Нужен ли пароль в интранете?
Мар 26, 2008 опубликовано Natalia Shvetsova
Устанавливать ли пароли для входа в интранет – типичный вопрос, который решают при внедрении портала. Как правило, в компании существует еще несколько информационных систем, для каждой их которых назначают свои пароли. Часто они длинные, генерируются автоматически (то есть выглядят примерно так – Rs2*u_9), регулярно меняются, поэтому сотрудникам сложно их запомнить. Считается, что пароли повышают уровень защиты данных, а возникающие при этом проблемы пользователей – неизбежное зло. Однако если рабочими приложениями сотрудники вынуждены пользоваться каждый день, то в интранете любое препятствие, осложняющее доступ, приводит к тому, что он теряет одно из своих основных преимуществ – быстро и удобно предоставлять информацию. В этом случае люди, к примеру, скорее воспользуются бумажным телефонным справочником, чем потратят 10 минут на поиск и ввод нужного пароля.
Работают ли пароли?
Есть две основные задачи информационной безопасности:
- Злоумышленник не должен иметь возможность авторизоваться в системе
- Злоумышленник не должен иметь возможность воспользоваться авторизацией сотрудника компании.
Решают ли их пароли?
Типичная ситуация во многих офисах – сотрудники выписывают пароли и прикрепляют список над рабочим столом, постоянно звонят и уточняют пароли, запрашивают новые. В результате снижаются как эффективность работы, так и защищенность информации. Исследования в этой области показывают, что утечка информации, как правило – результат не технического взлома, а социальных причин:
Журнал Computerworld (22.01.2008) приводит статистику, полученную агентством RSA (The Rehabilitation Services Administration, США): 35% сотрудников опрошенных компаний заявили, что вынуждены нарушать политику безопасности для выполнения своей работы. Почти все регулярно берут работу на дом, при этом 63% отсылают необходимые документы на личный почтовый ящик. Более половины сотрудников регулярно входят в корпоративную сеть из Интернет кафе и через общедоступные точки беспроводного доступа. Почти две трети сотрудников, имеющих рабочие ноутбуки, забирают их домой, а 8% признались, что уже теряли устройства, содержащие рабочую информацию.
IT-специалистов можно понять, часто их приоритетная задача – безопасность, а не эффективность. По данным NNG – исследование и руководство «Designing usable intranets» – в некоторых интранетах рабочая сессия в «конфиденциальных» разделах длится 10-15 минут, после чего система ее завершает автоматически и без предупреждения. Причем иногда это происходит во время активных действий пользователя в таком разделе. В других компаниях при закрытии браузера автоматически заканчивается сессия работы с интранетом, и при следующем входе снова требуется пароль (часто задачи на портале реализованы так некорректно, что пользователи закрывают браузер по ошибке).
Цена пароля
Давайте прикинем, сколько стоит такое решение проблемы. В день сотрудники тратят в среднем 15 минут на поиск своих паролей, ошибочные вводы, повторную авторизацию. Теперь умножим это время на среднюю ставку рядового сотрудника в компании и на количество пользователей интранета. В месяц для компании из 1000 человек при средней зарплате $1000 получается $30 000. Прибавим 40% на накладные расходы (налоги, аренда, амортизация). Итого, в год компания теряет $504 000.
Цифры впечатляют, но это еще не все. Сотрудники регулярно обращаются к секретарям или в IT за восстановлением своих паролей. Это естественно, ведь листочки с записями легко теряются. По статистике (NNG, «Designing usable intranets») в крупных компаниях такие обращения составляют 30% внутренних звонков в секретариат. Каждое восстановление пароля обходится в $32 (рабочее время сотрудника и секретаря, потраченное на поиски, проверку, ожидание восстановления и так далее).
Вывод:
- Основные задачи безопасности информационных систем только техническими средствами, такими как установкой паролей – не решить. Чтобы защитить данные и при этом не усложнить работу пользователей с системами лучше использовать автоматическую идентификацию.
- Пароли сводят на нет такие возможности интранета, как повышение эффективности работы сотрудников и снижение издержек.
Поэтому в большинстве случаев доступ в интранет не должен требовать ввода пароля.
Цифры впечатляют, да. Аудитория, завороженная, ошеломленная, раздавленная, стыдливо молчит.
В ледяной тишине зала отчётливо слышны странные звуки. Это скрипят золотые перья и цокают клавиатуры. Это акционеры, игроки и аналитики, вооружённые новой чудо-методикой подсчёта затрат, пересчитывают прогнозы на следующий год. В изумлённых глазах читается вопрос: «Как? Как распорядиться внезапно свалившимися с неба деньжищами»?
Один из костюмов решительно встаёт. Где-то в груди у него гнусавит мелодия Верту.
- У меня вопрос к докладчику. Скажите, а будь вы руководителем той компании, вы бы, проанализировав ситуацию, разрешили вход в интранет без пароля?
- Естественно. В большинстве случаев. Это, собственно, вывод.
- Угу. А вот… Я страшно извиняюсь… Решаем тут… Из чистого любопытства, а на что бы вы через год потратили 504 тысячи долларов, потерю которых вам удалось предотвратить?
Мелодия стихает.