БЕЗОПАСНОСТЬ

Новая услуга дополнена аутентификацией с учетом рисков от компании CYOTA

В самом начале марта RSA Security явила первые плоды декабрьской сделки, когда она приобрела фирму Cyota (www.cyota.com). Это - решение RSA Adaptive Authentication. В нем используется разработанная Cyota технология выявления подлогов. Решение представляет собой многоуровневую схему аутентификации, объединяющую жетоны безопасности SecurID и безжетонную технологию проверки подлинности пользователя с учетом рисков (risk based authentication), созданную фирмой Cyota. RSA Adaptive Authentication позволит намного расширить возможности обеспечения информационной безопасности банков и других финансовых организаций при общении с многочисленными онлайновыми клиентами. Крис Янг, старший вице-президент и генеральный менеджер подразделения RSA Cyota Consumer Solutions (Бедфорд, шт. Массачусетс), назвал Adaptive Authentication лишь первым шагом своей компании на многоэтапном пути обеспечения безопасности клиентов.    

Рискованный бизнес

RSA Security поддерживает аутентификацию с учетом рисков (risk based authentication). А что же это такое? Эта процедура объединяет проверки анализов рисков с информацией о пользовательских именах и паролях как перед началом онлайнового сеанса, так и во время его прохождения. Оцениваются риски на основе следующей информации:

- идентификационные данные пользовательского ПК и его IP-адрес;

- характер поведения пользователя, т. е. его действия при работе в сети;

- данные о случаях мошенничества, поступающие от других банков и интернет-провайдеров.

Если пользователь попал под подозрение, то перед началом сеанса ему придется ответить на дополнительные вопросы, связанные с его личностными данными, стандартного набора данных для входа в систему в таких случаях будет недостаточно.

О намерении использовать аутентификацию с учетом рисков уже заявил ИТ-директор компании ETrade Financial (Меррифилд, шт. Виргиния) Грег Фрамке.

Новый продукт сочетает в себе мониторинг транзакций на базе предлагаемой Cyota технологии "аутентификация с учетом рисков" (risk-based authentication) (это решение Cyota известно на рынке под названием eSphinx) и использование информации из сетевой базы данных Cyota eFraudNetwork. Он полностью отвечает обещаниям RSA, которые компания давала в декабре при покупке этой фирмы за 145 млн. долл., интегрировать разработки Cyota в свои продукты. При этом руководство RSA заявляет, что продолжит продвигать собственные традиционные аппаратные и программные жетоны безопасности (например, хорошо известные SecurID) как решения для "сегментной аутентификации" лояльных клиентов.

RSA Adaptive Authentication позволяет банкам и финансовым компаниям организовывать многоуровневую нейтрализацию рисков при обработке клиентских транзакций. ETrade, например, собирается обеспечить анализ всех обслуживаемых брокеров с применением механизма оценки рисков фирмы Cyota, а затем создать профили рисков каждого из них. В этом случае, получив введенный пользователем пароль регистрации, система будет сопоставлять попытку входа клиента в систему с его профилем. В стандартных ситуациях такой процесс пройдет для клиента совершенно незаметно, зато при отклонениях от обычного порядка процедуры идентификацию можно организовать иначе. Если, допустим, клиент, как правило, входящий в систему с собственного компьютера, вдруг введет пароль на компьютере общего пользования или в необычном для себя месте, ему могут быть заданы дополнительные вопросы, которые помогут надежно идентифицировать его.

"Универсальных средств идентификации, удовлетворяющих всем требованиям без исключения, просто не существует. Мы хотим предложить своим клиентам как можно более широкий выбор возможностей онлайновой защиты, - говорит г-н Фрамке. - Механизм оценки рисков фирмы, предложенный компанией Cyota, будет применяться даже для тех клиентов, которые уже пользуются жетонами SecurID, хотя их аутентификация будет проходить быстрее".

Adaptive Authentication - это всего лишь первый шаг на пути RSA к потенциально прибыльному рынку средств аутентификации пользователей. Свою новую разработку компания намерена предлагать в двух вариантах - автономном и хостинговом. В последнем случае будет использоваться решение Go ID Networks, позволяющее пользователю ввести пароль только один раз, чтобы получить доступ ко всем сайтам, зарегистрированным в Go ID Networks как партнерские.

Как заявляет г-н Янг, в ближайшие месяцы RSA намерена объявить о расширении своего присутствия на рынке массового потребления. Компания собирается развернуть масштабные внедрения собственных решений в компаниях ETrade и Washington Mutual и тем самым закрыть брешь в потребности строгой аутентификации клиентов, которая постоянно усиливается из-за роста онлайнового мошенничества. RSA, например, рассматривает варианты использования в Adaptive Authentication таких возможностей, как проверка состояния здоровья клиентов. Вынашиваются также планы интеграции технологии аутентификации с новой архитектурой InfoCard, которую Microsoft представила на конференции RSA в начале года.