Коротенько про оценки Gartner, что в Digital Identity на взлете, а что не очень.
Инновации на пути к пику
- CAEP (Continuous Access Evaluation Profile)
- Протоколы доказательств с нулевым раскрытием конфиденциальных сведений (Zero-Knowledge Proofs)
Инновации на пике
- Координация времени в пути (Journey-Time Orchestration)
- Идентификационные кошельки (Identity Wallets)
- Аутентификация Интернета вещей (IoT Authentication)
- Управление идентификационными данными машин (Machine Identity Management)
- Децентрализованная идентификация личности (Decentralized Identity)
Нисхождение во впадину
- Протокол конфиденциального вычисления (Secure Multiparty Computation)
- FIDO
- Верифицируемые запросы (Verifiable Claims)
- SCIM
- Независимая биометрическая аутентификация (Third-Party Biometrics)
Возвращение популярности
- OpenID Connect
- Пассивная поведенческая биометрия (Passive Behavioral Biometrics)
- OAuth 2.0
Входит на плато
- Биометрия на базе устройств (Device-Native Biometrics)
- Документо-ориентированное подтверждение личности (Document-Centric Identity Proofing)
- DCIA
- Социальные цифровые личности (Social Identities)
Это из отчета Gartner "Hype Cycle for Digital Identity, 2022".
Инновации на пути к пику
- CAEP (Continuous Access Evaluation Profile)
- Протоколы доказательств с нулевым раскрытием конфиденциальных сведений (Zero-Knowledge Proofs)
Инновации на пике
- Координация времени в пути (Journey-Time Orchestration)
- Идентификационные кошельки (Identity Wallets)
- Аутентификация Интернета вещей (IoT Authentication)
- Управление идентификационными данными машин (Machine Identity Management)
- Децентрализованная идентификация личности (Decentralized Identity)
Нисхождение во впадину
- Протокол конфиденциального вычисления (Secure Multiparty Computation)
- FIDO
- Верифицируемые запросы (Verifiable Claims)
- SCIM
- Независимая биометрическая аутентификация (Third-Party Biometrics)
Возвращение популярности
- OpenID Connect
- Пассивная поведенческая биометрия (Passive Behavioral Biometrics)
- OAuth 2.0
Входит на плато
- Биометрия на базе устройств (Device-Native Biometrics)
- Документо-ориентированное подтверждение личности (Document-Centric Identity Proofing)
- DCIA
- Социальные цифровые личности (Social Identities)
Это из отчета Gartner "Hype Cycle for Digital Identity, 2022".
Каверзный вопрос для собеседования: к какому типу факторов аутентификации относится OTP?
Обычно его записывают в факторы владения, ведь «мне на телефон приходит sms, не владей я этим телефоном, не залогинился бы». Так, да не совсем. Например, «социальных инженеров» вообще не останавливает то, что они вашим телефоном не владеют. Они четко относят OTP к факторам знания, на том и живут.
Обычно его записывают в факторы владения, ведь «мне на телефон приходит sms, не владей я этим телефоном, не залогинился бы». Так, да не совсем. Например, «социальных инженеров» вообще не останавливает то, что они вашим телефоном не владеют. Они четко относят OTP к факторам знания, на том и живут.
Forwarded from Пост Лукацкого
Вы же понимаете, что указывая свой e-mail в сервисе генерации ваших фоток в стиле барби, вы даете кому-то ваши биометрические ПДн, связанные с вашей почтой, которая является вашим идентификатором еще в куче сервисов? И этот кто-то собирает просто офигенную базу с персданными.
ЗЫ. Свой реальный e-mail там указывать необязательно - можно хоть biden@whitehouse.gov указать ;-)
ЗЫ. Свой реальный e-mail там указывать необязательно - можно хоть biden@whitehouse.gov указать ;-)
Девайсы и данные, 3 истории
#1
Рассказывали, что ЦРУ несколько раз внедряли жучки в копировальный аппарат посольства СССР в США. Сначала в 60-х годах они умудрились встроить камеру и передатчик в корпус копира Хerox (в аналоговый-то век), а потом попытались встроить аналогичное допобопудование уже в японский копир, когда его отправили в ремонт. Попались, потому что ремонт из-за этого встраивания подзадержался, и в посольстве решили купить новый копир, не дожидаясь отремонтированного. А когда тот всё-таки вернулся в посольство (с «жучком»), его отправили на исследование в КГБ.
Интересно, что технология довольно быстро вышла за пределы спецслужб в область промышленного шпионажа.
#2
В конце 90-х ксероксы уже появились и были большими и «промышленными», но были относительной редкостью. Студенты начали ими пользоваться перед экзаменами, чтобы отксерить себе конспект лекций товарища, который на лекции исправно ходил и обладал хорошим почерком. На ВМК МГУ тогда ходила байка, что если прийти на местный ксерокс копировать тетрадку, которая была очень популярна, то копировальщик мог посмотреть на тетрадку, сказать «да она у меня есть в кеше» и быстро распечатать ещё одну копию из памяти аппарата.
#3
В Москве замечены вендинговые автоматы для печати документов. Такой автомат можно встретить в метро, ТЦ или просто на улице. Пользоваться просто: скачиваешь приложение сети автоматов, выбираешь нужный автомат, закачиваешь на него через приложение заранее подготовленный скан паспорта или другого документа, платишь, забираешь распечатанное.
Где сохранился скан вашего паспорта, пока превращался из файла на вашем телефоне в бумажную копию в автомате — облако, кэш, где-то ещё — науке неизвестно. Насколько глубоко производители автоматов разбираются в инфобезе и волнует ли их эта тема вообще — тоже.
#1
Рассказывали, что ЦРУ несколько раз внедряли жучки в копировальный аппарат посольства СССР в США. Сначала в 60-х годах они умудрились встроить камеру и передатчик в корпус копира Хerox (в аналоговый-то век), а потом попытались встроить аналогичное допобопудование уже в японский копир, когда его отправили в ремонт. Попались, потому что ремонт из-за этого встраивания подзадержался, и в посольстве решили купить новый копир, не дожидаясь отремонтированного. А когда тот всё-таки вернулся в посольство (с «жучком»), его отправили на исследование в КГБ.
Интересно, что технология довольно быстро вышла за пределы спецслужб в область промышленного шпионажа.
#2
В конце 90-х ксероксы уже появились и были большими и «промышленными», но были относительной редкостью. Студенты начали ими пользоваться перед экзаменами, чтобы отксерить себе конспект лекций товарища, который на лекции исправно ходил и обладал хорошим почерком. На ВМК МГУ тогда ходила байка, что если прийти на местный ксерокс копировать тетрадку, которая была очень популярна, то копировальщик мог посмотреть на тетрадку, сказать «да она у меня есть в кеше» и быстро распечатать ещё одну копию из памяти аппарата.
#3
В Москве замечены вендинговые автоматы для печати документов. Такой автомат можно встретить в метро, ТЦ или просто на улице. Пользоваться просто: скачиваешь приложение сети автоматов, выбираешь нужный автомат, закачиваешь на него через приложение заранее подготовленный скан паспорта или другого документа, платишь, забираешь распечатанное.
Где сохранился скан вашего паспорта, пока превращался из файла на вашем телефоне в бумажную копию в автомате — облако, кэш, где-то ещё — науке неизвестно. Насколько глубоко производители автоматов разбираются в инфобезе и волнует ли их эта тема вообще — тоже.
Гайд по проработке сценариев.pdf
6.3 MB
Любимый момент в диалогах с клиентами о сценариях входа по версии Егора Леднева.
— Нам нужен очень простой вход.
— Ок, давайте проектировать сценарий.
— Он банальный. В нем, кажется, нечего проектировать.
— Второй фактор будем делать?
— Да, конечно, сейчас без него никак.
— Что сделаем в качестве второго фактора?
— Давайте возьмем самое простое — OTP по SMS.
— Отлично! Где вы храните номера телефонов клиентов?
— ......... А мы их и не знаем.........
Вариантов этого диалога — масса. Их все объединяет момент «приоткрывания двери в Нарнию аутентификации». До этого момента —обычный шкаф простой банальный вход. После — начинается захватывающая история.
А как все-таки будем входить? А какой же второй фактор? И ведь у нас несколько разных систем... Будем ли пускать куда-то бесшовно? А откуда вообще берутся пользователи?
И так далее.
Для этой истории мы написали гайд по сценариям (прилагаем). Если готовы вместе с нами его обсудить, пишите в коментах или в личку @elednev, договоримся о созвоне.
— Нам нужен очень простой вход.
— Ок, давайте проектировать сценарий.
— Он банальный. В нем, кажется, нечего проектировать.
— Второй фактор будем делать?
— Да, конечно, сейчас без него никак.
— Что сделаем в качестве второго фактора?
— Давайте возьмем самое простое — OTP по SMS.
— Отлично! Где вы храните номера телефонов клиентов?
— ......... А мы их и не знаем.........
Вариантов этого диалога — масса. Их все объединяет момент «приоткрывания двери в Нарнию аутентификации». До этого момента —
А как все-таки будем входить? А какой же второй фактор? И ведь у нас несколько разных систем... Будем ли пускать куда-то бесшовно? А откуда вообще берутся пользователи?
И так далее.
Для этой истории мы написали гайд по сценариям (прилагаем). Если готовы вместе с нами его обсудить, пишите в коментах или в личку @elednev, договоримся о созвоне.
Свершилось
23 августа (в прошлую среду) частный инвестфонд Thoma Bravo завершил сделку по приобретению ForgeRock.
Почему это интересно? Потому что до этого он купил еще SailPoint (апрель 2022, за $6,9 млрд, сделка завершена в августе) и Ping Identity (август 2022, за $2,8 млрд, сделка завершена в октябре).
Итого в активе фонда:
SailPoint — Smart, scalable, seamless identity security (интеллектуальная, масштабируемая и надежная защита личных данных). Облачная платформа для корпоративных клиентов.
Ping Identity — One Identity Platform. Any User Journey (единая identity-платформа на все случаи жизни). Правый верхний квадрант Gartner’s Magic Quadrant по IAM за 2021, то есть лидер сектора.
ForgeRock — Easily manage, secure, and govern all identities with the enterprise-grade ForgeRock Platform (с легкостью управляйте всеми учетными данными и обеспечивайте их безопасность). И тоже верхний правый квадрант.
Сделку о покупке ForgeRock объявили в октябре 2022, но потом их проверяла антимонопольная комиссия, которая заинтересовалась такой концентрацией identity-бизнесов в одних руках. Thoma Bravo отбивался тем, что на рынке так же активно действуют Microsoft и Okta, и, видимо, отбился.
Примечательно, что в пресс-релизе Thome Bravo прямым текстом говорит, что объединяет ForgeRock и Ping Identity.
Оригинальный пресс-релиз:
https://www.thomabravo.com/press-releases/thoma-bravo-completes-acquisition-of-forgerock-combines-forgerock-into-ping-identity
Наша мартовская статья с наблюдениями за консолидацией identity-сектора:
https://www.it-world.ru/it-news/reviews/191774.html
23 августа (в прошлую среду) частный инвестфонд Thoma Bravo завершил сделку по приобретению ForgeRock.
Почему это интересно? Потому что до этого он купил еще SailPoint (апрель 2022, за $6,9 млрд, сделка завершена в августе) и Ping Identity (август 2022, за $2,8 млрд, сделка завершена в октябре).
Итого в активе фонда:
SailPoint — Smart, scalable, seamless identity security (интеллектуальная, масштабируемая и надежная защита личных данных). Облачная платформа для корпоративных клиентов.
Ping Identity — One Identity Platform. Any User Journey (единая identity-платформа на все случаи жизни). Правый верхний квадрант Gartner’s Magic Quadrant по IAM за 2021, то есть лидер сектора.
ForgeRock — Easily manage, secure, and govern all identities with the enterprise-grade ForgeRock Platform (с легкостью управляйте всеми учетными данными и обеспечивайте их безопасность). И тоже верхний правый квадрант.
Сделку о покупке ForgeRock объявили в октябре 2022, но потом их проверяла антимонопольная комиссия, которая заинтересовалась такой концентрацией identity-бизнесов в одних руках. Thoma Bravo отбивался тем, что на рынке так же активно действуют Microsoft и Okta, и, видимо, отбился.
Примечательно, что в пресс-релизе Thome Bravo прямым текстом говорит, что объединяет ForgeRock и Ping Identity.
Оригинальный пресс-релиз:
https://www.thomabravo.com/press-releases/thoma-bravo-completes-acquisition-of-forgerock-combines-forgerock-into-ping-identity
Наша мартовская статья с наблюдениями за консолидацией identity-сектора:
https://www.it-world.ru/it-news/reviews/191774.html
Рассказывает Ольга Карпова, руководитель отдела информационной безопасности RooX.
С неделю назад Минцифры сообщило, что госуслугового Робота Макса теперь можно вызывать через яндексовскую Алису кодовой фразой «Алиса, спроси у Робота Макса…».
Например, можно попросить:
➖ выписку из материнского капитала
➖ выписку о лицевом счёте в Социальном фонде
➖ выписку из трудовой книжки
➖ справку о размере пенсии
➖ информацию о штрафах
➖ инструкцию, как получить услуги
Мне стало страшно интересно (и тут важны оба слова), как именно происходит выдача информации. Вызов Робота Макса организован в Алисе просто как новый навык, никакого распознавания голоса владельца учетной записи в Госуслугах к этому вызову не предполагается.
Неужели любой гость/сантехник/уборщица может послушать о моих штрафах и пенсии?
Первым делом я проверила, как Робота Макса можно отвязать :) Вдруг, действительно, любой сантехник сможет.
К счастью оказалось, что с Робот Макс, выслушав призывы через Алису, просто формирует справки внутри личного кабинета Госуслуг и никак их не озвучивает.
Из всего списка услуг я не смогла проверить одну вещь — штрафы :) У меня нет машины, я не гожусь в тестировщики этой функции :) А штука, на самом деле, серьезная. Точная информация о штрафах открывает дорогу мошенничествам: тот, кто знает правильные значения параметров твоего штрафа, может сделать поддельное, но очень правдоподобное письмо с кнопочкой «Оплатить».
P.S. После того, как Ольга рассказала нам эту историю, нашлись пара добровольцев, согласных специально попасть на штраф, чтобы закончить тестирование :) Не переключайтесь :)
С неделю назад Минцифры сообщило, что госуслугового Робота Макса теперь можно вызывать через яндексовскую Алису кодовой фразой «Алиса, спроси у Робота Макса…».
Например, можно попросить:
➖ выписку из материнского капитала
➖ выписку о лицевом счёте в Социальном фонде
➖ выписку из трудовой книжки
➖ справку о размере пенсии
➖ информацию о штрафах
➖ инструкцию, как получить услуги
Мне стало страшно интересно (и тут важны оба слова), как именно происходит выдача информации. Вызов Робота Макса организован в Алисе просто как новый навык, никакого распознавания голоса владельца учетной записи в Госуслугах к этому вызову не предполагается.
Неужели любой гость/сантехник/уборщица может послушать о моих штрафах и пенсии?
Первым делом я проверила, как Робота Макса можно отвязать :) Вдруг, действительно, любой сантехник сможет.
К счастью оказалось, что с Робот Макс, выслушав призывы через Алису, просто формирует справки внутри личного кабинета Госуслуг и никак их не озвучивает.
Из всего списка услуг я не смогла проверить одну вещь — штрафы :) У меня нет машины, я не гожусь в тестировщики этой функции :) А штука, на самом деле, серьезная. Точная информация о штрафах открывает дорогу мошенничествам: тот, кто знает правильные значения параметров твоего штрафа, может сделать поддельное, но очень правдоподобное письмо с кнопочкой «Оплатить».
P.S. После того, как Ольга рассказала нам эту историю, нашлись пара добровольцев, согласных специально попасть на штраф, чтобы закончить тестирование :) Не переключайтесь :)
Ландшафт американского IAM на ближайшие несколько лет теперь понятен.
➖Облачный IDM+IAM — Okta вместе с купленным ими Auth0
➖ Тяжелая корпоративная и государственная аутентификация — Forgerock+Ping, объединяемые Thoma Bravo
➖ Внутрикорпоративный IDP прочно держит Microsoft со своим AD и Azure AD.
➖ Авторизация (ABAC, ReBAC) — поляна для большого числа стартапов, за которыми приглядывают Google, Microsoft и другие «большие дяди».
➖Облачный IDM+IAM — Okta вместе с купленным ими Auth0
➖ Тяжелая корпоративная и государственная аутентификация — Forgerock+Ping, объединяемые Thoma Bravo
➖ Внутрикорпоративный IDP прочно держит Microsoft со своим AD и Azure AD.
➖ Авторизация (ABAC, ReBAC) — поляна для большого числа стартапов, за которыми приглядывают Google, Microsoft и другие «большие дяди».
Ниже про открытые API в банках.
Это перевод поста Panagiotis Kriaris, у которого за плечами почти два года в австрийском отделении Сбера, потом 4 года в Western Union и сейчас уже 4 в Unzer, которая не машинное масло, а платежная платформа. Все это на приличных должностях типа head of product/banking/business development. Пишет про финтех, 100К подписчиков.
==
Несмотря на свое название, #openbanking – это не (только) банковское дело. Оно выходит далеко за рамки банков, и его влияние все больше сказывается на различных отраслях.
В широком смысле Open Banking — это не что иное, как эволюция банкинга в открытые API с целью создать ценность в результате совместного использования данных. В зависимости от географии способ предоставления такого доступа может быть разным, но в подавляющем большинстве случаев он связан с принуждением банков к открытию информации и данных.
Конечная цель — стимулировать инновации и усилить конкуренцию, предоставляя отобранным и одобренным внешним поставщикам услуг доступ к данным, на основе которых можно создавать новые предложения с добавленной стоимостью.
Пожалуй, наиболее известными инициативами (а также одними из первых, запущенных в мире), реализующими это, являются OBIE в Великобритании и PSD2 в ЕС.
В Великобритании, по данным Объединенного комитета по надзору за регулированием, более 7 миллионов потребителей и предприятий используют инновационные продукты и услуги открытого банкинга для управления своими деньгами и осуществления платежей. Платежи по принципам открытого банкинга увеличились более чем вдвое: в 2022 году было совершено более 68 миллионов платежей средствами открытого банкинга (по сравнению с 25 миллионами в 2021 году) и более миллиарда успешных вызовов API в месяц (с мая 2022 года).
Всего в Европе и Великобритании разрешение на работу имели 556 внешних поставщиков услуг, согласно последним данным Konsentus за второй квартал 2023 года.
Как отмечают BCG и Klarna в своем последнем исследовательском документе, большинство сценариев использования открытого банкинга попадают в одну из двух групп: 1) базовые или обязательные API, обеспечивающие доступ к платежным счетам для отдельных услуг, или 2) премиальные API для более продвинутых финансовых продуктов, например, в инвестициях или сбережениях.
В том же исследовании представлены некоторые показательные выводы и примеры использования, которые могут выступать в качестве ориентиров для трех отраслей: розничной торговли, путешествий и гостиничного бизнеса, а также автомобилестроения:
— Наиболее распространенным и универсальным вариантом использования является инициирование прямых платежей со счета на счет, где существует потенциал для снижения затрат на обработку, улучшение жизненного цикла денежных потоков и обеспечение лучшего пользовательского опыта (встроенные платежи в рамках пути клиента).
— Помимо платежей, многообещающим выглядит использование в сфере управления финансовыми рисками (т. е. оценки кредитного риска), проверки владения счетом, а также лояльности и персонализации (индивидуализированные маркетинговые кампании и персонализированные предложения).
Нет сомнений в том, что по мере развития и роста открытого банкинга Открытые API укрепят свои позиции в многополярном мире финансов. Но их окончательный успех и принятие будут зависеть от того, насколько хорошо ему удастся доказать свою ценность для потребителей и продавцов. Обоим придется не только четко понимать преимущества, но и видеть их интегрированными в свою повседневную жизнь. Чем более незаметной и плавной будет эта интеграция, тем выше и быстрее будет внедрение.
Мнения: мои собственные. Источник графики и варианты использования: BCG и Кларна Косма.
===
Это перевод поста Panagiotis Kriaris, у которого за плечами почти два года в австрийском отделении Сбера, потом 4 года в Western Union и сейчас уже 4 в Unzer, которая не машинное масло, а платежная платформа. Все это на приличных должностях типа head of product/banking/business development. Пишет про финтех, 100К подписчиков.
==
Несмотря на свое название, #openbanking – это не (только) банковское дело. Оно выходит далеко за рамки банков, и его влияние все больше сказывается на различных отраслях.
В широком смысле Open Banking — это не что иное, как эволюция банкинга в открытые API с целью создать ценность в результате совместного использования данных. В зависимости от географии способ предоставления такого доступа может быть разным, но в подавляющем большинстве случаев он связан с принуждением банков к открытию информации и данных.
Конечная цель — стимулировать инновации и усилить конкуренцию, предоставляя отобранным и одобренным внешним поставщикам услуг доступ к данным, на основе которых можно создавать новые предложения с добавленной стоимостью.
Пожалуй, наиболее известными инициативами (а также одними из первых, запущенных в мире), реализующими это, являются OBIE в Великобритании и PSD2 в ЕС.
В Великобритании, по данным Объединенного комитета по надзору за регулированием, более 7 миллионов потребителей и предприятий используют инновационные продукты и услуги открытого банкинга для управления своими деньгами и осуществления платежей. Платежи по принципам открытого банкинга увеличились более чем вдвое: в 2022 году было совершено более 68 миллионов платежей средствами открытого банкинга (по сравнению с 25 миллионами в 2021 году) и более миллиарда успешных вызовов API в месяц (с мая 2022 года).
Всего в Европе и Великобритании разрешение на работу имели 556 внешних поставщиков услуг, согласно последним данным Konsentus за второй квартал 2023 года.
Как отмечают BCG и Klarna в своем последнем исследовательском документе, большинство сценариев использования открытого банкинга попадают в одну из двух групп: 1) базовые или обязательные API, обеспечивающие доступ к платежным счетам для отдельных услуг, или 2) премиальные API для более продвинутых финансовых продуктов, например, в инвестициях или сбережениях.
В том же исследовании представлены некоторые показательные выводы и примеры использования, которые могут выступать в качестве ориентиров для трех отраслей: розничной торговли, путешествий и гостиничного бизнеса, а также автомобилестроения:
— Наиболее распространенным и универсальным вариантом использования является инициирование прямых платежей со счета на счет, где существует потенциал для снижения затрат на обработку, улучшение жизненного цикла денежных потоков и обеспечение лучшего пользовательского опыта (встроенные платежи в рамках пути клиента).
— Помимо платежей, многообещающим выглядит использование в сфере управления финансовыми рисками (т. е. оценки кредитного риска), проверки владения счетом, а также лояльности и персонализации (индивидуализированные маркетинговые кампании и персонализированные предложения).
Нет сомнений в том, что по мере развития и роста открытого банкинга Открытые API укрепят свои позиции в многополярном мире финансов. Но их окончательный успех и принятие будут зависеть от того, насколько хорошо ему удастся доказать свою ценность для потребителей и продавцов. Обоим придется не только четко понимать преимущества, но и видеть их интегрированными в свою повседневную жизнь. Чем более незаметной и плавной будет эта интеграция, тем выше и быстрее будет внедрение.
Мнения: мои собственные. Источник графики и варианты использования: BCG и Кларна Косма.
===
И вот, что мы ответили.
===
Добавим, что одним из краеугольных камней бесшовной и прозрачной интеграции должна стать система CIAM, используемая банками. Банки (и их клиенты) хотят быть уверены, что доступ к openapi безопасен. В то же время финтех-компании (и их клиенты) хотят, чтобы обслуживание было проще простого. Это означает, что они хотели бы иметь
- Сценарии многофакторной, но адаптивной аутентификации.
- Пользовательский интерфейс аутентификации работает идеально на любом устройстве.
- Поддержка различных популярных методов аутентификации.
- Современные функции для борьбы с новыми угрозами.
И хотя, говоря о финансовых технологиях, мы часто предполагаем услуги b2c, в то же время существует широкий рынок и для автоматизации бизнеса. Некоторые крупные предприятия хотели бы интегрировать свои внутренние ИТ-системы (CRM, логистика) с открытым банкингом. Небольшие компании оценят доступ к облачным бухгалтерским службам. С точки зрения аутентификации и авторизации это означает поддержку токенов приложений и некоторую нетривиальную модель «роли пользователя в организации».
===
===
Добавим, что одним из краеугольных камней бесшовной и прозрачной интеграции должна стать система CIAM, используемая банками. Банки (и их клиенты) хотят быть уверены, что доступ к openapi безопасен. В то же время финтех-компании (и их клиенты) хотят, чтобы обслуживание было проще простого. Это означает, что они хотели бы иметь
- Сценарии многофакторной, но адаптивной аутентификации.
- Пользовательский интерфейс аутентификации работает идеально на любом устройстве.
- Поддержка различных популярных методов аутентификации.
- Современные функции для борьбы с новыми угрозами.
И хотя, говоря о финансовых технологиях, мы часто предполагаем услуги b2c, в то же время существует широкий рынок и для автоматизации бизнеса. Некоторые крупные предприятия хотели бы интегрировать свои внутренние ИТ-системы (CRM, логистика) с открытым банкингом. Небольшие компании оценят доступ к облачным бухгалтерским службам. С точки зрения аутентификации и авторизации это означает поддержку токенов приложений и некоторую нетривиальную модель «роли пользователя в организации».
===
Пришел запрос от одного СМИ насчет причин частых в последнее время сбоев в городских сервисах. Рассуждать об этом — гарантированно гадать на кофейной гуще, но так вышло, что буквально в августе один из коллег столкнулся в своей обычной жизни с падением подобного городского сервиса, который до сих пор не восстановили.
На базу данных этого сервиса была совершена атака, которая остановила работу с клиентами всего учреждения. 2 недели ушло на поднятие новых баз, чтобы принимать новых клиентов, так как зарабатывать все-таки надо. Старые базы не восстановлены до сих пор, все клиенты с действующими на тот момент договорами получили письмо о приостановлении договора по форс-мажорным обстоятельствам. И так как проверить статус оплат или других параметров этих договоров возможности нет, всем особо нуждающимся в услугах предлагают заказать и оплатить их еще раз.
Эта история не узко про аутентификацию, а про резервные копии данных.
Как любая кэпская идея, предложение нормально сделать систему резервного копирования не несет в себе экстраординарного вдохновения для реализации. Но как же больно бывает, когда бэкапов нет.
Эволюция развития такой системы (очень схематично):
▪️Резервные копии, сделанные в ручном режиме с какой-то периодичностью. Эту стадию нужно пройти как можно быстрее, особо не любуясь динамикой «у нас не было резервных копий, а теперь мы молодцы, их делает Слава». Слава может забыть, отложить на завтра, отвлечься, сделать бэкапы не для всех сервисов, не сильно радоваться ночной работе (так как резервировать надо не под нагрузкой), заболеть, уволиться и так далее.
▪️Автоматические резервное копирование данных с шифрованием резервных копий и тестированием восстановления данных из копий. Не забудьте настроить мониторинг, минимально — на показатель «автоматическая копия создана успешно».
▪️Распределенное хранение резервных копий. В идеале — в разных датацентрах.
P.S. Упоминаемый сервис до сих пор не признал проблему пропажи данных и то, что он сейчас выдает за результат оказания услуги, «до грамма» совпадает с данными из другого сервиса, которые были там зафиксированы до заказа этой услуги.
На базу данных этого сервиса была совершена атака, которая остановила работу с клиентами всего учреждения. 2 недели ушло на поднятие новых баз, чтобы принимать новых клиентов, так как зарабатывать все-таки надо. Старые базы не восстановлены до сих пор, все клиенты с действующими на тот момент договорами получили письмо о приостановлении договора по форс-мажорным обстоятельствам. И так как проверить статус оплат или других параметров этих договоров возможности нет, всем особо нуждающимся в услугах предлагают заказать и оплатить их еще раз.
Эта история не узко про аутентификацию, а про резервные копии данных.
Как любая кэпская идея, предложение нормально сделать систему резервного копирования не несет в себе экстраординарного вдохновения для реализации. Но как же больно бывает, когда бэкапов нет.
Эволюция развития такой системы (очень схематично):
▪️Резервные копии, сделанные в ручном режиме с какой-то периодичностью. Эту стадию нужно пройти как можно быстрее, особо не любуясь динамикой «у нас не было резервных копий, а теперь мы молодцы, их делает Слава». Слава может забыть, отложить на завтра, отвлечься, сделать бэкапы не для всех сервисов, не сильно радоваться ночной работе (так как резервировать надо не под нагрузкой), заболеть, уволиться и так далее.
▪️Автоматические резервное копирование данных с шифрованием резервных копий и тестированием восстановления данных из копий. Не забудьте настроить мониторинг, минимально — на показатель «автоматическая копия создана успешно».
▪️Распределенное хранение резервных копий. В идеале — в разных датацентрах.
P.S. Упоминаемый сервис до сих пор не признал проблему пропажи данных и то, что он сейчас выдает за результат оказания услуги, «до грамма» совпадает с данными из другого сервиса, которые были там зафиксированы до заказа этой услуги.
Целая эпоха конкуренции Ping и Forgerock закончена. Как мы и предполагали, из них будут строить общее решение.
Пресс-релиз.
Пресс-релиз.
PR Newswire
Thoma Bravo Completes Acquisition of ForgeRock; Combines ForgeRock into Ping Identity
/PRNewswire/ -- Thoma Bravo and ForgeRock today announced the completion of Thoma Bravo's acquisition of ForgeRock in an all-cash transaction valued at...
Приключения Алисы и Макса, часть 2
Мы не забыли про штрафы в истории про привязку яндексовской Алисы и Макса из Госуслуг. Нашелся среди нас решительный человек, который для продолжения эксперимента попал на штраф и после этого спросил у Алисы насчет него.
Увы, Алиса беспечно произнесла «У вас 1 штраф на сумму N». За подробной информацией, конечно, отправила логиниться на Госуслуги, но и озвученных данных будет вполне достаточно для правдоподобного, но поддельного письма с требованием оплаты.
И перечисление суммы штрафа не тому адресату — меньшее зло, которое может случиться с хозяином Алисы.
Мы не забыли про штрафы в истории про привязку яндексовской Алисы и Макса из Госуслуг. Нашелся среди нас решительный человек, который для продолжения эксперимента попал на штраф и после этого спросил у Алисы насчет него.
Увы, Алиса беспечно произнесла «У вас 1 штраф на сумму N». За подробной информацией, конечно, отправила логиниться на Госуслуги, но и озвученных данных будет вполне достаточно для правдоподобного, но поддельного письма с требованием оплаты.
И перечисление суммы штрафа не тому адресату — меньшее зло, которое может случиться с хозяином Алисы.
Что такое чувствительные данные?
Вопрос задал Cybermedia, отвечает Никита Евгенов.
Чувствительные данные (ЧД) — это любые данные о человеке, обладая которыми злоумышленник может ему навредить.
Примеры:
— персональные данные (конечно же), для которых есть официальное определение и регламенты,
— сведения о родственных связях и знакомствах,
— данные о мировоззрении, предпочтениях,
— география проживания и перемещений,
— медицинская информация,
— финансовые данные (включая как будто не очень значимые, например, есть ли у человека штрафы за парковку (см. предыдущий пост про Алису и Макса),
— политические высказывания,
— графические материалы личного характера,
— сведения о фактах коммуникации и содержание самой коммуникации,
— и так далее.
Гигиенические меры защиты чувствительных данных: система аутентификации и авторизации, шифрование, обучение кибербезопасности etc.
❗️ Два момента, на которые я бы обратил отдельное внимание.
1️⃣ Запрос на изучение журнала использования чувствительных данных может исходить не только от сотрудника службы безопасности или надзорного органа. Сам клиент имеет право получить отчёт о том, как конкретно используется его данные. Сейчас таких запросов со стороны пользователей мало и они не регулируются, но в теории они возможны. Тут вспомним, что в правительстве одобрили поправку в КоАП о выплате компенсации пользователю, если компания допустит утечку его персональных данных. Бизнес понимает, что количество подобных запросов от пользователей будет только расти и надо быть к этому готовым. Например, в Яндексе уже доступна возможность выгрузки отчёта по каждому сервису, который использовал твои данные.
2️⃣ С пользователей не снимается личная ответственность за распространение своих данных. Человек многое раскрывает о себе сам в соцсетях или на других ресурсах. Однако бизнес ответственен за сбор информации из разных источников и упорядочивание публичных данных пользователя в едином профиле. Таким образом, если такой профиль не должным образом защищён, компания уже выполнила большую часть работы за злоумышленника
P.S. Cybermedia спрашивал о ЧД не только нас, весь материал тут.
Вопрос задал Cybermedia, отвечает Никита Евгенов.
Чувствительные данные (ЧД) — это любые данные о человеке, обладая которыми злоумышленник может ему навредить.
Примеры:
— персональные данные (конечно же), для которых есть официальное определение и регламенты,
— сведения о родственных связях и знакомствах,
— данные о мировоззрении, предпочтениях,
— география проживания и перемещений,
— медицинская информация,
— финансовые данные (включая как будто не очень значимые, например, есть ли у человека штрафы за парковку (см. предыдущий пост про Алису и Макса),
— политические высказывания,
— графические материалы личного характера,
— сведения о фактах коммуникации и содержание самой коммуникации,
— и так далее.
Гигиенические меры защиты чувствительных данных: система аутентификации и авторизации, шифрование, обучение кибербезопасности etc.
❗️ Два момента, на которые я бы обратил отдельное внимание.
1️⃣ Запрос на изучение журнала использования чувствительных данных может исходить не только от сотрудника службы безопасности или надзорного органа. Сам клиент имеет право получить отчёт о том, как конкретно используется его данные. Сейчас таких запросов со стороны пользователей мало и они не регулируются, но в теории они возможны. Тут вспомним, что в правительстве одобрили поправку в КоАП о выплате компенсации пользователю, если компания допустит утечку его персональных данных. Бизнес понимает, что количество подобных запросов от пользователей будет только расти и надо быть к этому готовым. Например, в Яндексе уже доступна возможность выгрузки отчёта по каждому сервису, который использовал твои данные.
2️⃣ С пользователей не снимается личная ответственность за распространение своих данных. Человек многое раскрывает о себе сам в соцсетях или на других ресурсах. Однако бизнес ответственен за сбор информации из разных источников и упорядочивание публичных данных пользователя в едином профиле. Таким образом, если такой профиль не должным образом защищён, компания уже выполнила большую часть работы за злоумышленника
P.S. Cybermedia спрашивал о ЧД не только нас, весь материал тут.