Секреты информационной безопасности
Технологии – штука хорошая. Они делают жизнь удобней, позволяя людям нажатием одной кнопки ее упрощать – будь это поездка домой, покупка путевки на курорт, оплата аренды или заказ ужина.
Кроме того, это мощный инструмент, который повышает безопасность до уровня, ранее казавшегося невообразимым. Вместе с тем, в прочем, растет и риск кражи личной информации. Каким же образом застраховать себя от подобной неприятности?
Ниже представлен ряд технологий, которые могут решить эту проблему.
Биометрия
С тех пор, как в 2013 году Apple предложила пользователям биометрический аутентификатор с сенсором отпечатка пальца на кнопке «home», идея получила развитие. С тех пор появилось множество разнообразных вариаций на эту тему: от сканирования сетчатки глаза до разблокирования устройства по специфике походки владельца. В Abacus Project компании Google, например, критерием для опознания владельца смартфона являлся голос.
В феврале 2016 года голландский банк ABN AMRO стал одной из первых компаний в мире, запустивших тестовую программу MasterCard, основанную на подобных технологиях. Первые результаты показали, что для 95% пользователей системой распознавания отпечатка пальца и 80% — лица процесс совершения покупок стал удобней. Итак, биометрика – беспроигрышный вариант повысить уровень безопасности и для клиента, и для банка.
Плюсы: наибольшим преимуществом биометрики является простота в использовании. Сканеры отпечатка пальца довольно доступны и понятны. Отпечаток пальца мгновенно считывается и сравнивается с записью, хранящийся в базе данных. Мошенничество становится очень непростой задачей – украсть отпечаток пальца гораздо сложнее, чем удостоверение личности.
Минусы: В отличие от паролей, биометрика (распознавание лица, отпечатка пальца, радужная оболочка глаза) не может быть изменена, когда база данных не функционирует. Более того, если данные из базы будут слиты или проданы, это будет необратимо.
Разработки и исследования биометрических технологий идут полным ходом. Как следствие – появление множества мобильных приложений, в которых считывание уникальных частей тела используется для подтверждения личности. Разумеется, возникает закономерный вопрос конфиденциальности: как правительство и производители собираются защищать личные данные пользователей?
Ответа, который удовлетворил бы всех, не существует.
Для сбора биометрических данных существует три критерия. Во-первых, они должны быть считаны на безопасном устройстве, которое лишь передаст информацию в систему, не сохраняя их. Во-вторых, как и любые другие учетные данные для аутентификации, они должны быть переданы с помощью шифрования, но уж никак ни в качестве открытого кода. В-третьих, они должны быть сохранены в зашифрованном виде в защищенной базе данных, такой как AD или LDAP
Селфи-безопасность
Да-да, селфи. Банально, но довольно эффективно – если вы хотите хорошо выглядеть на своем студенческом. Но насколько такой способ подходит для идентификации?
В последние годы наметился прогресс в замене пароля и PIN-кода на селфи. MasterCard приступила к тестированию новой системы распознавания для онлайн-платежей в 2015 году. Сканирование лица требовалось для утверждения платежей.
Плюсы: как говорят в MasterCard , они хотят «идентифицировать людей, таких, какие они есть – а не проверять их память». Пароль легко забывается, а сама уникальность человека предполагает безопасность в аутентификации много лучшую, чем целая куча ключей от самых разнообразных аккаунтов.
Минусы: То, что современные смартфоны могут считать голос, отпечаток пальца или отсканировать лицо, решает проблему с дорогостоящими и громоздкими внешними устройствами, но они до сих пор дают ложные результаты, часто ошибаются. Да и люди оставляют свои отпечатки повсюду, и создать силиконовую копию пальца не так уж сложно.
HP получили много плохих отзывов в прессе в 2009 году из-за того, что их камеры не распознавали лица черных. Еще один скандал прогремел в 2015 году , когда система распознавания лиц отметила двух афро-американцев, как горилл. Проблему решили, а в свое оправдание, Йонатан Зангер в Твиттере отметил, что Гугл Фото до сих пор не всегда может отличить лицо белого человека от собачьей морды, а обучение машины – непростое дело.
Так как селфи относится к категории биометрических данных, критерии их хранения такие же.
Интернет вещей
Интернет вещей (IoT) революционно меняет нашу повседневность. Связанные сетью Интернет, устройства и датчики посылают друг другу сигналы. Функции у этих датчиков могут быть самыми разными — в том числе и идентификация.
Плюсы: Преимущества IoT заключаются в удобстве и потенциальной распространенности. Предположительно, к 2020 году экосистемы IoT увеличатся до 212 млрд подключенных «вещей». Без сомнения, они будут интегрированы в наш быт.
Минусы: на сегодняшний день нет общего стандарта для мониторинга и идентификации посредством датчиков. Такую единую систему связи, как USB или Bluetooth, непросто воплотить в жизнь, хотя она, конечно, необходима. Потребители все чаще обращаются к удобствам и преимуществам Интернета вещей, но большинство не знает о рисках.
Как и в случае любого подключенного к интернету устройства, IoT устройства обладают потенциальными уязвимостями в системе безопасности. Вся информация должна быть зашифрована, вне зависимости от того, идет ли речь о вашем финансовом положении или количестве потребляемого в день молока. В противном случае, в один прекрасный день вы можете обнаружить, что ваш холодильник шпионит за вами.
В утешение можно сказать, что разработчики также знакомы с этой проблемой, и трудятся над ее решением. Существуют специальные программные средства, предназначенные для защиты личной информации и конфиденциальности в сети. Одним из таких инструментов является MyPermissions. Это приложения является бесплатным для Android и IOS. Оно предупреждает пользователя, когда приложения на его устройстве получают доступ к личной информации, и предлагает отменить или принять его.
Обновляйте свои устройства, ведь в загружаемое ПО могут входить новые патчи безопасности. Это понизит риск.
SIEM
Системы управления событиями и инцидентами информационной безопасности (SIEM-системы – Security Information and Event Management Systems) предназначены для автоматизации процессов обнаружения инцидентов информационной безопасности (ИБ) в информационных системах на основе сбора и анализа информации о полученных событиях ИБ, а также для своевременного оповещения персонала о зафиксированных нарушениях.
Плюсы: централизованный сбор и обработка данных может привести к обнаружению атак, которые с помощью других средств не регистрируются. Кроме того, некоторые SIEM могут совершать попытку остановить нападение, которое обнаружили – если оно еще в процессе. Кроме того, если SIEM непосредственно не могут остановить атаку, анализ успешных нападений помогает предотвращать последующие.
Минусы: Реальность такова, что традиционные инструменты SIEM не способны охватить неструктурированные подразделения всей, заинтересованной в собственной безопасности, организации. На сегодняшний день в приоритете находятся Интернет и электронная почта, но на анализ одиночных объектов время тратить нет резона.
Сетевые границы исчезают, компании открывают свои периметры партнерам, поставщикам, сотрудникам, работающим удаленно. Границы, которые когда-то было легко определить, теперь расплываются и ненадежны.
Шифруйте!
Добро пожаловать на рынок биометрических данных. На данный момент не существует надежной законодательной базы, которая бы ограничивала продажу личной информации индивидуумов. Если в ближайшее время ситуация не изменится… кто знает, смогут ли избежать искушения компании, которые хранят ваши данные?