Тем не менее бывают случаи,
когда дополнительная защита ока-
зывается не лишней. Например,
в прошлом году в одном из банков
Бангладеш произошёл инцидент, ко-
торый привёл к потерям более чем
$80 миллионов. Хакерам удалось
взломать учётную запись сотрудни-
ка, который по долгу службы посто-
янно отправляет многомиллионные
платёжные поручения. Естественно,
ни одна система защиты не станет
подозревать в нелегитимных опера-
циях пользователя, который выпол-
няет подобные действия на легаль-
ной основе. Злоумышленникам было
достаточно установить вредоносное
программное обеспечение на ком-
пьютер сотрудника, чтобы начать
отправку межбанковских переводов,
постепенно обкрадывая клиентов
кредитной организации. Интересно,
что лазейку обнаружили случайно —
из-за того, что в комментарии к пере-
воду хакер написал Fundation вместо
Foundation, вызвав повышенное вни-
мание к транзакции. Но подобная
атака потребовала бы куда больших
усилий (и вообще вряд ли состоялась
бы) в случае удачного введения двух-
факторной аутентификации.
Именно поэтому сегодня SWIFT
требует использования более слож-
ных алгоритмов аутентификации,
применяющих различные методы для
подключения банка к системе. Ведь
в случае использования одного лишь
пароля риск компрометации учётной
записи наделённого полномочиями
сотрудника всё-таки остаётся велик.
КАК ПОВЫСИТЬ
УРОВЕНЬ ЗАЩИТЫ?
В рамках единой инфраструктуры
безопасности пользователи могут
использовать разные методы аутен-
тификации. Защищая доступ к не
слишком важным для бизнеса си-
стемам (например, персональным
информационным сервисам), можно
по-прежнему работать с одним фак-
тором аутентификации, но сделать
его сложнее: часто менять пароли, ис-
пользовать специальные алгоритмы
для их запоминания, добавить
CAPTCHA для исключения подбора
пароля и т.д.
Однако, когда речь идёт о более
критичных системах, без двухфак-
торной аутентификации сегодня не
обойтись. Неудивительно, что она
встречается теперь повсеместно: на-
чиная с открытых почтовых серви-
сов, таких как Google или «Яндекс»,
и заканчивая корпоративными
порталами для удалённой работы
сотрудников. И далеко не все ком-
пании занимаются развёртыванием
собственной инфраструктуры аутен-
тификации — для этого существу-
ют сервисы AaaS (Authentication as
a Service). То есть вы можете заказать
готовую услугу и получить полно-
стью управляемый сервис, следить
за работой которого будет обслужи-
вающий вас оператор.
Например, Orange использует
облачную систему аутентификации
пользователей, которая построена на
базе одного из наиболее инновацион-
ных решений из доступных на рынке.
Для удобства заказчиков мы создали
готовую платформу в российском
центре обработки данных, который
расположен в Москве, имеет высоко-
скоростные и защищённые подклю-
чения к каналам передачи данных,
а главное — соответствует нормам
закона по хранению и обработке
персональных данных (152-ФЗ). За-
казав простой сервис без создания
отдельной инфраструктуры, можно
внедрить дополнительный фактор ау-
тентификации с вводом одноразового
пароля: для доступа к рабочему столу,
облачной системе или любым другим
корпоративным ресурсам — через
VPN-туннель или онлайн-портал.
Система работает очень просто:
сотрудникам либо выдаются специ-
альные токены, либо устанавлива-
ется программное обеспечение на
личное устройство, либо настраива-
ется отправка SMS на определённый
номер телефона. Таким образом,
для входа в систему требуется нечто
большее, чем один пароль, и украсть
эти данные оказывается очень
сложно. Облачное решение можно
легко адаптировать и настроить на
совместную работу с уже используе-
мыми в банках системами защиты —
и это часто становится решающим
фактором при выборе технологии
двухфакторной аутентификации.
ПРОСТО,
УДОБНО, НАДЁЖНО
Внедрение второго фактора аутен-
тификации стало в современных
условиях необходимостью и может
кардинально снизить риски компро-
метации самых ценных систем для
бизнеса. Единственным сдерживаю-
щим фактором в этой сфере остаётся
проблема создания инфраструктуры
и капитальных вложений в развитие
экосистемы авторизации.
Неудивительно, что всё больше
кредитных организаций выбирает
сервисную модель AaaS: она позволя-
ет получить полностью управляемый
сервис, исключающий как капиталь-
ные вложения, так и выделение до-
полнительных ресурсов на обслужи-
вание платформы аутентификации.
Несмотря на обширную практику
внедрения систем дополнительной
авторизации в разных отраслях,
именно финансовый сектор оказы-
вается в лидерах по числу заказчи-
ков — так как проблема легитим-
ности доступа к учётным записям
пользователей в банках сто т сегодня
достаточно остро.
Наконец, на базе готового сервиса
можно реализовать концепцию еди-
ного логина — Single Sign On, когда
пользователю не нужно запоминать
огромное количество паролей для
разных систем. Вместо этого доста-
точно знать один пароль и получить
дополнительный код на своё устрой-
ство. Вместе с простым и удобным
пользовательским интерфейсом,
постоянной доступностью и полно-
ценной технической поддержкой
решения AaaS легко и быстро при-
нимаются сотрудниками, помогая
банкам в кратчайшие сроки решить
проблему с безопасностью доступа
при минимальных затратах.
68
БАНКИ И ДЕЛОВОЙ МИР
МАРТ 2017
B2B:
ЭФФЕКТИВНОСТЬ БИЗНЕСА. БЕЗОПАСНОСТЬ