Управление идентификацией и доступом в критической ситуации

Каждое утро, являясь на работу, вы, скорее всего, отмечаетесь на проходной с помощью электронная карты-пропуска, а затем она же открывает вам доступ на служебную территорию. А что будет, если возникнет чрезвычайная ситуация? Как в случае необходимости спасатели, пожарные, служба экстренной помощи и другие службы обойдут электронные средства обеспечения режима доступа?

Недавние учения, проведенные американской военно-промышленной компанией Northrop Grumman и Федеральным агентством по чрезвычайным ситуациям США (FEMA), были нацелены на проверку живучести “глобальной” системы идентификации и авторизации и выяснение направления ее дальнейших исследований и улучшений.

Показы, проведенные ранее, подтвердили возможность применения всеобщей интероперабельной удостоверяющей системы, которая поддерживает электронную аутентификацию и идентификацию правительственных сотрудников и персонала технических служб.

Используя стандартизованные персональные удостоверения, эта система функционировала на многочисленных доменах и аутентификационных инфраструктурах, обеспечивая доступ для оценки возникшей ситуации, управления, защищенной связи и ликвидации последствий. В число участников демонстрации входили представители федеральных, местных и частных аварийно-восстановительных служб, выдвинутых на первую линию спасательно-восстановительных работ.

Директор по управлению корпоративной безопасности и идентификации компании Northrop Grumman Кейт Вард сказал, что практическая проверка доказала интероперабельность между стандартами защиты доступа с использованием электронных карт более новых и давно действующих систем.

Он пояснил, что на многих федеральных объектах используются стандартизованные министерством обороны США карты типа Common Access Card (CAC). Сама компания Northrop Grumman, как поставщик министерства обороны США, выпустила для его служащих около 100 тыс. персональных идентификационных смарт-карт (Personal Identity Verification, PIV). В тех местах, где размещены офисы министерства обороны США, компания Northrop Grumman имеет соглашения о взаимопомощи с местными властями и властью штатов. Целью испытаний было доказать, что в критических ситуациях для аутентификации персонала и обеспечения ему логического и физического доступа в необходимые места и к требуемым объектам новые карточки типа CAC могут согласованно взаимодействовать с наследованными технологиями, такими как пластиковые карты с магнитной полосой и даже водительские удостоверения.

Один из сценариев испытаний имитировал инцидент на судостроительной верфи компании Northrop Grumman в Ньюпорт-Ньюс. Когда первые представители сил реагирования из городского и федерального правительств, а также из правительства штата собрались на месте, они предъявили свои индивидуальные идентификационные удостоверения для электронного считывания различными точками аутентификации для предоставления им физического и логического доступа. Среди этих удостоверений были карточки типа CAC, PIV-карты и совместимые с ними, а также карты стандарта FRAC.

Карта одна — дверей много

В описываемом сценарии показа использовалась среди прочих действующая в компании Northrop Grumman PIV-система под названием OneBadge. Она эффективно объединила правительственные требования всех уровней для подтверждения идентичности, назначенных ролей, авторизаций и привилегий, а также для защищенной передачи информации в правительственные системы управления контролем идентичности.

Участники испытаний получали электронные подтверждения для физического доступа через мобильные и стационарные устройства, которые проверяли подлинность личности, используя персональные идентификационные удостоверения, предоставляющие им доступ к безопасному взаимодействию через электронную почту.

Кейт Вард сообщил: “У нас были разные технологии аутентификации и разные считывающие устройства на местах. Использовалась четырехфакторная аутентификация:

1. Что имею — смарт-карта или токен;

2. Что знаю — пин-код;

3. Кто я — биометрические сканеры, которые позволяли сверить фотографию работника;

4. Визуальное распознавание оператором.

Мы использовали реальные ситуации для логического доступа к порталам и кодированию”.

Когда участник демонстрации получал подтверждение подлинности личности и разрешение доступа в зону демонстрации, система штата Вирджиния Virginia's Interoperability Picture for Emergency Response (VIPER) отслеживала и передавала его действия в режиме близком к реальному времени в интеграционные центры и центры аварийных служб США.

Согласно распространенному компанией Northrop Grumman пресс-релизу в демонстрации участвовало много организаций, среди которых министерство национальной безопасности США, Федеральное агентство по чрезвычайным ситуациям США, база ВВС в Авроре, Агентство по управлению в чрезвычайных ситуациях штата Пенсильвания, пожарная служба города Ньюпорт-Ньюс, сектор компании Northrop Grumman судостроительной верфи в Ньюпорт-Ньюсе, некоторые технологические партнеры и др.

Кейт Вард обратил внимание на некоторые требующие дальнейшего изучения аспекты. “У нас были ситуации, когда электронные карты оказывались просроченными, и мы как запасной вариант использовали водительские удостоверения. Чтобы обеспечить быстрое реагирование в случае кризисной ситуации, каждая организация и компания обязаны разработать свои политики доступа и согласовать их с местными службами по чрезвычайным ситуациям”, — сказал он.

Еще одним всплывшим обстоятельством стали требования конфиденциальности: необходимо обеспечить то, чтобы личная информация первых представителей сил реагирования обрабатывалась безопасно и не использовалась без необходимости. Кейт Вард пояснил, что Федеральное агентство по чрезвычайным ситуациям и министерство национальной безопасности США будут работать над отчетом по проведенной проверке, для того чтобы исследовать эти проблемы более детально.

Безопасная аутентификация в облаке

Распространяя идею интероперабельности за пределы Northrop Grumman и министерства обороны, Кейт Вард представляет мир, в котором процедуры удостоверения личности для специалистов раннего реагирования при чрезвычайных ситуациях, добровольцев, людей из службы спасения и правительственных подрядчиков отображаются на крупномасштабную сетку. Противопожарные подразделения должны бесшовно получать доступ к конструкторским документам зданий. Сотрудникам Федерального агентства по чрезвычайным ситуациям США должен при необходимости предоставляться незамедлительный привилегированный доступ на территории и объекты. Для аутентификации первых представителей сил реагирования на чрезвычайные ситуации наилучшим вариантом было бы “доверенное облако”.

Как сообщил Кейт Вард, компания Northrop Grumman собирается проводить аналогичные тренировки по сценариям реагирования на кибер-угрозы и пандемии, природные и технологические катастрофы: “У нас есть необходимые сертификаты и аккредитация. Сегодня мы проверяем их в реальном деле, намереваясь извлечь пользу для бизнеса компании и доказать возможность снижения корпоративных затрат. Все еще остается задача разработки политик. Но что мы точно вынесли для себя из проведенного тренинга, так это то, что система работает”.