Достоинства и недостатки использования единого сервиса идентификации и

Достоинства и недостатки использования единого сервиса идентификации и аутентификации Храмцовская Наталья Александровна к. и. н. , ведущий эксперт по управлению документацией компании «Электронные Офисные Системы» , эксперт ИСО, член Гильдии Управляющих Документацией и ARMA International Храмцовский Андрей Владимирович к. т. н. , эксперт компании «Электронные Офисные Системы» 6 февраля 2013 г. Инфофорум 2013 1

Нормальные герои всегда идут непроторенными путями n n Подобной глобальной системы не имеет ни одна страна мира, так что учиться придется на собственных ошибках Что произойдет с системой аутентификации и идентификации при запланированном переходе на электронные паспорта в 2015 году? Если система будут и далее использоваться, чего стоят решения Верховного Суда РФ о том, что это не реестр населения? 6 февраля 2013 г. Инфофорум 2013 2

Достоинства централизованной идентификации и аутентификации - 1 n Достаточно один раз создать и как следует отладить сервис аутентификации, и все остальные системы смогут его использовать n Пользователи могут использовать один и тот же набор реквизитов для доступа к разнообразным, в том числе и ко вновь созданным системам n Собираемые в ходе функционирования системы данные будут ценным ресурсом для аналитических исследований и мониторинга, а также для правоохранительных органов 6 февраля 2013 г. Инфофорум 2013 3

Достоинства централизованной идентификации и аутентификации - 2 n Соответствующие персональные данные могут собираться и храниться не во всех информационных системах, а только в одном месте n Единообразие и стандартизация n В перспективе возможно оказание аналогичных услуг коммерческим организациям 6 февраля 2013 г. Инфофорум 2013 4

Недостатки централизованной идентификации и аутентификации - 1 n Появляется единая точка отказа – Это должен быть высокозащищенный, высокорезервированный ресурс с высокой пропускной способность – Масса угроз, даже при наличии резервных центров: от пьяного экскаваторщика и отказа спутника до DDOS-атак и действий озлобленных инсайдеров 6 февраля 2013 г. Инфофорум 2013 5

Недостатки централизованной идентификации и аутентификации - 2 n В одном месте концентрируется персональные данные значительной части населения, и для каждого лица накапливается информация обо всех его действиях, интересах и запросах – Очень удобно для профилирования n Следствием единообразия и стандартизации является потеря гибкости при управлении отдельными системами – Как оказывать услуги тем, кто в системе не зарегистрирован ? – Как оказывать электронные услуги зарубежным гражданам и организациям ? 6 февраля 2013 г. Инфофорум 2013 6

Недостатки централизованной идентификации и аутентификации - 3 n Последствия утраты идентифицирующих реквизитов могут быть катастрофическими – Высокие риски, в том числе финансовых потерь всех участников информационного обмена. Кто будет компенсировать сторонам их потери? n Повышенный интерес хакеров и недружественных государств – Могут быть применены самые современные дорогостоящие средства атаки 6 февраля 2013 г. Инфофорум 2013 7

Недостатки централизованной идентификации и аутентификации - 4 n Угрозы со стороны инсайдеров n Низкое доверие к разработчику и оператору системы n Большие сомнения вызывает идея ведения реестра должностных лиц – Потребуется постоянная актуализация. Кто это будет делать и кто будет отвечать за последствия? – Не лучше ли отслеживать полномочия на уровне органов и организаций (опыт Банка России – код аутентификации)? – Должностные лица автоматически регистрируются в системе как пользователи 6 февраля 2013 г. Инфофорум 2013 8

Технологическая нейтральность n Обеспечение технологическая нейтральность законодательства – Условия для применения различных технологий аутентификации – Разные технологии могут быть эффективны в различных условиях – Снижение рисков 6 февраля 2013 г. Инфофорум 2013 9

Риски социального плана n Есть те, кто понимает технологии и связанные с ними риски и как правильно ими пользоваться n Огромная часть населения даже не понимает рисков, которые несут с собой такие системы – при внедрении подобных систем нужна постепенность – как в плане числа подключаемых систем, так и в плане контингента пользователей – Тестирование желательно начинать с сотрудников аппарата Правительства и Президента, федеральных министерств и ведомств – В последнюю очередь подключать пенсионеров. – Если система покажет себя эффективной и заслуживающей доверия люди придут сами 6 февраля 2013 г. Инфофорум 2013 10

Выводы n Нет смысла отвергать подобное техническое решение в принципе. Однако его реализация и подключение пользователей должны идти без суеты и спешки – Пусть государство сначала опробует новую игрушку на себе и на своих служащих, отладит её, убедит всех, что система работает надежно и без сбоев n Обязательно найдутся такие системы, которые подключать к единому сервису авторизации по тем или иным причинам окажется нерационально, и к этому нужно быть готовыми 6 февраля 2013 г. Инфофорум 2013 11

Выводы n Нужно сразу «закладываться» на т о, что подобная система будет объектом атак, в том числе успешных – Нужно сразу встраивать в неё дополнительные механизмы выявления подозрительной активности, оповещения граждан, а также устранения последствий инцидентов безопасности, в результате которых может быть одновременно совершено много несанкционированных операций от имени большого числа граждан – Нужно определить ответственность государства за негативные последствия, включая компенсацию материального и морального ущерба 6 февраля 2013 г. Инфофорум 2013 12

Приглашаю Вас на мой блог: http: //rusrim. blogspot. com/ 6 февраля 2013 г. Инфофорум 2013 13