Журнал "Information Security/ Информационная безопасность" #5, 2018

«СДМ-Банк» (ПАО) основан 17 сентября 1991 года Имеет четырнадцать отделений в г. Москве и Московской области и восемь филиалов в городах России. 8 • В ФОКУСЕ – Каким образом появились задачи усиленной аутенти- фикации пользова- телей и построения системы SSO? Что послужило толчком к поиску решения и реализации про- екта? – Можно строить эшелониро- ванные системы антивирусной защиты, возводить множество стен из файерволлов, внедрять множество других средств защиты, но, во-первых, любая сложная система содержит в себе уязвимости, а во-вторых, угадываемые пароли никто не отменял. Можно включить поли- тики, проверяющие сложность паролей, и пароль "Август2018!" будет удовлетворять всем кри- териям сложности, но будет ли он действительно сложным? Добиться от пользователей использования уникальных паролей в каждой информа- ционной системе – очень нелег- кая задача. Человек не машина, запрограммировать его не полу- чится, только воспитать, исполь- зуя методы убеждения. Регу- лярные проверки сложности паролей учетных записей путем выгрузки их хешей и взлома по словарям показали, что прово- дить регулярные семинары и тренинги, направленные на повышение осведомленности сотрудников, достаточно эффективно, если этим зани- маться на регулярной основе. Однако таким образом лишь снижается число плохих паро- лей до некого уровня, но ведь достаточно только одного, если его смогли взломать. – Кто выступал инициа- тором внедрения и заказ- чиком новой системы? – Имея такую статистку, ИБ и ИТ получили одобрение у руководства на проект по внед- рению системы управления идентификационными данны- ми, благо о паролях знают все и важность их устойчивости понятна всем. – Почему была выбрана технология аутентифика- ции по смарт-картам и сертификатам? Рассмат- ривались ли другие вари- анты аутентификации? – Чем усилить пароль? Напра- шивается классическое реше- ние-комбинация: "знание" и "владение". Первый фактор – пароль, второй фактор – устройство, которое можно физически выдать пользовате- лю. Вначале рассматривали биометрию, в частности отпеча- ток пальца, благо он всегда при пользователе. Альтерна- тивным вариантом была смарт- карта с записанным на ней сер- тификатом. Этот вариант и победил в конечном итоге, так как в Windows есть уже воз- можность использовать для аутентификации смарт-карты, к тому же дополнительным бону- сом получили сертификат, кото- рый можно использовать и для электронной подписи в элек- тронной почте и в офисных документах. Немаловажно и то, что стоимость считывателей биометрии значительно выше считывателей смарт-карт, при- чем чем они надежнее, тем дороже. Непонятно, что делать в случае компрометации: сер- тификат можно отозвать и пере- выпустить, а что делать с паль- цем? Совместив чип с серти- фикатом с пропуском, получи- лось интегрировать систему со СКУД. – Расскажите, пожалуй- ста, подробнее о принципе работы выбранной систе- мы. Какие особенности были у ее внедрения? – Задача была простой: облегчить жизнь пользователей и повысить уровень безопасно- сти. К сожалению, не все систе- мы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность при- думать пароль за пользователя в момент его смены, а слож- ность этого пароля задается отдельной политикой, позво- ляющей сделать пароль как минимум длинным. Таким обра- зом, решалась основная зада- ча – пароли должны стать уни- кальными и сложными. Внедрение было комплекс- ным. Внедрялось сразу несколь- ко систем, отвечающих за соз- дание новых пользователей при заведении в кадровую систему, автоматизированную смену Новая технология аутентификации Владимир Солонин, директор по информационной безопасности, СДМ-Банк внедрении технологии аутентификации по смарт-картам и сер- тификатам, сложностях внедрения и изменениях для пользо- вателей редакции рассказал директор по информационной безопасности СДМ-банка Владимир Солонин. О