NSTIC – концепция экосистемы удостоверений

Шон Дьюби (sdeuby@windowsitpro.com) - старший аналитик в компании Platform Vision с 25 летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP

За последние пять лет число конфиденциальных транзакций, осуществляемых в Интернете, резко увеличилось. Я хорошо помню, как, делая первые заказы на Amazon, я сомневался, стоит ли вводить данные кредитной карты на странице осуществления платежа, опасаясь технического сбоя в ходе его обработки. Конечно, с тех пор мы все стали чувствовать себя несколько комфортнее в пространстве электронной коммерции, однако существует четкая грань между тем, какие конфиденциальные транзакции можно совершать в Интернете, а какие – не следует. Многие транзакции попадают в категорию «не следует» из-за вопроса удостоверений. Суть фишинговых атак состоит в выяснении, является ли определенное лицо тем, за кого себя выдает. Анонимность, в плохом или хорошем смысле, была обыграна в знаменитом мультфильме «Нью Йоркер» в 1993 году, где главный герой – собака – сидит перед компьютером и говорит своему компаньону: «В Интернете никто не знает, что я – собака».

Если вы читаете эту статью, значит, уже имеете представление о том, какие данные вводить безопасно, а какие — нет. Однако таких пользователей меньшинство. По результатам исследования «2011 Identity Fraud Survey Report», проведенного компанией «Javelin Strategy & Research» (www.identityguard.com/downloads/javelin-2011-identityfraud-survey-report.pdf), 8.1 миллионов взрослых пользователей стали жертвами кражи личных данных с суммой ущерба в 37 миллиардов долларов. Исследование компании «Trusteer» в 2010 году (www.trusteer.com/blog/golden-hour-phishingattacks) показало, что число фишинговых атак продолжает расти, причем 50 % учетных данных жертв захватываются киберпреступниками в течение первых 60 минут после получения подставных электронных сообщений.

Пароли не способны решить проблему. Еще в 2004 году в рабочем докладе RSA говорилось о том, что малое предприятие, насчитывающее 500 сотрудников, тратит около 110000 долларов в год только на управление внутренними паролями. Это составляет 220 долларов на одного пользователя в год. Указанная цифра не учитывает затрат и рисков, связанных с наблюдавшимся с тех пор бурным ростом использования служб SaaS, большая часть которых требует собственных пользовательских ID и паролей. Таким образом, альтернатива паролям необходима. Как любит повторять Джереми Грант, возглавляющий ведомство, занимающееся программой «Национальная стратегия по надежным удостоверениям в киберпространстве» (NSTIC, обычно произносится как «эн-стик»), пароль по своей сути не обеспечивает защиты и должен быть упразднен.

Задача состоит не просто в упрощении процедуры ввода конфиденциальной информации. В конце концов, именно эту цель преследуют фишинговые сообщения, атакующие нас ежедневно. Программа NSTIC нацелена на то, чтобы сделать проведение всех видов транзакций в Интернете значительно более безопасным для граждан.

Концепция NSTIC

Ведомство, занимающееся программой NSTIC, относится к Национальному институту стандартов и технологий (NIST), где делают все – от отслеживания фундаментальных природных констант (www.nist.gov/pml/div684/constants-071911.cfm) до совершенствования методик шлифования на станке с алмазным инструментом (www.nist.gov/pml/div683/nist-polishes-method-for-creating-tinydiamond-machines.cfm). NSTIC определяет концепцию будущей экосистемы удостоверений, в которой отдельные пользователи, предприятия и организации будут чувствовать себя более уверенно и безопасно, совершая транзакции в Интернете. Согласно этому определению, экосистема удостоверений – это ориентированная на пользователя онлайн-среда с набором технологий, политик и согласованных стандартов, обеспечивающих безопасность транзакций – анонимных и полностью удостоверенных, небольшой и высокой ценности. Основные атрибуты экосистемы удостоверений включают конфиденциальность, удобство, эффективность, простоту использования, безопасность, доверительность, инновационный характер и свободу выбора.

NSTIC – не национальная система ID, как планирует Индия (www.governancenow.com/gov-next/egov/govt-planning-multiuse-smart-id-cards-2013), а нечто совершенно противоположное. Это не завуалированная попытка федерального правительства отслеживать вооруженных граждан в ночное время. NSTIC – это результат осознания того, что для совершения безопасных транзакций в интернете необходима общая структура, внутри которой работают провайдеры удостоверений (Google, Facebook, Министерство обороны (DoD) и т.д.) и провайдеры услуг (проверяющие стороны, такие как ADP и Dropbox). Поскольку реализация такого «сотрудничества конкурентов» может оказаться делом долгим и трудным, федеральное правительство готово задать начальный импульс и способствовать этому процессу в качестве нейтральной – но заинтересованной – третьей стороны. Государство является заинтересованной стороной, поскольку само представляет собой одну из крупнейших коллекций провайдеров удостоверений. Лидирующая роль в разработке национальной экосистемы удостоверений должна принадлежать частному сектору, хотя бы по той причине, что мы бы не доверяли государственной системе и поэтому никогда ее не использовали.

Согласно концепции NSTIC, экосистема удостоверений (www.nist.gov/nstic/identity-ecosystem.html) не предполагает единственного поставщика удостоверений. Во-первых, в США все с недоверием отнеслись бы к единоличному поставщику. Во-вторых, пользователи хотят иметь возможность выбора и уже связаны с разными поставщиками. Если только вы не принадлежите к тем 15 пользователям в США, которые пока еще ничего не купили на Amazon, не зарегистрировались в Facebook и не создали учетной записи на почтовом сервере в Интернете, то у вас уже есть удостоверение и, соответственно, его поставщик. Другой поставщик для национальной экосистемы удостоверений вам не понадобится.

Концепция NSTIC предполагает создание онлайн-среды, где провайдеры удостоверений (общественные и частные), провайдеры услуг и потребители используют один и тот же набор согласованных технологий и стандартов, формирующих сеть поддержки доверенных ID, которые могут использоваться всеми сторонами.

Важный момент: NSTIC не означает появления новых технологий. Технологии обеспечения безопасности уже существуют (смарт-карты, цифровые сертификаты и т.д.), поэтому NSTIC сфокусирована на политике и стандартах, обеспечивающих каждому возможность взаимодействия с этими технологиями.

Экосистема удостоверений позволит пользователю с доверенным ID совершать безопасные транзакции – от малоценных и полностью анонимных до имеющих высокую ценность и надлежащим образом удостоверенных. Эта экосистема сведет к минимуму использование паролей и позволит совершать через интернет с помощью смартфона действия, для которых сегодня потребовалась бы кредитная карта или водительские права.

В сфере бизнеса доверительный ID позволит предприятиям совершать строго секретные транзакции, сводя к минимуму возможность вмешательства кибермошенников, столь сильно затрагивающих сегодня электронную коммерцию. При более высоком уровне безопасности потребители бы с большей охотой делали все через интернет, и появились бы совершенно новые виды электронной коммерции – например, юридические услуги или медицинские консультации онлайн.

Одним из принципов экосистемы удостоверений является принцип добровольного участия. Провайдеры удостоверений, провайдеры услуг и потребители не обязаны в нее вступать. Цель разработки продуманной структуры, учитывающей интересы всех сторон, – создание модели «поля чудес»: если мы ее построим, за чудесами дело не станет. Потребители будут иметь свободу выбора поставщика удостоверений, а потребительский спрос будет стимулировать все большее число провайдеров удостоверений и провайдеров услуг вступать в экосистему.

Преимущества экосистемы удостоверений NSTIC будут настолько убедительными для всех сторон, что участие в ней будет стимулироваться реализуемыми за ее счет выгодами. Как одна из заинтересованных сторон, правительство также ориентируется на эти выгоды и предоставляет свою крупную инфраструктуру удостоверений для поддержки реализации первых проектов в качестве стимула для развития.

Экосистема NSTIC на практике

Экосистема удостоверений NSTIC, однако, пока далека от этапа развертывания, и если ее описания звучат несколько туманно, то это потому, что концепция еще находится на ранней стадии. Опубликована стратегия, учреждено ведомство для координации работ в рамках национальной программы, разработан план реализации, а сроки представления первых комментариев относительно предлагаемой структуры руководства NSTIC вышли в конце августа.

Проблемы NSTIC

Главный специалист по вопросам конфиденциальности в «Identity Finder» Аарон Титус обеспокоен тем, что NSTIC делает конфиденциальность основным принципом, но не предлагает нормативных постановлений для ее обеспечения. Другими словами, необходимо обеспечить правовой «кнут» в дополнение к «прянику» новой экосистемы, чтобы уменьшить вероятность «гиперкражи» новых удостоверяющих учетных данных. Проведение же национального закона сегодня, в любом случае, является очень сложной задачей. Бен Томхейв в своем блоге www.secureconsulting.net/2011/04/identity-crisis-the-delusiono.html выражает уверенность в том, что проблема экосистемы удостоверений вторична по отношению к проблеме полного отказа от паролей.

Это – видение будущего. Однако, как известно, «дьявол — в мелочах». Частный сектор должен стать отправной точкой для начала развития и осмысления при наличии прочной модели руководства, включающей доверительную структуру, объединяющую всех участников. Конечный результат должен быть заслуживающим доверия – не только в смысле безопасности, но и на потребительском уровне. Ведь если ваши соседи или родственники не будут доверять концепции, то она не будет принята. К счастью, основные провайдеры удостоверений и услуг из частного сектора одобряют эту деятельность и подключаются к ней (www.nist.gov/nstic/what-othersare-saying.html).

Подключайтесь

На мероприятии, посвященном старту программы NSTIC, Эндрю Нэш (директор по продуктам, относящимся к технологиям управления интернет-удостоверениями, в компании Google) заявил: «Если мы не выработаем концепцию дальнейшего движения вперед, то возможность иметь комфортный для всех Интернет будет быстро таять, и это плохо для всех нас».

Если вы – специалист по удостоверениям, сторонник конфиденциальности и хотите участвовать в обсуждении создания экосистемы удостоверений, то подключайтесь. Зайдите на домашнюю страницу NSTIC (www.nist.gov/nstic), изучите документацию по NSTIC и следите за предложениями принять участие в семинарах.