IT Expert: Двухфакторная аутентифікація: бо ліньки - двигун прогресу
IT Expert світ технологій Наука і техніка Андрій Виноградов
| 21.05.2018
Чи можна підвищити рівень інформаційної безпеки в компанії, скоротивши при цьому витрати? Сергій Кузнецов, керівник відділу технічного супроводу продуктів і сервісів ESET Russia, вважає, що можна. Як? Про це і поговоримо.
Звідки ноги ростуть? Навіщо знадобилося створювати таку систему?
Як завжди, лінь - двигун прогресу. По-перше, будь-яка компанія намагається забезпечити мінімальний рівень безпеки, вимагаючи від співробітників створювати складні паролі - з великим числом символів, буквами різного регістра, спеціальними знаками і цифрами. Але складні паролі ніхто не любить. А якщо їх багато, їх не люблять ще більше. Співробітникам діватися особливо нікуди, вони придумують складний пароль, але використовують його всюди - для входу в корпоративну та особисту пошту, соцмережі, інтернет-банк, CRM та ін. По-друге, навіть найскладніший пароль використовується як мінімум пару місяців, а за це час потенційний зловмисники має всі шанси його дізнатися - адже співробітники схильні записувати паролі на стікерах і клеїти їх на монітор або під клавіатуру. Серйозно, ми проводили опитування російських користувачів , І 16% зізналися, що зберігають паролі в блокнотах, чернетках і стікерах, а ще 10% - в текстових файлах на ПК. Ще один фактор ризику - співробітники заходять на корпоративні ресурси, використовуючи загальнодоступні відкриті Wi-Fi мережі, де ризик перехоплення пароля неіллюзорен. Тобто компанія в теорії подбала про гідний рівень безпеки, але життєвий цикл складного пароля і умови його зберігання не дозволяють підтримувати цей рівень на практиці. Звідси і виникла потреба в системах двофакторної аутентифікації.
У чому їх головна фішка?
Такі системи виключають ризик злому корпоративних ресурсів шляхом підбору або крадіжки пароля, оскільки тепер постійного пароля недостатньо. Необхідний ще й одноразовий пароль - унікальний для кожного користувача і входу, який генерується в спеціальному додатку або надсилається в SMS.
Як ESET Secure Authentication може допомогти співробітникам, які працюють на удаленке?
установка ESET Secure Authentication на VPN / OWA або інші сервіси компанії, видимі ззовні, підвищить рівень безпеки цих ресурсів і забезпечить надійну ідентифікацію користувачів. А ось віддаленим співробітникам ESA навряд чи допоможе. Якщо тільки дозволить переконати системного адміністратора у відсутності необхідності придумувати суперскладні паролі кожні два місяці.
Нині смартфони піддаються впливу шахраїв, може бути, навіть частіше, ніж ПК. Чому ви впевнені, що така система і в майбутньому залишиться ефективною?
Питання не в надійності смартфона - йдеться про зручність використання і бюджеті компанії. Ви можете видати співробітникові USB-токен, але це додаткові витрати. Токени треба спочатку купити, а потім регулярно відновлювати, оскільки співробітники їх втрачають, забувають, ламають. А смартфон зараз є у багатьох. Підійде і найпростіший мобільник з функцією прийому SMS. Тобто компанія скорочує витрати, залишаючись при цьому в безпеці.
Якщо поглянути на ситуацію в ІТ, простежується тенденція до того, що у користувачів в майбутньому будуть лише «тонкі клієнти» різного виду, будь то телефон, ПК або телевізор, а всі дані будуть по підписці. Як ви вважаєте, наскільки реальний подібний сценарій? Добре чи погано, коли все «дані-яйця» в одній корзині?
Це швидше позитивна ситуація. Якщо вся цінна інформація зберігається на ресурсах компанії, єдиний спосіб отримати до неї доступ - проникнути в периметр. Якщо захист периметра побудована правильно, єдиний шлях проникнення - VPN. Це добре захищена і контрольована система, а з ESET Secure Authentication або будь-яким іншим засобом двофакторної аутентифікації ще більш захищена. Бізнес-модель з даними по підписці не представляється реальним. Може бути підписка на софт (SaaS) або інфраструктуру (IaaS) - ці варіанти скоріше підходять для невеликих компаній або динамічно розвиваються стартапів, які поки не готові вкладатися в покупку ліцензій і устаткування або будувати власну віртуальну інфраструктуру, їм простіше орендувати все це у провайдерів.
По суті, як я розумію, ESET Secure Authentication - це щось на зразок банківської 3D-Secure, тільки для інших завдань. У чому новизна вашого рішення?
У той час, коли ESET Secure Authentication розробили і випустили на ринок, майже всі системи двофакторної аутентифікації працювали з фізичними токенами. Наше рішення було і залишається виключно програмним, хоча і дозволяє використовувати фізичні токени сторонніх виробників. Крім того, ESA має найширші можливості по впровадженню - перелік продуктів, з якими вона працює «з коробки», величезний, є API і SDK для інтеграції в будь-яку систему. Наприклад, за допомогою API нашу ESA можна легко інтегрувати в «1С» і не змушувати бухгалтера придумувати і запам'ятовувати складний пароль для доступу до цієї системи. Зараз і інші виробники випускають схожі рішення - виключно програмні продукти.
Чи можна впровадити ESET Secure Authentication в існуючу інфраструктуру або буде потрібно придбати якесь обладнання?
Як я вже говорив, ESET Secure Authentication не вимагає ніякого додаткового обладнання і впроваджується в існуючу інфраструктуру без серйозних витрат часу. Установка та базове налаштування ESA займають не більше 10 хвилин.
Роботи в тому чи іншому вигляді беруть на себе все більше завдань , Позбавляючи тим самим нас роботи. Якщо пофантазувати, яким ви бачите майбутнє? Чи не призведе роботизация до соціальних проблем?
Питання, звичайно, цікаве. У моєму розумінні машини завжди будуть помічниками в якихось типових завданнях, але не зможуть повноцінно замінити людину. Поки що машина не може творити, тільки дуже точно копіювати. Тому механічна робота з часом, звичайно, буде переходити до роботам. Поки вони дороги з точки зору початкових інвестицій, але в довгостроковій перспективі обходяться дешевше, ніж співробітники-люди. Нікого ж не бентежить заміна регулювальників світлофорами або довідкового бюро пошуковими системами. При цьому люди продовжують працювати, роблять відкриття в науці, успішні в мистецтві. Коли-небудь роботи стануть «майже людьми», але, повторюю, навряд чи зможуть створювати щось нове.
Ключові слова: програмне забезпечення комп'ютера
Журнал IT-Expert № 05/2018 [ PDF ] [ Підписка на журнал ]
компанія: Eset
про авторів
Андрій Виноградов
Головний редактор журналу IT Expert. З 10 років займається фотографією, член журі національної премії «Продукт року». Свій перший мільйон заробив на здачі макулатури.
Чи можна підвищити рівень інформаційної безпеки в компанії, скоротивши при цьому витрати?Як?
Звідки ноги ростуть?
Навіщо знадобилося створювати таку систему?
У чому їх головна фішка?
Як ESET Secure Authentication може допомогти співробітникам, які працюють на удаленке?
Чому ви впевнені, що така система і в майбутньому залишиться ефективною?
Як ви вважаєте, наскільки реальний подібний сценарій?
Добре чи погано, коли все «дані-яйця» в одній корзині?
У чому новизна вашого рішення?