Шон Дьюби (sdeuby@windowsitpro.com)- старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP
В статье «NSTIC – концепция экосистемы удостоверений» (http://www.osp.ru/win2000/2011/12online/13011907) я рассказывал о Национальной стратегии по надежным удостоверениям в киберпространстве (сокращенное название NSTIC). Тогда идея государственной инициативы, направленной на стимулирование повсеместного распространения безопасной среды удостоверений нового поколения, представлялась чрезвычайно перспективной. Несмотря на серьезные препятствия, возникшие с тех пор на пути ее реализации, сегодня можно сказать, что программа NSTIC продолжает двигаться вперед.
Идея NSTIC возникла как ответ на царящий в сфере обеспечения безопасности беспорядок, с которым мы все сталкиваемся на данном этапе существования Интернета. Используется слишком много паролей, которые легко «ломаются»; система безопасности неудобна; транзакции, требующие высокого уровня защиты, недостаточно защищены, а пользователи либо привычно жмут «да» в ответ на любой запрос системы безопасности, либо, напротив, боятся это делать. Словом, список недостатков велик.
. Основные атрибуты экосистемы удостоверений – защита персональных сведений, удобство, эффективность, простота в применении, безопасность, конфиденциальность, новейшие технологии и возможность выбора. NSTIC определяет список сценариев (http://www.nist.gov/nstic/identity-ecosystem.html), демонстрирующих, насколько проще и безопаснее станет наш гибридный реально-виртуальный мир в будущем в рамках этой инфраструктуры.
Внесем ясность: экосистема удостоверений не является строгой государственной структурой. Государство не разрабатывает стандарты и правила, но лишь обеспечивает благоприятную среду для крупных поставщиков интернет-удостоверений (Google, PayPal, IBM Global Services, Microsoft, Verisign, Adobe, CA, Ping Identity и Symantec), выделяя федеральные средства на определение стандартов, обеспечение соответствия их требованиям и запуск экспериментальных программ. Кроме того, для демонстрации действенности новых механизмов предлагаются государственные организации в качестве первых последователей.
Зачем ИТ-специалисту думать о программе, которая, как представляется, ориентирована прежде всего на потребителя? Если ваша компания ведет деятельность по типу «бизнес для потребителя» (B2C), то вы уже заметили стирание границ между удостоверением предприятия и удостоверением потребителя по мере того, как внешние службы переходят на услуги поставщиков удостоверений, таких как Google, Twitter и Facebook. Если же деятельность компании относится к категории «бизнес для бизнеса» (B2B), то переход на стандарты экосистемы удостоверений значительно облегчит проведение эффективных и безопасных бизнес-операций с другими надежными компаниями.
Возникали сомнения, связанные с тем, что государственный проект, направленный на такую утопическую цель, будет переживать бюджетный дефицит и пристрастные настроения в Конгрессе. Однако 18 ноября 2011 года президент Обама одобрил выделение 16,5 миллионов долларов (что, правда, меньше затребованных 24,5 миллионов) на продолжение программы. За этим последовал очередной грант Federal Funding Opportunity (FFO) в размере 10 миллионов долларов от Национального института стандартов и технологий (NIST) на поддержку экспериментальных программ в рамках NSTIC, нацеленных на испытание и демонстрацию новых решений, моделей или структур, пока не выпущенных на рынок, но призванных способствовать развитию концепции.
7 февраля 2012 г. был опубликован отчет NIST под названием «Рекомендации по учреждению структуры управления экосистемой удостоверений». Успех предприятия зависит от правильного выбора формы управления (в рамках частного сектора), объединенной на свободных федеративных началах группой сотрудничающих компаний, и уже свыше 57 заинтересованных сторон, в том числе представителей частного бизнеса, групп защиты интересов потребителей, организаций по защите конфиденциальности, государственных структур, финансовых сообществ и организаций здравоохранения приняли формальное участие в составлении этого документа. В середине марта в рамках NSTIC был проведен управленческий семинар, где было объявлено о выделении 2,5 миллионов долл. на учреждение Руководящего комитета.
В документе, где описывается обсуждаемая концепция, говорится, что безопасное киберпространство критически важно для всеобщего благополучия. Государство обеспечивает координацию и поддержку, передавая управление частному сектору, поэтому окончательно определившаяся структура найдет применение повсюду. Более подробную информацию об этом можно найти на сайте NSTIC (http://www.nist.gov/nstic).