Upravljanje identitetima danas predstavlja sve značajniji način zaštite imovine, podataka, objekata i kompanija, od kojih mnoge imaju hiljade uposlenika. Da stvar bude složenija, ova lica nisu samo stalni uposlenici nego i privremeno angažovani radnici ili izvođači radova. Krajnji korisnici sve se više fokusiraju na provjeru njihovog navodnog identiteta i omogućavanje pristupa ključnim zonama ili zaštićenim mrežama ovim osobama. U tome im mogu pomoći napredne tehnologije poput multifaktorske autentifikacije
Izvor:a&s International
E-mail: redakcija@www.asadria.com
Upravljanje identitetima predstavlja sektor koji se brzo razvija. U nedavnom izvještaju kompanije Research andMarkets navedeno je da je vrijednost ovog sektora u 2013. godini iznosila 5,1 milijardi američkih dolara, uz očekivani rast na 10,4 milijardi dolara do 2018. godine. Godišnja stopa rasta u tom slučaju iznosila bi 15,1 posto. Faktori ovakvog rasta su snažna potražnja kompanija koje žele zaštititi svoje objekte i povjerljive podatke od uljeza. Mogućnost adekvatne identifikacije osoba je od ključne važnosti, posebno za velike kompanije koje imaju hiljade, a neke i desetine hiljada uposlenika širom svijeta. Osim toga, uloge ovih uposlenika sve se više diversificiraju. U modernim kompanijama osoblje ne čine samo stalni uposlenici nego i radnici koji rade skraćeno radno vrijeme, privremeno angažirani uposlenici i izvođači radova. Kompanije moraju učinkovito upravljati ovim osobljem i dati mu pristup poslovnim prostorijama i podacima, iz čega se razvila potreba za naprednim rješenjima za upravljanje osobljem. „Proces upravljanja identitetima i ovlaštenjima treba biti jednostavan i prilagođen korisnicima kako bi se osiguralo brzo upravljanje različitim identitetima, pri čemu se smanjuje rizik od pojave grešaka izazvanih ljudskim faktorom“, kaže ArjanBouter, direktor prodaje u kompaniji NedapSecurity Management, i dodaje da, ako se koriste usluge privremeno angažiranog osoblja kako bi se iskoristio period najveće sezonske potražnje, neophodno je instalirati sistem koji im omogućava pristup proizvodnim postrojenjima isključivo u određenom periodu. Nakon isteka ovog perioda njihova prava pristupa će se automatski opozvati.
Autentifikacija na tri nivoa
Multifaktorskaautentifikacija uključuje provjeru identiteta na temelju dva od tri faktora: „šta se zna“ (šifra), „šta se posjeduje“ (kartica ili token) i „o kome se radi“ (biometrija). To je važan metod upravljanja identitetima, posebno za pristup ključnim zonama. „Organizacije sa visokim sigurnosnim potrebama, poput finansijskih institucija i državnih agencija, obično koriste multifaktorskuautentifikaciju za ostvarivanje pristupa. Ministarstvo odbrane SAD-a, naprimjer, implementiralo je biometrijsku tehnologiju prepoznavanja otisaka prstiju i lica na svoje identifikacijske kartice pomoću kojih se upravlja pristupom prostorijama ove institucije i informacijskim sistemima“, kažeJordan Cullis, direktor rješenja za kontrolu identiteta za Azijsko-pacifičku regiju u kompaniji HID Global.
Komponente
Potreba za multifaktorskomautentifikacijom javila se u skladu sa spoznajom da korištenje jednog faktora nije dovoljno za utvrđivanje nečijeg identiteta. „Jedan faktor je obično RFID token faktora ‘šta se posjeduje’“. Oni se lahko dijele ili izgube i ne mogu biti garant nečijeg identiteta“, kaže Steve Bell, tehnološki direktor sigurnosnih rješenja u kompaniji Gallagher. „Dodavanje PIN-a nudi viši nivo sigurnosti kada je u pitanju identitet.“ Većina stručnjaka se slaže da šifre predstavljaju idealan drugi faktor,koji je relativno cjenovno pristupačan i lahko se implementira. „Veliki broj čitača, naprimjer, posjeduje tastaturu i oni su umreženi jednako kao i oni koji je nemaju. Na taj način čitači mogu koristiti pristupnu šifru i pametne kartice za dvostruku autentifikaciju bez dodatnih troškova instaliranja dva odvojena čitača“, kaže JeremyEarles, rukovoditelj sektora akreditiva u kompaniji Allegion. Treći i posljednji sigurnosni nivo predstavlja biometrijska tehnologija pomoću koje se vrši identifikacija lica na temelju njihovih bioloških atributa. „Biometrija je dostupna u različitim vidovima, od otisaka prstiju, vena prstiju ili prepoznavanja lica“, kaže Tom Su, direktor prodaje u kompaniji Hundure Technology.„Iako je ova tehnologija učinkovita, problemi su i dalje prisutni. Jedan od najvažnijih je njena cijena, koja može biti i dvostruko viša u odnosu na standardni čitač kartica“, kaže on.
Multimodalna biometrija
Većina biometrijskih rješenja koja se danas koristi jesu unimodalna, što znači da se identifikacija vrši preko jednog fizičkog atributa poput, naprimjer, šarenice, mrežnice, otisaka prstiju, lica ili geometrije šaka. Ipak, identifikacija nekog lica na temelju jednog fizičkog atributa može biti nedovoljna. Neke osobe, naprimjer, imaju ožiljke na prstima ili neprepoznatljive otiske prstiju.
U toj situaciji na scenu stupa multimodalna biometrija. Rješenja ovog tipa identificiraju lica kombiniranjem navedenih fizičkih atributa. Prednosti su jasne: identifikacija se vrši uz veću preciznost. Ako je nečiji fizički atribut neprepoznatljiv, to se može kompenzirati pomoću drugog atributa. Ipak, prisutne su i određene mane, a najvažnije od njih su interoperabilnost i standardizacija. Danas ne postoje univerzalni standardi za pohranu uzoraka i objedinjavanje svih biometrijskih standarda za neometan zajednički rad. I cijena može predstavljati problem, jer dodavanje dodatne biometrijske tehnologije može značajno podići cijenu rješenja. Osim toga, neki smatraju i da objedinjavanje različitih biometrijskih modela ne predstavlja garant veće preciznosti. Neki stručnjaci tvrde da kombiniranje snažnijeg biometrijskog rješenja sa slabijim dovodi do većeg broja grešaka. Multimodalna biometrija još uvijek jeu ranoj fazi. Hoće li ona postati trend ili prolazni hir? To će pokazati budućnost. Tu je i faktor nepraktičnosti, posebno za ljude koji žure na posao. Osim toga, „neki ljudi ne vole koristiti biometrijske čitače iz higijenskih razloga i nerado stavljaju ruke ili prste na nešto što dodiruju drugi ljudi“, ističe JerryCordasco, tehnološki direktor u kompaniji AMAG Technology, i dodaje: „Što kvalitetnije razumijemo različite prednosti i mane biometrijskog sistema, bit ćemo bolje pripremljeni za njegovu implementaciju.“
Multifaktorska i jednofaktorskaautentifikacija
Izbor između multifaktorske i jednofaktorskeautentifikacije predstavlja nalaženje ravnoteže između troškova, praktičnosti i stepena rizika za organizaciju krajnjeg korisnika. “Brojne organizacije u javnom sektoru i banke moraju biti otvorene za javnost, pri čemu njihovi uposlenici moraju biti odvojeni od nje svojevrsnim sigurnosnim „kineskim zidom“. U istim organizacijama uposlenici iza „zida“ moraju posjedovati ovlasti da se kreću po različitim zonama i prostorijama. U ovakvim situacijama može biti korisno instalirati PIN ili skener šarenice u sigurnosnom sistemu za kontrolu pristupa“, kaže Bouter. „Ovo ne bi bilo jednako korisno u objektima poput bolnica ili poslovnih zgrada u kojima veliki broj ljudi ulazi ili izlazi iz njih. U tom slučaju sigurnosna prijetnja ne treba biti jedini faktor koji određuje sigurnost pristupa. Jednako su važni i faktori poput tipa organizacije i korisnika sistema. Ako je lahkoća ulaska u objekat važniji faktor od sigurnosti, PIN ili biometrijski sistemi jednostavno nisu adekvatni.“ Na kraju, broj faktora za odobravanje pristupa uposlenicima zavisi kod korisničkih potreba i zahtjeva.
„Proces upravljanja identitetima i ovlaštenjima treba biti jednostavan i prilagođen korisnicima kako bi se osiguralo brzo upravljanje različitim identitetima, pri čemu se smanjuje rizik od pojave grešaka izazvanih ljudskim faktorom.“
ArjanBouter, direktor prodaje u kompaniji NedapSecurity Management
„Organizacije sa visokim sigurnosnim potrebama, poput finansijskih institucija i državnih agencija, obično koriste multifaktorskuautentifikaciju za ostvarivanje pristupa. Ministarstvo odbrane SAD-a, naprimjer, implementiralo je biometrijsku tehnologiju prepoznavanja otisaka prstiju i lica na svoje identifikacijske kartice.“
Jordan Cullis, direktor rješenja za kontrolu identiteta za Azijsko-pacifičku regiju u kompaniji HID Global
Mogu li se telefoni koristiti kao faktor?
Kao faktor „šta se posjeduje“ u okviru višefaktorskeautentifikacije već decenijama se koristi kartica ili jednokratni token s šifrom koji korisnici nose sa sobom. Međutim, danas sve više ljudi koristi svoje pametne telefone za pristup svojim radnim mjestima ili poslovnim podacima. AndyKemshall, suosnivač i tehnički direktor kompanije SecurEnvoy, smatra da su razlozi za ovu pojavu jednostavni. Kao prvo, kompanijama nije jednostavno distribuirati desetine hiljada tokena svojim uposlenicima širom svijeta. Drugo, tokeni se lahko gube i ljudi često sedmicama ili mjesecima nisu ni svjesni da su oni izgubljeni.
U slučaju telefona, prisutan je „faktor brige“. „Ako odem na odmor i neko mi ukrade telefon, ja ću to saznati u roku od manje od pola sata jer je on moja komunikacijska veza sa ostatkom svijeta“, kaže on. Jednokratna šifra za telefone može se dostaviti preko SMS poruke ili se generisati preko aplikacije za softverski token. Korisnici koji se moraju daljinski logovati na poslovnu mrežu mogu unijeti šifru koju provjerava server na administratorovoj lokaciji. Potreban je i faktor „šta se zna“, odnosno šifra. Sve više biometrijskih uzoraka se pohranjuje u mobilne uređaje i oni se koriste kao dodatni faktor. „Platforme za mobilnu kontrolu pristupa nove generacije omogućavaju korisnicima da implementiraju biometrijske uzorke na isti način kao i tradicionalne opipljive akreditive, uz dodatnu praktičnost u vidu mogućnosti pohrane u telefone“, kaže Jordan Cullis, direktor rješenja za kontrolu identiteta za Azijsko-pacifičku regiju u kompaniji HID Global. „Različiti biometrijski uzorci mogu biti sigurno pohranjeni u vidu digitalnog akreditiva, uključujući otiske prstiju, geometriju šaka ili raspored vena. Pohranjivanje uzoraka pretvara pametni telefon u prenosivu bazu podataka pogodnu za instalacije koje obuhvataju više lokacija“, zaključuje Cullis.
“U slučaju da otpustite uposlenika, možete mu oduzeti pristup zgradi, a da pri tome zaboravite uraditi isto i za pristup mreži. Jednostavnost upravljanja identitetima na najvišem nivou je ono što integraciju fizičkog i logičkog pristupa čini atraktivnim.“
JerryCordasco, tehnološki direktor u kompaniji AMAG Technology
“Ako utvrdimo da je primjena NFC tehnologije ključ za iskorak naprijed, kompanija koja ima NFC tehnologiju na vratima u budućnosti može povezati centralni server koji ih kontroliše sa drugim serverima. Telefon vam omogućava da otvorite vrata u zgradi kompanije i da se logujete na PC.“
AndyKemshall, suosnivač i tehnički direktor kompanije SecurEnvoy
Integracija fizičkog i logičkog pristupa
Iako rješenja za upravljanje identitetima mogu učinkovito kontrolisatiko smije pristupiti objektima, ona mogu poslužiti i za kontrolu pristupa mreži kompanije, na kojoj su pohranjene osjetljive informacije. Na isti način na koji se višefaktorskaautentifikacija primjenjuje za osiguravanje korisničkog pristupa zgradi, moguće je vršiti autentifikaciju korisnika koji pokušavaju pristupiti poslovnoj mreži. „Svaki nivo verifikacije identiteta predstavlja dodatni nivo zaštite. Sedamdeset dva posto mrežnih upada u 2013. posljedica je neadekvatnih ili ukradenih akreditiva. Kvalitetnija tehnologija za autentifikaciju značajno jača sigurnost na više nivoa“, kaže Jennifer Dean, rukovoditelj marketinga rješenja za upravljanje identitetima i pristupom u kompaniji Gemalto. Integrisanje fizičkog i logičkog pristupa na jednom uređaju, poput kartice ili mobilnog telefona, danas predstavlja sve češću pojavu. Ono nudi brojne prednosti, od kojih je jedna lahkoća upravljanja. „U slučaju da otpustite uposlenika, možete mu oduzeti pristup zgradi, a da pri tome zaboravite uraditi isto i za pristup mreži. Jednostavnost upravljanja identitetima na najvišem nivou je ono što integraciju fizičkog i logičkog pristupa čini atraktivnim“, kaže JerryCordasco, tehnološki direktor u kompaniji AMAG Technology.
BrivoLabs diže upravljanje identitetima na novi nivo
Kompanija BrivoLabs u martu je predstavila SAM API, koji omogućava programerima da kreiraju aplikacije za autentifikaciju korisničkog pristupa objektima preko njihovih korisničkih računa na društvenim mrežama. Neke od tehnologija koje se baziraju na SAM API tehnologiji su OKDoor i Randivoo Mobile rješenja. U slučaju ovog posljednjeg, administrator vrši autentifikaciju lica koje se nalazi pred vratima preko njegovog Google Plus računa. Posjetitelj se po dolasku na destinaciju prijavljuje na Google Plus preko svog mobilnog uređaja i usmjerava ga prema vratima kojima želi pristupiti i ulazi u zgradu. „Mogućnost ostvarivanja pristupa objektima korištenjem društvenih akreditiva predstavlja prirodnije i praktičnije iskustvo u odnosu na čuvara koji na vratima od vas traži dokaz o identitetu ili u slučaju da ne zateknete nikoga na recepciji, kada ne znate šta da činite. Mogućnost vršenja interakcije s objektima i ostvarivanja pristupa istima pomoću ID platforme koju sami kreirate predstavlja idućiveliki prirodni korak prema kojem će industrija krenuti“, kaže Lee Odess, direktor kompanije BrivoLabs.
Tehnologija može biti sigurna ako ju se ispravno implementira. „Vjerujemo da implementacija ovih sistema i procesa može omogućiti da se na nivou kompanije ili objekta vrši identifikacija preko društvenih mreža, kao i da se utvrdi praksa omogućavanja pristupa do odgovarajućeg nivoa. Naprimjer, vi možete imati pristup predvorju, ali ne i uredima, ili, pak, toaletu, ali ne i liftu“, kaže Odess. On tvrdi da se društvena autentifikacija može primijeniti u različitim segmentima, od poslovnog sektora do stadiona, maloprodaje, objekata hemijskog čišćenja i banaka. Hoće li ovo postati i tržišni trend? On kaže da sve zavisi od implementacije tehnologije. „Mi vjerujemo da će, kao i u ostalim slučajevima, prepoznavanje vrijednosti voditi do prihvatanja ove tehnologije i pozitivnih reakcija. Ako to bude loše izvedeno, reakcije će biti negativne“, kaže on.
Lee Odess, direktor kompanije BrivoLabs
Zahvaljujući NFC tehnologiji, autentifikacija korisnika za ostvarivanje fizičkog i logičkog pristupa preko mobilnih telefona postaje realnost. „Ako utvrdimo da je primjena NFC tehnologije ključ za iskorak naprijed, kompanija koja ima NFC tehnologiju na vratima u budućnosti može povezati centralni server koji ih kontroliše sa drugim serverima. Telefon vam omogućava da otvorite vrata u zgradi kompanije i logujete se na PC“, kaže AndyKemshall, suosnivač i tehnički direktor kompanije SecurEnvoy. Ipak, NFC tehnologija još uvijek nije postala standard iz više razloga. Telefoni s ovim tehnologijom su još uvijek novina, a magazin Wired predviđa da će do 2016. samo četvrtina Amerikanaca posjedovati ovakve uređaje. Zbog toga kompanije mogu zaključiti da se investiranje u upravljanje identitetima i pristup preko NFC-a ne isplati. Sigurnost također igra ulogu, posebno zbog sve češćih slučajeva hakiranja telefona. Interakcija NFC telefona i nesigurnog NFC taga hakerima može omogućiti preuzimanje kontrole nad telefonima na kojima su danas pohranjene brojne korisničke informacije poput brojeva socijalnog osiguranja i kreditnih kartica.
Saradnja sa IT sektorom
Pošto većina integratora lakše radi sa fizičkim pristupom, integrisanje fizičkog i logičkog pristupa podrazumijeva komunikaciju i saradnju između sektora. „Integratori moraju sarađivati sa korisnikovim timovima za logički i fizički pristup koji su navikli da rade samostalno. Ključnu ulogu igra objedinjavanje svih strana na početku implementacije projekta i informisanje o ciljevima projekta, kao i njihovom utjecaju na finansiranje timova“, kaže Dean. Moderna rješenja za upravljanje identitetima uz podršku višefaktorskeautentifikacije mogu učinkovito utvrditi jesu li određene osobe ono za šta se izdaju. Pristup neovlaštenih lica poslovnoj zgradi kompanije ili mreži može se spriječiti, a krajnji korisnici mogu biti mirni kada znaju da su resursi njihove kompanije zaštićeni.
