Krok 1: Zdefiniuj obawy dotyczące bezpieczeństwa informacji specyficzne dla zastosowania

Pierwszym krokiem jest zdefiniowanie lub opracowanie architektury aplikacji i klasyfikacji danych związanych z każdą transakcją. Ten krok dotyczy sposobu działania aplikacji. Z reguły, jeśli kwestie bezpieczeństwa zostaną zdefiniowane pod kątem wpływu na biznes, łatwiej będzie omówić je z kierownictwem i łatwiej będzie zdefiniować wymagania dotyczące bezpieczeństwa. Zalecanym podejściem jest opracowanie diagramu transakcyjnego śledzenia przepływu, który śledzi transakcje i typy danych na różnych serwerach i sieciach. Powinien to być funkcjonalny i logiczny obraz tego, jak aplikacja będzie działać, czyli jak będą przebiegać transakcje, jakie systemy będą uczestniczyć w zarządzaniu transakcjami i gdzie te systemy będą wspierać cele biznesowe i łańcuch wartości produktu w organizacji. Należy zidentyfikować źródła danych i interfejsy danych, a przetwarzane informacje należy sklasyfikować. W ten sposób można przedstawić pełny przepływ transakcji.

Typowe punkty architektury warstwowej obejmują:

* Klienci. Mogą to być komputery PC, cienkie klienty (urządzenia, które korzystają ze współużytkowanych aplikacji z serwera i mają niewielką ilość pamięci), osobiste asystenty cyfrowe (PDA) i telefony obsługujące protokół aplikacji bezprzewodowych (WAP).

* Serwery. Mogą to być procesory WorldWideWeb, aplikacji, baz danych i oprogramowania pośredniego, a także serwery zaplecza i starsze systemy.

* Urządzenia sieciowe. Przełączniki, routery, zapory sieciowe, karty sieciowe, kodeki, modemy oraz wewnętrzne i zewnętrzne witryny hostingowe.

* Przestrzenie sieciowe. Strefy zdemilitaryzowane sieci (DMZ), intranety, ekstranety i Internet.

Na tym etapie procesu ważne jest, aby zidentyfikować krytyczność aplikacji dla firmy i nadrzędne kwestie związane z bezpieczeństwem: poufność transakcji, integralność transakcji lub dostępność transakcyjną. Zdefiniowanie tych kwestii bezpieczeństwa pomoże uzasadnić usługi bezpieczeństwa wybrane do ochrony systemu. Im dokładniej można opisać architekturę, tym dokładniej można chronić informacje za pomocą usług bezpieczeństwa.

POLITYKI I STRATEGIE BIZNESOWE

W złożonym świecie bezpieczeństwa e-commerce najlepsze praktyki nieustannie ewoluują. Nowe protokoły i produkty są regularnie ogłaszane. Przed eksplozją Internetu większość firm rzadko udostępniała swoje dane i własne aplikacje jakimkolwiek zewnętrznym podmiotom, a bezpieczeństwo informacji nie było priorytetem. Obecnie firmy korzystające z handlu elektronicznego potrzebują solidnych architektur bezpieczeństwa dla praktycznie wszystkich zastosowań. Skuteczne bezpieczeństwo informacji stało się głównym problemem biznesowym. W tym rozdziale przedstawiono elastyczne ramy do tworzenia bezpiecznych aplikacji handlu elektronicznego oraz pomoc w identyfikacji odpowiednich i wymaganych usług bezpieczeństwa. W celu ułatwienia dołączono pokazane przykłady teoretyczne

zrozumienie przez czytelnika struktury w środowisku biznes-klient (B2C) i biznes-biznes (B2B). Rozsądne ramy bezpieczeństwa handlu elektronicznego to takie, które:

  1. Definiuje obawy związane z bezpieczeństwem informacji specyficzne dla aplikacji.
  2. Definiuje usługi bezpieczeństwa potrzebne do rozwiązania problemów związanych z bezpieczeństwem.
  3. Wybiera usługi bezpieczeństwa na podstawie analizy kosztów i korzyści oraz kwestii ryzyka i zysku.
  4. Zapewnia stałą uwagę na zmiany technologii i wymagań w miarę zmieniania się zarówno zagrożeń, jak i wymagań aplikacji.

To czteroetapowe podejście jest zalecane do zdefiniowania wyboru usług bezpieczeństwa i procesów decyzyjnych.

WPROWADZENIE

Dziś handel elektroniczny obejmuje całe przedsiębiorstwo. Najbardziej oczywiste aplikacje e-commerce obejmują transakcje biznesowe z klientami zewnętrznymi na urządzeniach mobilnych i w sieci WWW (WWW lub WWW), ale są one jedynie przysłowiowym wierzchołkiem góry lodowej. Obecność handlu elektronicznego stała się znacznie bardziej wszechobecna, często obejmując całe logistyczne i finansowe łańcuchy dostaw, które są podstawą współczesnego handlu. Nawet najmniejsze organizacje teraz polegają na Internecie, aby uzyskać dostęp do usług i informacji. Gwałtowny rozwój aplikacji mobilnych w ciągu ostatnich kilku lat spowodował głęboką integrację transakcji elektronicznych z minutą na minutę życia codziennego. Spacerując ulicą w dowolnym obszarze miejskim, urządzenia mobilne stały się wszechobecne. Narody, którym brakowało infrastruktury przewodowej, opuściły pokolenie technologiczne i przeszły bezpośrednio na infrastrukturę telekomunikacyjną opartą na technologiach telefonii komórkowej. Wszechobecne pragnienie poprawy wydajności często powoduje zbieżność między systemami obsługującymi konwencjonalne operacje z systemami wspierającymi biznes online organizacji. Dlatego też często systemy wewnętrzne w sklepach stacjonarnych wykorzystują te same systemy zaplecza, z których korzystają klienci Web. Często zdarza się, że kioski i kasy fiskalne wykorzystują bezprzewodowe sieci lokalne do nawiązywania połączeń z systemami wewnętrznymi. Te połączenia mogą zapewnić intruzom bezpośredni dostęp do serca przedsiębiorstwa. Sprawa TJX, na którą zwrócono uwagę opinii publicznej na początku 2007 r., Była jednym z serii włamań na dużą skalę do informacji przechowywanych elektronicznie w systemach back-office i e-commerce. Przede wszystkim wydaje się, że sprawa TJX rozpoczęła się od niedostatecznie zabezpieczonej sieci korporacyjnej i powiązanych systemów zaplecza, a nie od penetracji strony internetowej. Naruszenie to przerodziło się w naruszenie bezpieczeństwa korporacyjnych systemów danych. Zgłoszono, że co najmniej 94 miliony kart kredytowych zostało naruszonych. W dniu 30 listopada 2007 roku ogłoszono, że TJX, organizacja macierzysta sklepów, w tym TJ Maxx i Marshall’s, zgodziła się uregulować roszczenia bankowe związane z kartami VISA na kwotę 40,9 mln USD. Handel elektroniczny osiągnął obecnie pełnoletność, stwarzając ryzyko powiernicze, które jest ważne dla kierownictwa wyższego szczebla i dla zarządu. Bezpieczeństwo sieci danych, zarówno tych używanych przez klientów, jak i tych używanych wewnętrznie, osiągnęło poziom, na którym znacząco wpływa na wynik finansowy. TJX ucierpiał zarówno pod względem finansowym, jak i public relations, a historie dotyczące szczegółów tej sprawy pojawiły się w Wall Street Journal, New York Times, Business Week i wielu branżowych publikacjach. Bezpieczeństwo danych nie jest już abstrakcyjną kwestią, którą interesuje się tylko personel techniczny. Rozliczenia prawne znacznie przekraczają koszty bezpośrednio związane z rozwiązaniem problemu technicznego. Ochrona informacji związanych z handlem elektronicznym wymaga wielopłaszczyznowego podejścia, obejmującego zasady i strategie biznesowe, a także kwestie techniczne lepiej znane specjalistom ds. Bezpieczeństwa informacji. W całym przedsiębiorstwie ludzie i informacje są fizycznie chronieni. Nawet najmniejsze organizacje mają zamknięte drzwi i recepcjonistkę, która powstrzymuje osoby postronne przed wejściem do lokalu. Im większa organizacja, tym dokładniejsze środki ostrożności. Małe firmy mają proste, zamknięte drzwi; Większe przedsiębiorstwa często mają wiele poziomów zabezpieczeń, w tym zamki elektroniczne, ochronę i dodatkowe poziomy recepcjonistów. Firmy zazdrośnie strzegą też prywatności rozmów kierowniczych i projektów badawczych. Pomimo tych norm nie jest niczym niezwykłym stwierdzenie, że praktyki bezpieczeństwa informacji są słabsze niż fizyczne środki bezpieczeństwa. Połączenie z Internetem (i wewnątrz firmy, z intranetem) pogarsza problem, znacznie zwiększając ryzyko i zmniejszając trudność ataków. Wszechobecne urządzenia mobilne tylko potęgują trudności.

PODSUMOWANIE I ZALECENIA

Nie ma uniwersalnego „najlepszego” systemu uwierzytelniania biometrycznego. Każda z pięciu wiodących technologii biometrycznych ma określone zalety i wady. Niektóre technologie biometryczne są bardziej odpowiednie dla określonych zastosowań i środowisk niż ich odpowiedniki. Organizacja w trakcie oceny potencjalnej implementacji uwierzytelniania biometrycznego musi zdawać sobie sprawę z tego, że przy każdym wyborze pojawią się kompromisy, takie jak koszt dokładności, prywatność w porównaniu z akceptacją przez użytkownika itd. konkretna technologia biometryczna do określonego zastosowania. Istnieje jednak wiele badań dotyczących wielu zalet i wad biometrii. Rysunek 29.3 zawiera podsumowanie porównania cech pięciu wiodących technologii biometrycznych omówionych w tym rozdziale. Cechy, pokazane w skrajnej lewej kolumnie, pochodzą z różnych prac badawczych, a rankingi stanowią połączenie rankingów znalezionych w literaturze. Chociaż systemy uwierzytelniania biometrycznego obiecują oszczędności kosztów i wyższy poziom bezpieczeństwa dla organizacji, nie stanowią panaceum. Wiele czynników wpływa na to, jak dobrze lub słabo sprawdzą się mechanizmy uwierzytelniania biometrycznego w danym środowisku organizacyjnym. Wśród tych czynników znajdują się użytkownicy, administracja, środowisko, infrastruktura, budżet, system komunikacji i istniejące potrzeby w zakresie bezpieczeństwa. Chociaż wiele technologii biometrycznych może działać jako samodzielne systemy, w rzeczywistości ich dokładność i poziom wydajności uległyby znacznej poprawie poprzez połączenie ich z bardziej konwencjonalnymi metodami uwierzytelniania, takimi jak hasła i klucze. Takie systemy wieloczynnikowe zapewniają większe bezpieczeństwo i niezawodność. Wybierając biometryczny system uwierzytelniania i przygotowując się do wdrożenia, organizacje powinny skupić się na interfejsie technologii użytkownika i warunkach w środowisku operacyjnym, które mogą mieć wpływ na wydajność technologii. Na przykład bezrefleksyjne przyjęcie technologii skanowania odcisków palców w branży opieki zdrowotnej ilustruje niebezpieczeństwa wynikające z nieuwzględnienia realiów środowiskowych. Ważne jest, aby organizacje brały pod uwagę nie tylko praktyczne przeszkody w skutecznym wdrażaniu, ale także potencjalne przeszkody psychologiczne, takie jak obawy użytkowników dotyczące technologii. Z etycznego punktu widzenia organizacja ma również obowiązek uważnego rozważenia zakresu, w jakim wdrożenie uwierzytelniania biometrycznego narusza prawa użytkowników do prywatności. Dokonując tej oceny, kierownictwo musi wziąć pod uwagę możliwość, że organizacja może zostać zmuszona do udostępnienia organom rządowym informacji biometrycznych pracowników. Ostatnie badania biometryczne obejmują banki i inne instytucje finansowe, które wskazały wykorzystanie biometrii głosowej zamiast identyfikacji odcisków palców jako jeden z najlepszych sposobów zabezpieczenia rachunków klientów i informacji finansowych. Biometria głosu porównuje różne cechy zaczerpnięte z głosu klienta, takie jak fleksja, tonacja, dialekt, akcent i inne, dopasowując je do wcześniej zarejestrowanych i bezpiecznie przechowywanych danych. Aby ta technologia działała, będzie jednak wymagać od banków i innych instytucji finansowych zarejestrowania wzorców głosu klientów, skorelowania ich z danymi osobowymi i umieszczenia ich w bazie danych. Inne badania doprowadziły do ​​zawarcia umów z dużymi korporacjami, aby pomóc w branży opieki zdrowotnej, np. BIO-Key zawarł umowę OEM z Caradigm na korzystanie z pakietu BIO-Key do zarządzania tożsamością i dostępem. Caradigm zaoferuje ten pakiet w ramach swojego rozwiązania Single Sign On, aby pomóc szpitalom i innym opiekunom w pisaniu elektronicznych recept na substancje kontrolowane w spełnieniu przepisów federalnych i stanowych48. celów identyfikacyjnych, rozpoznawania żył i platform mobilnych używanych do promowania ich akceptacji. W raporcie z 2011 roku opublikowanym przez Unisys Corporation, akceptacja tych i innych technologii biometrycznych rośnie, ale wolniej niż przewidywano

Zwiększone wdrażanie systemów rejestracji czasu pracy i obecności

Coraz więcej firm z wielu różnych branż wdraża biometryczne systemy rejestracji czasu pracy. Odchylenie od dotychczasowej praktyki polega na zwiększonym wykorzystaniu biometrycznych systemów obecności i śledzenia pracowników umysłowych. Wcześniej koncentrowano się na robotnikach fabrycznych. Chociaż niektórzy pracodawcy używają tradycyjnych systemów skanowania rąk, wydaje się, że nastąpiła zmiana w kierunku korzystania z systemów rejestracji czasu pracy i obecności przy skanowaniu odcisków palców. Ta zmiana wydaje się być związana z bardziej konkurencyjną strukturą cenową dla systemów czytników linii papilarnych.

Biometria w branży opieki zdrowotnej

Częściowo pobudzone nowymi przepisami, które nakładają na instytucje opieki zdrowotnej obowiązek zapewnienia prywatności i bezpieczeństwa dokumentacji pacjentów, firmy z branży opieki zdrowotnej również przodowały we wdrażaniu uwierzytelniania biometrycznego. Wśród głównych organizacji opieki zdrowotnej, które przeszły na uwierzytelnianie biometryczne, jest Klinika Mayo, która przyjęła system identyfikacji odcisków palców w 2002 r. Większość placówek opieki zdrowotnej, które wdrożyły systemy uwierzytelniania biometrycznego, wybrała systemy identyfikacji oparte na skanach palców. Jednak wdrażanie tych systemów w organizacjach opieki zdrowotnej nie przyniosło takiego samego sukcesu, jak w branży usług finansowych. Kwestie związane z potencjalnym przeniesieniem choroby poprzez fizyczny kontakt ze skanerem linii papilarnych nie są trywialne. Ponadto wskaźniki błędów były wyższe, a wskaźniki dokładności znacznie niższe niż oczekiwano. Wydaje się, że głównym powodem wysokiej częstości błędów są szczegóły dotyczące środowiska opieki zdrowotnej, zwłaszcza cechy rąk lekarzy, pielęgniarek i innych pracowników służby zdrowia korzystających z tych systemów. W szczególności wydaje się, że działanie systemu jest osłabiane przez chronicznie suche ręce tych pracowników, stan wynikający z częstego mycia rąk i stosowania środków odkażających na bazie alkoholu. Innym problemem był opór przed użyciem technologii odcisków palców zarówno przez pielęgniarki, jak i lekarzy, którzy uważają, że wiąże się to z naruszeniem prywatności. Dodajmy do tego koszty, które są związane z powiązaniem typu uwierzytelniania pojedynczego logowania z podstawowym systemem szpitalnym, a problemy nasilą się jeszcze bardziej. Wydaje się, że Cerner i EPIC mają najlepsze programy w branży opieki zdrowotnej i oba uzyskały certyfikaty dla wszystkich trzech poziomów znaczącego użytkowania wymaganych przez HIPAA i HITECH. Jednak programy te wiążą się z dużymi kosztami. Nawet zwykłe obudowy, ostatnia zmiana na szpital w Wyoming kosztowała ich 4,5 miliona dolarów. Chociaż była to zmiana, , którą należało dokonać, rozciągnęła ich budżety do maksimum i dokonano kilku cięć, aby to dostosować.

Zwiększone rozmieszczenie w branży finansowej.

Branża finansowa, która zwykle powoli wdraża nowe technologie, jest jednym z liderów we wdrażaniu kontroli uwierzytelniania biometrycznego. Obecne wdrożenia obejmują skanery linii papilarnych zabezpieczające sieci komputerowe dla brokerów, systemy rozpoznawania twarzy w bankomatach, a także skanowanie tęczówki oka w punktach dostępu o wysokim poziomie bezpieczeństwa. International Biometric Group przewidywała, że ​​amerykańskie firmy świadczące usługi finansowe wydadzą w 2007 roku 672 miliony dolarów na różne wdrożenia biometryczne. Jednym z największych dotychczasowych wdrożeń było przyjęcie przez United Bankers ’Bancorporation (UBB) U.are.U, systemu rozpoznawania odcisków palców, który umożliwia klientom UBB automatyczne logowanie na stronie internetowej UBB za pomocą skanów palców zamiast haseł. UBB przyjął również system uwierzytelniania odcisków palców dla swoich pracowników. Wells Fargo, Bloomberg Financial i Janus Capital Management to inne znane firmy finansowe, które przyjęły systemy uwierzytelniania biometrycznego dla pracowników i / lub klientów. Chociaż niektóre instytucje finansowe wybrały systemy oparte na głosie, tęczówce lub skanie twarzy, wydaje się, że większość wybiera systemy oparte na skanowaniu odcisków palców.Branża finansowa, która zwykle powoli wdraża nowe technologie, jest jednym z liderów we wdrażaniu kontroli uwierzytelniania biometrycznego. Obecne wdrożenia obejmują skanery linii papilarnych zabezpieczające sieci komputerowe dla brokerów, systemy rozpoznawania twarzy w bankomatach, a także skanowanie tęczówki oka w punktach dostępu o wysokim poziomie bezpieczeństwa. International Biometric Group przewidywała, że ​​amerykańskie firmy świadczące usługi finansowe wydadzą w 2007 roku 672 miliony dolarów na różne wdrożenia biometryczne. Jednym z największych dotychczasowych wdrożeń było przyjęcie przez United Bankers ’Bancorporation (UBB) U.are.U, systemu rozpoznawania odcisków palców, który umożliwia klientom UBB automatyczne logowanie na stronie internetowej UBB za pomocą skanów palców zamiast haseł. UBB przyjął również system uwierzytelniania odcisków palców dla swoich pracowników. Wells Fargo, Bloomberg Financial i Janus Capital Management to inne znane firmy finansowe, które przyjęły systemy uwierzytelniania biometrycznego dla pracowników i / lub klientów. Chociaż niektóre instytucje finansowe wybrały systemy oparte na głosie, tęczówce lub skanie twarzy, wydaje się, że większość wybiera systemy oparte na skanowaniu odcisków palców.

Skanowanie twarzy na lotniskach i w kasynach

Po atakach terrorystycznych na World Trade Center i Pentagon w 2001 roku większość krajowych lotnisk przeniosła się na włączenie technologii skanowania twarzy do swoich systemów bezpieczeństwa. Większość badań skuteczności tych systemów ujawniła jednak wysoki poziom błędów i niski poziom dokładności. Kasyna wykorzystują systemy skanowania twarzy do identyfikacji profesjonalnych „graczy korzystających z przewagi” i oszustów. Chociaż jest to w większości nieuregulowane w Stanach Zjednoczonych, kanadyjskie kasyna muszą powiadamiać graczy o korzystaniu z takich systemów. Kasyna udostępniają dane o profesjonalistach i oszustach. Jedna firma połączyła w sieć 125 operatorów monitorujących kasyna w Stanach Zjednoczonych, Kanadzie, Portoryko, Arubie i na Bahamach i zapewnia alerty w czasie rzeczywistym oraz inne informacje przydatne w identyfikowaniu podejrzanych graczy. Nie jest jednak jasne, jak na takie systemy może wpływać prawo międzynarodowe. Artykuł 12 Powszechnej Deklaracji Praw Człowieka Narodów Zjednoczonych gwarantuje, że „[nikt] nie będzie podlegał arbitralnej ingerencji w swoją prywatność, rodzinę, dom lub korespondencję, ani też atakom na jego honor i dobre imię. Każdy ma prawo do ochrony prawa przed taką ingerencją lub atakami ”46. Sądy nie zajęły się kwestią tego, czy system ten stanowi arbitralną ingerencję lub zamach na czyjeś honor, ale wyraźnie można by postawić sprawę, która potajemnie wykorzystuje takie systemy to robią. Najlepszą praktyką dla każdego systemu nadzoru jest świadoma zgoda. Organizacje powinny wyraźnie publikować powiadomienia o korzystaniu z systemów nadzoru w celu ochrony przed wyzwaniami prawnymi.

OSTATNIE TENDENCJE W UWIERZYTELNIANIU BIOMETRYCZNYM

Postępy rządu w dziedzinie uwierzytelniania biometrycznego.

Chociaż organizacje z sektora prywatnego coraz częściej dostosowują technologie biometryczne do potrzeb uwierzytelniania, sektor rządowy (publiczny) jest liderem inwestycji w biometrię. Ataki terrorystyczne z 2001 r. Na World Trade Center i Pentagon oraz późniejsze USA PATRIOT Act zachęcały do ​​zwiększania zaangażowania rządu w technologie biometryczne. Departament Obrony (DoD), Departament Bezpieczeństwa Wewnętrznego (DHS), Służba Imigracji i Naturalizacji oraz Departament Transportu to agencje rządowe najbardziej zaangażowane we wdrażanie technologii biometrycznych. Program Common Access Card Departamentu Obrony obejmuje umieszczenie technologii biometrycznej na inteligentnej karcie identyfikacyjnej.45 Program US-VISIT w ramach DHS to kolejny program rządowy, który włącza dane biometryczne (w tym twarz i odcisk palca) do inteligentnej karty identyfikacyjnej. Inny program DHS, Poświadczenie Tożsamości Pracownika Transportu, zawiera dane biometryczne na karcie identyfikacyjnej

Kwestie prawne

W ramach systemu prawnego, jak wspomniano, pojawia się pytanie o zasadność stosowania biometrii. Ponieważ wielu uważa to za naruszenie prywatności na wielu poziomach, należy pokrótce omówić faktyczną definicję tego zjawiska. Zgodnie z obowiązującym prawem istnieją cztery oddzielne kategorie „naruszenia prywatności”:

  1. Wtargnięcie do twojego życia prywatnego – zwykle jest to robione przez kogoś, kto próbuje potajemnie dowiedzieć się czegoś o tobie.
  2. Publiczne ujawnienie prywatnych faktów o sobie przez kogoś innego niż ty sam.
  3. Wykorzystanie Twojego imienia i nazwiska, podobizny lub obu tych rzeczy w celu uzyskania korzyści pieniężnych bez Twojej zgody.
  4. Każda publikacja stawiająca Cię w fałszywym świetle.

W przypadku biometrii główne obawy wydają się wynikać z pierwszej, a czasem drugiej kategorii. Prawdopodobnie te obawy (i uzasadnione obawy w świetle ostatnich mandatów i działań rządu) można złagodzić poprzez przechowywanie jedynie szablonu cyfrowego lub markera podobnego do tych używanych w algorytmach, a nie faktycznego obrazu. TSA została zmuszona do korzystania ze skanów, które pokazują jedynie podobieństwo osoby w skanerze, a nie rzeczywiste nagie zdjęcie. Firma, z której korzystali do tej pory, nie mogła dostosować się do ich oprogramowania, a tym samym straciła kontrakt. Dzięki temu możliwość trzymania rządu na smyczy i nienaruszania naszych praw konstytucyjnych staje się nieco jaśniejsza.