Разделы

Цифровизация ИТ в банках

Управление доступом: снижаем риски

Деятельность современного банка во многом сводится к управлению финансовой информацией: движение денег и обязательств на счетах, расчеты между кредитными организациями, торговля на валютном и других финансовых рынках. Участие информационных систем в создании, хранении, изменении и контроле данных нарастает. Но новые технологии, кроме пользы, несут новые риски или увеличивают старые, например риск несанкционированного доступа. Как можно снизить риски, рассказывается в обзоре, подготовленном силами специалистов компании "Индид".

В кредитных организациях основная часть рисков, связанных с использованием информационных систем, возникает из-за несанкционированных действий с финансовой информацией. А действия, в свою очередь, являются следствием несанкционированного доступа к ресурсам. В результате проводятся мошеннические банковские операции, похищается или изменяется в нужную злоумышленнику сторону информация.

Хотя, в первую очередь, речь идет о рисках, связанных с преднамеренными действиями, не стоит упускать из вида и непреднамеренные ошибки в работе сотрудников. Они также могут привести к несанкционированному изменению информации, а следовательно, причинить ущерб. Таким образом, банку необходимо построить систему информационной безопасности (СИБ) так, чтобы минимизировать возможность несанкционированного доступа и тем самым сократить вероятность несанкционированных действий как со стороны злоумышленников, так и со стороны сотрудников организации, совершающих непреднамеренные, опасные для информационной безопасности действия.

Несанкционированный доступ

Вопрос "Как сократить риск несанкционированного доступа?" является ключевым. Рассмотрим типовые ситуации, в которых происходит несанкционированный доступ, и защитные меры для его пресечения.

Лицо использует для несанкционированного доступа и действий права, которыми обладает другое лицо. Нужно не допустить проникновение в информационную систему банка лиц, выдающих себя за правомочных пользователей. Требуются меры, препятствующие передаче аутентификаторов от одного пользователя к другому, быстрый отзыв скомпрометированных аутентификаторов.

Лицо использует для несанкционированного доступа и действий права, которыми оно не должно обладать. Например, сотрудник уже уволен, но его пароль все еще действует. Или сотрудник переведен в другой отдел, но у него все еще остались права с прежнего рабочего места. Нужно увеличить степень соответствия между тем, что правомочному пользователю разрешено делать в информационной системе банка, и тем, что он реально может там делать в данный момент. Рассогласование между первым и вторым может возникать как в случае изменения позиции сотрудника, так и в случае изменений в самой инфосфере банка.

Поэтому любые изменения в позиции сотрудника, влекущие изменения в его правах, должны как можно быстрее отражаться на его реальных правах в компьютерной системе. Внедрение новых информационных систем, а также изменение старых, может приводить к необходимости серьезной перестройке прав пользователей, что без должной централизации и контроля ухудшает указанное соответствие.

Для достижения соответствия у ИТ-подразделения банка должны быть инструменты, позволяющие изменять права сотрудников быстро и при этом контролируемо. Повышение производительности процесса важно еще и с другой стороны: крайне желательно свести к минимуму количество ИТ-администраторов, имеющих права изменять права сотрудников. Все это касается и аутентификаторов, выдаваемых пользователю, как впервые, так и взамен скомпрометированных. Также упрощение данных процедур позволяет производить выдачу прав не только ИТ-специалистам, а, например, сотруднику из отдела кадров или отдела безопасности, что, в свою очередь, еще больше усилит указанное в данном пункте соответствие.

Лицо использует для несанкционированного доступа и действий свои настоящие права. Требуется более тонкая настройка прав пользователей. В том числе введение новых прав, изначально не предусмотренных информационной системой (приложением и т.п.). Расширенный аудит и возможность быстрого отзыва прав. То есть минимизация ущерба за счет быстрого выяснения и пресечения несанкционированных действий.

Если несанкционированное действие уже случилось или длится, помогут расширенный аудит и возможность быстрого отзыва прав. То есть минимизация ущерба за счет быстрого выяснения и пресечения несанкционированных действий.

Роль централизованного управления

Для реализации указанных мер противодействия несанкционированному доступу и действиям в арсенале систем класса IAM используются несколько инструментов. Во-первых, это современная многофакторная аутентификация пользователя, значительно снижающая вероятность доступа в информационную систему неправомочного лица, а также затрудняющая передачу аутентификаторов другим лицам. Во-вторых, это система по управлению учетными записями пользователей (IdM). Она упрощает и ускоряет выдачу и отзыв прав пользователя, повышает контроль над ними, а также за счет большей автоматизации позволяет без ущерба для эффективности провести более тонкую настройку прав пользователя.

В-третьих, это единая точка доступа (SSO) во все информационные системы, к которым подключен пользователь. Такой подход позволяет консолидировать контроль действий пользователя, упростить процедуры аутентификации, а также в целом снизить возможность компрометации аутентификаторов.

В-четвертых, введение новых прав, изначально не предусмотренных информационной системой. Например, когда сумма операции превышает некое пороговое значение, пользователю необходимо пройти повторную или дополнительную аутентификацию. Другими словами, два пользователя могут иметь одинаковое право создавать платежные поручения, но только один из них сможет создавать платежные поручения больше некоторой суммы.

И конечно, расширенный аудит, повышающий вероятность фиксации несанкционированных действий как в реальном времени, так и пост-фактум. Это достигается за счет централизации контроля действий пользователя, а также более подробного описания этих действий (вплоть до имени ИТ-администратора, выдавшего данные права данному сотруднику). То есть осуществляется не только аудит доступа (использования прав), но и аудит выдачи и изменения прав.

Рассмотрим перечисленные инструменты более подробно, отдельно отмечая влияние каждого инструмента и практики на снижение операционных рисков в деятельности финансового института.

Аутентификация

Для доказательства своей личности пользователь использует один или несколько аутентификаторов. Наиболее известный из них – пароль. Также это может быть карта доступа, отпечаток пальца и многое другое. Всего в отрасли активно используется более двадцати видов аутентификаторов. Одним из важных элементов усиления системы аутентификации является многофакторная аутентификация.

Влияние методов аутентификации на риски

Подходы к аутентификации Как это снижает риски?
Многофакторная аутентификация.
Например, пароль и карта, или пароль и отпечаток пальца.
Увеличивает для злоумышленника сложность прохождения процедуры аутентификации, так как необходимо провести атаку на разнородные системы аутентификации.
Сокращение количества аутентификаторов, которые необходимо знать/обладать пользователю. Достигается путем применения SSO. Также стоит рассмотреть вариант введения единой карты доступа как для СКУД, так и для доступа в компьютерную систему. Снижает риск компрометации аутентификаторов. Например, пользователь может запомнить один пароль или следить за сохранностью одной карты доступа. Если паролей много, то пользователь будет просто вынужден куда-то их записать, тем самым увеличивая вероятность их компрометации.
Упрощение процедуры аутентификации для пользователя. Достигается с помощью SSO. Также, например, приложить палец к сканеру проще, чем ввести пароль. Кроме того, пароль надо еще помнить, а карту доступа хранить. Упрощает для пользователя следование политикам безопасности. Снижает вероятность их нарушения.
Быстрый отзыв и перевыпуск аутентификаторов в случае компрометации. Быстрое пресечение несанкционированного доступа.

Источник: "Индид", 2012

Отметим, что многофакторная аутентификация позволяет значительно снизить вероятность прохождения аутентификации лицом, не являющимся настоящим пользователем. На практике это означает одновременное использование аутентификаторов из разных групп. Например, то, что пользователь знает (пароль, пин-код), и то, чем пользователь владеет (банковская карта, карта доступа), или то, что является неотъемлемой характеристикой пользователя (отпечаток пальца), или то, где пользователь находится (используя, например, данные из системы контроля и управления доступом, СКУД).

Система управления учетными записями (IdM)

Сотрудник банка может иметь доступ одновременно к нескольким информационным системам банка (приложения, базы данных, веб-сайты и т.д.). Система управления учетными записями (IdM) позволяет с помощью коннекторов к этим системам автоматически создавать и изменять учетные записи в них из центральной консоли, а также изменять права пользователя в них, что минимизирует операционные риски.

Например, ускорение создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя с помощью IdM позволяет повысить степень соответствия между реальными правами пользователя и теми, которыми он должен обладать.

Упрощение создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя дает возможность более точной настройки прав пользователя. Уменьшается количество ИТ-сотрудников, имеющих права изменять права пользователей. У сотрудников, например из отдела кадров или отдела безопасности, не являющихся ИТ-специалистами, появляется возможность создавать учетные записи, изменять права пользователей, а также контролировать данный процесс.

Централизация создания, изменения и удаления учетных записей пользователя, а также изменения прав пользователя повышает эффективность контроля за учетными записями, правами пользователей и их изменениями.

Быстрый отзыв прав пользователя вплоть до удаления его учетной записи помогает бысто пресечь несанкционированные действия.

Единая точка доступа (SSO)

Если IdM централизует и автоматизирует управление учетными записями и правами пользователей, то SSO добавляет к этому централизацию доступа пользователей ко всем информационным системам.

Таким образом, доступ пользователей к приложениям проходит не напрямую в конкретное приложение, а через агента SSO. Пользователь аутентифицируется один раз в агенте SSO, после чего агент SSO сам аутентифицирует пользователя в необходимых информационных системах. Причем пользователь знает только свой аутентификатор в агенте SSO (например, пароль), но не знает свои пароли в конкретных информационных системах, к которым он получает доступ через агента SSO.

Влияние SSO на риски

Что делает SSO? Как это снижает риски?
Доступ к любой информационной системе проходит через сервер SSO и регистрируется в его журнале. Дополнительная, аутентификация критичных действий пользователей в информационных системах. Повышает уровень контроля за действиями пользователей как в реальном времени, так и пост-фактум.
Централизация выдачи, отзыва и перевыпуска в случае компрометации аутентификаторов. Быстрое пресечение несанкционированного доступа. Быстрый перевыпуск аутентификаторов.
Аутентификация проводится один раз. Пользователю достаточно безопасно хранить один аутентификатор. Например, один пароль проще запомнить, чем десять. То есть это снижает вероятность компрометации аутентификатора.
Автоматическое, регулярное изменение паролей пользователя в целевых системах. Гарантирует исполнение регламентов информационной безопасности в части регулярного изменения паролей.
Применение надежных методов шифрования аутентификационной информации, интеграция с PKI (инфраструктура открытых ключей). Обеспечивает защищенность хранимой информации. В случае использования PKI, доступ гарантируется только обладателю закрытого ключа владельца данных.
Стандартизация процедуры аутентификации. Возможность поддержания единой корпоративной политики по отношению к аутентификации, например единые требования к сложности пароля, или введение единой карты доступа. Пользователь привыкает к единой стандартной процедуре аутентификации, и любые отклонения от нее (например, в случае попытки фишинга со стороны злоумышленника) вызывают у пользователя обоснованные подозрения.

Источник: "Индид", 2012

Таким образом, единая точка доступа позволяет существенно снизить потери информации в корпоративных информационных системах.

Расширенный аудит

Инструменты из арсенала IAM, которые мы описали выше, значительно расширяют возможности аудита как действий пользователя, так и изменений его прав. Это в значительной степени упрощает контроль за соблюдением принципов управления операционными рисками и выявлением факторов такого риска в части организации работы информационных систем кредитных организаций.

В отдельных случаях подробное фиксирование в журнале действий пользователей компонентами IAM может использоваться не только для целей аудита и предотвращения возможных утечек информации, но и как доказательная база при проведении расследований инцидентов связанных с инцидентами в области информационной безопасности.

Влияние инструментов IAM на качество аудита

Инструмент IAM Как это расширяет аудит?
Система по управлению учетными записями (IdM). Создание, изменение и удаление учетных записей пользователя, а также изменения прав пользователя, регистрируются в едином журнале. Также в нем регистрируется, кто и когда осуществлял создание, изменение и удаление учетных записей, а также менял права пользователей.
Единая точка доступа (SSO) Доступ к любой информационной системе проходит через сервер SSO и также регистрируется в едином журнале.
Аутентификация Интеграция со СКУД позволяет регистрировать в едином журнале дополнительный фактор – местоположение сотрудника.
IAM в целом Наличие центральной консоли и единого журнала позволяет сотрудникам, не являющимся ИТ-специалистами, например из отдела безопасности, оперативно анализировать текущую ситуацию.

Источник: "Индид", 2012

Использование описанных выше инструментов и практик в значительной степени снижает возможность несанкционированного доступа и несанкционированных действий. Благодаря IAM, финансовая организация может значительно сократить риски возникновения ущерба от инцидентов ИБ.

Наибольший положительный эффект приносит комплексное использование инструментов IAM. Однако, практика внедрения и эксплуатации подобных систем показала, что путь поэтапного внедрения является оптимальным. Реализацию каждого этапа следует проводить, имея выработанную стратегию действий, а одной из первых задач является сокращение источников учетных записей пользователей до минимума и аудит всех существующих учетных записей.

Алексей Баранов