Bezpečný informační systém potřebuje silnou autentizaci
Moderní společnost je stále více závislá na informačních systémech. Naprostá většina finančních transakcí dnes probíhá elektronicky, do elektronické podoby se přesouvá i komunikace s veřejnou správou. Fungování většiny firem je zcela závislé na jejich podnikových informačních systémech. O slovo se hlásí elektronická zdravotnická dokumentace. Máme důvod se bát?
S nárůstem hodnoty dat v informačních systémech roste i zájem kriminálních struktur o jejich zneužití. Na internetu si lze volně stáhnout nástroje na lámání ochrany hesel a pronikání do cizích informačních systémů, některé nabízejí i placenou aktualizaci. Zájemce o cizí data se dnes nepotřebuje učit „crackerskému řemeslu“. Pro cílený útok na konkrétní objekt zájmu si může najmout různé „specialisty“, z nichž někteří nabízejí i určitou formu SLA.
Autentizace znamená ověření proklamované identity. V každodenní realitě prokazujeme svou identitu občanským či jiným průkazem, například v bance nebo na úřadě. V elektronickém světě je zatím nejrozšířenějším způsobem prokazování identity jméno a heslo. To ale není bez rizik. Na uživatelská hesla mohou číhat špionské programy – takzvané keyloggery, přihlašovací okna na podvržených webových stránkách, phishingové útoky, metody sociálního inženýrství a další hrozby.
Potřeba zajištění bezpečného ověřování identity se týká obecně všech informačních systémů, zejména ale takových, které jsou přístupné z veřejného internetu. Metody zabezpečení a možná rizika podcenění bezpečnosti ze strany uživatelů si ukážeme na prostředí, které je IT veřejnosti dobře známo – na Informačním systému datových schránek. Ten nabízí poměrně solidní možnosti zabezpečení (osobním certifikátem, jednorázovým kódem nebo SMS zprávou), uživatelé však zabezpečení svých datových schránek příliš neřeší. Přitom si zřejmě neuvědomují, že schránka umožňuje zprávy nejen přijímat, ale také činit podání vůči orgánům veřejné správy. Útočník, kterému se podaří získat přístupové heslo, by pak mohl oprávněného uživatele schránky snadno přivést až k exekuci nebo do likvidace, například pokud by jeho jménem a bez jeho vědomí jednal s úřady.
Vhodným řešením ověřování identity, zaručujícím vysokou úroveň bezpečnosti a uživatelský komfort, se v praxi ukázala dvoufaktorová autentizace. Jednoduchým příkladem je USB token nebo čipová karta s certifikátem. Oprávněný uživatel je jednak fyzickým držitelem tokenu a současně musí znát jeho PIN kód.
USB token a jeho použití
Výhodou USB autentizačních zařízení je jejich víceúčelovost. Token obsahuje kryptografický procesor, který umí generovat privátní klíče ke všem typům certifikátů. Lze jej tedy využít jak k autentizaci, tak k šifrování nebo elektronickému podpisu. Navíc soukromé klíče není možné z tokenu v žádné podobě vyexportovat – jsou generovány, uloženy a používány pouze na tokenu. V šifrované paměti tokenu chráněné PIN kódem mohou být uloženy nejen certifikáty, ale i hesla do aplikací a další přístupové údaje. Token tak představuje dostupnou variantu osobní digitální identity.
Příkladem použití USB tokenu v praxi je Bezpečný klíč k datové schránce České pošty. Uživatel si přímo na čipu tokenu vygeneruje soukromý a veřejný klíč a u certifikační autority vyžádá certifikát. Ten pak zaregistruje k datové schránce (DS). Pro další přihlášení pak zadá původní heslo k DS, zasune token s certifikátem a po výzvě vloží PIN. Tento způsob přihlašování do DS zajišťuje velmi vysokou úroveň bezpečnosti. Uživatel se ale musí starat o vydání a pravidelnou obnovu certifikátu, což představuje určité provozní náklady.
OTP token a jeho použití
OTP token (OTP je zkratka pro One Time Password) je malé elektronické zařízení, které po stisknutí tlačítka vygeneruje jednorázově použitelný bezpečnostní kód. Bez něj není možné přihlášení k informačnímu systému, který je chráněn touto metodu přihlašování. Pravděpodobnost náhodného uhodnutí správného bezpečnostního kódu přitom činí přibližně 1 : 1 000 000.
I OTP token našel uplatnění při ochraně datových schránek. Jeho výhodou je velmi jednoduché použití. Další výhodou je nezávislost na operačním systému stanice, ze které uživatel do datové schránky přistupuje. Aktivaci OTP tokenu v Portálu datových schránek zvládne uživatel během několika minut. Přihlášení pak probíhá stejně jako při autentizaci jménem a heslem, pouze je třeba navíc zadat šestimístný bezpečnostní kód získaný stisknutím tlačítka.
Správa digitálních identit
Důležitou součástí každého autentizačního řešení je správa uživatelů a jejich digitálních identit. Produkty společnosti SafeNet v tomto ohledu uspokojí potřeby organizací všech velikostí. SafeNet Authentication Manager (SAM) zajišťuje bezproblémový průběh životního cyklu všech autentizačních prostředků a splnění různých požadavků bezpečnostních politik. Samozřejmostí je integrace na adresářové služby a systémy identity managementu jako např. Active Directory, Novell eDirectory nebo OpenLDAP a spolupráce s certifikačními autoritami. SAM také umí elegantně řešit zabezpečení přístupu z mobilních zařízení (chytré telefony, tablety).
Ing. Petr Slaba
Vyjadrite váš názor v komentároch