загрузка ОС с терминальным клиентом на СВТ руководителя должна производиться без подключения дополнительных устройств и через интерфейс, который не станет узким местом по скорости чтения. Это значит, что терминальный клиент должен загружаться на такой компьютер прямо из аппаратного модуля доверенной загрузки, требуя от пользователя только указания желаемого в данный момент режима.

Так и реализован «Ноутбук руководителя»: в ноутбук установлен miniPCIe-контроллер Аккорд-GXMH, firmware которого по факту отсутствия смарт-карты в считывателе загружает ноутбук штатным образом (ОС с жесткого диска), а в случае наличия смарт-карты в считывателе загружает собственную ОС, в которой загружается приложение доступа к защищенному ЦОД. Таким образом, порядок действий руководителя для перехода в режим ДСС сводится к привычной работе со смарт-картой: установил смарт-карту, ввел PIN-код и получил доступ к защищенным ресурсам.

Материал этой главы, конечно, не претендует на полноту. Представленное – скорее очерки. Однако, думается, они позволят сделать самостоятельные выводы и обобщения, достаточные для отыскания необходимого читателю решения, если оно не описано в этой главе в явном виде. А в завершение хочется традиционно заглянуть в будущее – в отношении очень острого для финансовых организаций вопроса: биометрической идентификации.

10.2. Идентификация для защищенности

и безопасности

Тщательней надо, ребята.

Общим видом овладели, теперь подробности не надо пропускать.

Михаил Жванецкий.Тщательнее

Приемы идентификации существенно зависят от целей, которые можно грубо разделить на криминалистические и технологические.

Криминалистическая идентификация выполняется, как правило, на доверенном оборудовании без сотрудничества с идентифицируемым объектом (возможно, это труп, а возможно – подозреваемый; оба на сотрудничество, как правило, не настроены, и оно от них не требуется). Идентификация в рамках технической защиты информации предполагает, что субъект готов к сотрудничеству.

До последнего времени все исследования в области технической защиты информации проводились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы. В открытых же системах ставить вопрос об обеспечении доверенности всех средств вычислительной техники просто невозможно. Так, мобильные средства доступа пользователей ни при каких условиях нельзя сделать доверенными.

В этих условиях можно развивать систему в двух направлениях: перенести всю тяжесть защиты на центр и отказаться от использования надежной криптографической защиты при доступе к сервисам (например, банка) с мобильных устройств пользователей и (или) строить распределенную «иммунную» систему защиты, обеспечивающую приемлемый уровень защищенности клиентских транзакций даже при недоверенном оборудовании.

Первое направление очевидно, и по этому пути идут многие, полагая, что риски пока невелики и такими же останутся. Безусловно, это не так. Брешь в защите преступники всегда находят и начинают эксплуатировать. Поэтому брешей в защите следует избегать.

Второе направление еще ждет своих исследователей. Основой эффективных решений могут стать системы обнаружения вредоносной активности, построенные по принципу мультиагентных систем [89], а также системы мультимодальной биометрической идентификации с использованием динамики рефлекторных реакций.

Последнему – рефлекторной идентификации как методу и средству применения недоверенных клиентских терминалов в доверенных информационных системах цифрового общества – и посвящен этот раздел.

Идентификация и аутентификация занимают особое место в последовательности операций [81], так как еще до начала всех операций нужно понимать, с кем начинается взаимодействие – с партнером или хакером.

Кроме того, коль скоро результат информационного взаимодействия фиксируется применением электронной подписи, придающей записи свойства документа, а при использовании недоверенных клиентских терминалов (телефонов) ключи подписи должны быть отчуждены и храниться защищенным образом, то уровень доверенности результата идентификации должен быть достаточным для доступа к отчужденным ключам подписи.

В рамках корпоративных систем не проблема обеспечить всех участников сертифицированными идентификаторами и выполнять операции по аутентификации в доверенной среде. В открытой же системе этого добиться невозможно. Обращаясь за госуслугами, телемедицинскими консультациями, услугами банков, услугами в секторе B2C, граждане всегда будут пользоваться смартфонами, о доверенности которых говорить не приходится. Такой доступ всегда будет самой легкой добычей для всех видов атак с использованием вредоносного ПО.

10.2.1. Идентификация в открытых системах

У биологов есть синоним для слова «стабильный». Это слово «мертвый».

Джек Коэн, биолог

Естественным механизмом идентификации (аутентификации) для открытых систем представляется биометрическая идентификация. Биометрические параметры неотъемлемы от человека, и поэтому соблазн использовать их объясним.

Об эффективности биометрии свидетельствует огромный опыт ее применения для идентификации самых разных модальностей: радужной оболочки глаза, папиллярного узора, рисунка сосудистого русла, формы лица, ладони, голоса, состава генома и др. Эти биометрические модальности хотя и избыточны, но предельно просты: они или статичны или условно статичны. Более того – если снимаемые приборами характеристики не инвариантны[220], то исследователи зачастую пытаются свести их к инвариантам[221] [105] в попытке упростить последующий анализ.

В силу простоты и статичности эти модальности легко воспроизводятся и моделируются, что не только не снижает риски ошибочной идентификации, но и позволяет влиять на ее результаты. Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверия к результатам идентификации на недоверенном устройстве. Успешный же опыт применения биометрии связан не с визуальной и (или) приборной идентификацией, а только с криминалистической, что объяснимо: в базах данных никто отпечатки не подменит, гражданин не наденет при регистрации отпечатков перчатку и не передаст ее потом злоумышленнику, а средства идентификации, используемые полицией, доверенные [122].

Простота подделки статических биометрических модальностей сегодня осознана [114], и операторов идентификации на основе биометрических данных начинает интересовать вопрос: «А нельзя ли повысить достоверность идентификации за счет использования не одной, а нескольких биометрических характеристик?» – то есть за счет мультимодальности на этапе принятия решения.

Для независимых модальностей вероятности ошибок (как первого, так и второго рода) перемножаются, что объясняет целесообразность многофакторных (мультимодальных) решений и позволяет обеспечить достаточный уровень доверенности. Независимость при этом понимается как независимость факторов и независимость каналов [83].

Предположительно биометрические характеристики человека нельзя считать независимыми уже хотя бы потому, что они принадлежат одному человеку. Во всяком случае, независимость не доказана и, скорее всего, не изучалась. Уже в связи с этим гипотеза о повышении уровня доверия при использовании мультимодальностей не очевидна и требует серьезного изучения.

Еще более наглядной является необходимость независимости каналов – а в нашем случае канал один: он формируется клиентским терминалом (смартфоном) и интернетом. Конечно, ни о какой независимости здесь даже не может идти речь.

Таким образом, использование статических параметров для повышения достоверности идентификации с использованием недоверенного устройства практически нецелесообразно.

Одним из решений проблемы подделки (подмены) статических (инвариантных) биометрических параметров является проверка активности и разумности субъекта в дополнение к проверке биометрических показателей. Даже если предположить, что проверка разработана так, что ее действительно может пройти только человек, нельзя упускать из виду, что это любой человек, в том числе и злоумышленник.

Сравним задачи, средства и данные, необходимые для решения задачи идентификации в криминалистике