Последние мировые тренды в ИБ: смерть классики

Информационные технологии и интернет продолжают захватывать все новые сферы нашей жизни, и в облака перетекает все больше достаточно интимных сведений о работе, финансовом положении, частной жизни и здоровье людей. Большинство пользователей еще относятся к защите своих секретов наплевательски, но только пока сами не попадают в переделку. А случись беда, ищут «крайнего», а им оказывается провайдер. Конечно, юридически он чист, но репутация его страдает, что создает риск оттока абонентов.

За последние два-три года риски взлома или хищения важной конфиденциальной информации из публичных облаков ощутимо выросли, ведь концентрация таких данных у провайдеров-гигантов резко увеличилась, а технология аутентификации остается на допотопном уровне, когда злоумышленнику противостоит лишь обычная пара логин-пароль, недостатки которой в корпоративном мире давно признаны. Видимо, это стало сильно тревожить ведущих провайдеров, возглавляющих облачную революции. Так сильно, что в последнее время они запустили совершенно новый тренд, связанный с переносом механизмов аутентификации из корпоративного сектора в мир конечного потребителя как физического лица.

Застрельщиком стала Google. В одном из недавно опубликованных отчетов Эрик Гроссе (Eric Grosse), вице-президент Google по безопасности, заметил, что: «...современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности...». После чего началось тестирование во всех сервисах Google системы двухфакторной аутентификации на базе USB-токенов от компании Yubico. Вскоре все изъявившие желание пользователи смогут входить в свои учетные записи сервисов Google не по привычному логину/паролю, а с помощью предъявления USB-токена и ПИН-кода к нему. Правда, в конце февраля 2013 была-таки найдена брешь, позволяющая обойти систему двухфакторной аутентификации в Google. Но мало кто сомневается, что это временная проблема, и новая система аутентификации будет доведена до ума.

Идея Google вызвала неподдельный интерес ИТ- и ИБ-сообщества. К примеру, в начале 2013 года, президент PayPal Дэвид Маркус (David Marcus) заявил: «Мы хотим отказаться от паролей и использовать встроенные в мобильные телефоны сканеры отпечатков пальцев».

Более того, несколько влиятельных компаний, среди которых Lenovo, PayPal, Validity, Infineon и др., выступили инициаторами создания специализированного сообщества FIDO (The Fast Identity Online Alliance), призванного разработать общий стандарт, базирующийся на двухфакторной аутентификации. Forget Passwords! – так звучит слоган сообщества.

Без всякого преувеличения, решение Google стало беспрецедентным шагом, открывшим эру применения высоконадежной аутентификации массовыми интернет-сервисами. В случае успеха это позитивно повлияет на информационную безопасность не только облака Google, но и всей отрасли. Ведь все больше сторонних провайдеров при обслуживании своих пользователей принимают результаты их аутентификации в Google. Ясно, что, со временем, Google сможет претендовать на статус центрального сервиса аутентификации. Это нервирует других гигантов рынка, и они взялись за дело. Двухфакторная аутентификации появилась в Facebook, а в феврале о возможности ее применения объявила сеть Twitter. Не отстают и провайдеры более специализированных сервисов, например, Evernote.

Сложно пока судить, к чему приведут в будущем все эти шаги, как примет эту технологию потребитель. Но в голове уже отчетливо вырисовываются картины повсеместного применения отпечатков пальцев или различных USB-ключей для доступа в любые информационные системы... Да что уж там, можно и холодильник открывать, используя отпечаток радужной оболочки глаза. А там и квартиру, и автомобиль... Но можно быть отторгнутым сразу всей «умной» средой обитания, если инфраструктура поддержки аутентификации вдруг даст сбой. Будущее не за горами, увидим.

Александр Санин, коммерческий директор компании "Аванпост"

i-business