпечатки пальцев, данные сканирования роговицы глаза и т. д. Уже сейчас целый ряд ноутбуков и даже флэшек оснащается считывателями отпечатков пальцев. И я уверен, что интеграция подобных данных с IDM-системами не за горами.
Мобильная революция Еще одним трендом в области управления доступом является поддержка мобильных устройств. Их использование в целом и смартфонов в частности, «взорвало» рынок в последние несколько лет. По данным исследовательской фирмы Canalys, 488 миллионов смартфонов отгружено в 2011 году — это больше, чем персональных компьютеров и планшетов (около 415 миллионов). По ее данным это на 62,7 процента больше, чем в предыдущем году. Продажа смартфонов в 2012 году, как ожидается, вырастет еще на 32% по отношению к 2011 году. Основной операционной системой для них становится Android.
Уже сейчас смартфонов и других мобильных устройств так много, а число их растет так быстро, что кажется вполне логичной их увязка с идентификацией личности через мобильные устройства. Ведь большинство людей постоянно носит их с собой, как и ключи или кошельки. Причем и то и другое уже в обозримом будущем вполне могут заменить мобильные устройства. Новая технология Near Field Communications (NFC) уже сейчас присутствует в большинстве новых устройств, в будущем же, скорее всего, она станет обязательным атрибутом мобильного устройства. С ее помощью можно, например, осуществить платежи, просто проведя телефоном возле соответствующего термина, при этом никакой физической карты не нужно. Вообще, способов применения данной технологии очень много. В частности, ее вполне можно использовать как электронные ключи-карты для доступа в помещения или автомобили, а также для предъявления удостоверяющих личность электронных документов, таких как паспорт или водительское удостоверение.
К сожалению, как всегда, новые технологии имеют свои недостатки. Очевидно, что должны быть механизмы защиты персональных данных от несанкционированного использования мобильных устройств посторонними людьми или даже злоумышленниками. Для большей безопасности многофакторная аутентификация просто необходима. В данном случае это может быть связка мобильный «телефон — ПИН-код» или мобильный телефон плюс одноразовые пароли, отправляемые посредством СМС-сообщений.
IDM-изация социальных сетей Социальные сети вошли в нашу жизнь давно и прочно, дав возможность постоянно быть на связи с целым рядом близких и не очень людей. Для многих они вообще стали предпочтительным способом общения и проведения досуга. При этом с каждым годом стремительно возрастают объемы сведений, которые мы, не задумываясь о последствиях, выкладываем о себе в сети. Это и фотографии, и свои сокровенные мысли, и планы поездок, и восторженные рассказы о покупках, и репортажи о семейных событиях, и многое-многое другое.
Но у такой открытости есть и не приятная оборотная сторона. Начиная с целого ряда мошеннических схем, в основе которых лежит информация, собираемая о жертвах из социальных сетей. И заканчивая целой индустрией по взлому и продаже учетных данных зарегистрированных пользователей. Потребителей таких услуг, поверьте, немало — от ревнивых мужей и жен, пытающихся проверить интернет-связи супругов, до тех же мошенников, которые получают всю необходимую информацию, чтобы спланировать и осуществить преступление. Согласитесь, что вы вряд ли откажете в просьбе перевести некоторую сумму на мобильный телефон или сделать небольшой денежный перевод своему старому другу, уехавшему на отдых и попавшему в затруднительную ситуацию. Но сейчас сплошь и рядом оказывается, он не просил вас об этом. Просто его аккаунт был взломан, о от его имени с вами пообщались мошенники. И для обворованного это — самый легкий сценарий.
Постепенно к пользователям социальных сетей приходит осознание, что всеобщая открытость опасна, и необходимо надежно разграничивать доступ различных пользователей к своей информации, а также иметь эффективные инструменты охраны своего аккаунта от внешних посягательств. Совершенно отчетливо просматривается перспектива, что ответом на эти потребности станет появление в социальных сетях сервисов, схожих с IDM-системами. Конечно, эти изменения не произойдут одномоментно. Сначала такие сервисы предоставят наиболее передовые владельцы соцсетей, участники которых воспримут высокий уровень безопасности как серьезное преимущество. А потом, как это всегда и бывает, новый сервис перейдет в разряд обязательных, без которых пребывание ни одной нормальной соцсети будет уже немыслимо.
Вот тогда и наступит золотая эра IDM-систем, т.к. количество их пользователей возрастет в тысячи раз по сравнению с текущим уровнем. И этот путь начинается уже сейчас, т.к. число компаний, осознавших важность данной темы и приступивших к внедрению IDM-решений, неуклонно растет.
Андрей Конусов, генеральный директор компании Аванпост