Создана российская система управления средствами двухфакторной аутентификации

Много сказано о высоком уровне информационной безопасности, обеспечиваемой с помощью различных электронных идентификаторов. Однако, проблема управления ключами, в том числе с учетом локальных требований в сфере ИБ, оставалась вне рамок обсуждения. Об организационном аспекте и новых возможностях рассказывает Владимир Иванов, директор по развитию компании «Актив».

Создана российская система управления средствами двухфакторной аутентификации

Владимир Иванов: «Большая проблема средств ИБ — это удобство использования, то есть, как правило, его полное отсутствие».

CNews: Расскажите, пожалуйста, о специализации компании «Актив».

Владимир Иванов: Компания «Актив» работает на рынке информационной безопасности уже более 20 лет. Известность в широких кругах мы приобрели благодаря торговой марке «Рутокен», под которой выпускается целый ряд средств электронной подписи, защищенных носителей ключей электронной подписи, электронных идентификаторов. Мы поставляем USB-токены, смарт-карты и программное обеспечение для применения в сфере информационной безопасности. Компания обладает нужными лицензиями на разработку средств защиты информации и штатом квалифицированных разработчиков.

«Актив» — одна из немногих российских компаний, которые обеспечивают полный цикл производства: проектирование электронных устройств и программного обеспечения, разработка, производство, тестирование, получение нужных сертификатов, вплоть до поставки заказчикам. Наши устройства есть у миллионов пользователей систем электронного документооборота, сдачи налоговой отчетности, электронных торгов.

Кроме этого, наши продукты применяются и в корпоративных информационных системах для строгой аутентификации пользователей, защиты электронной переписки, организации защищенного удаленного доступа, в системах дистанционного банковского обслуживания, системах контроля физического доступа и для решения других задач. В числе наших заказчиков есть очень крупные организации, поэтому мы хорошо понимаем проблемы управления большим количеством ключевых носителей и электронных сертификатов.

CNews: Почему, по вашему мнению, компаниям нужна двухфакторная аутентификация для обеспечения корпоративной безопасности?

Владимир Иванов: Не стоит долго останавливаться на критике парольной аутентификации. Ее проблемы и слабые места давно известны сообществу, а подтверждения справедливости критики мы регулярно получаем в виде информации о массовых утечках логинов и паролей.

Часто приходится читать о «правильных» политиках безопасности, подразумевающих регулярную и достаточно частую смену паролей и придумывание (или генерацию) так называемых «стойких» паролей. Но, во-первых, даже полное следование «правильным политикам» не гарантирует стойкости паролей. А во-вторых, применение таких политик не решает проблему, а только усугубляет ее. Следование всем требованиям безопасности паролей превышает возможности обычных людей, ведь регулярно придумывать и запоминать «стойкие» пароли под силу разве что уникумам. В результате либо пользователи страдают, либо безопасность, поскольку сложные пароли записываются «на бумажку» и хранятся в самых неприспособленных для этого местах.

Использование способов аутентификации, основанных на методах асимметричной криптографии, и применение защищенных носителей ключевой информации (токенов или смарт-карт) обеспечивают несоизмеримо более высокий уровень защиты учетных записей пользователей. Большое количество крупных компаний уже использует строгую двухфакторную аутентификацию для доступа сотрудников к их учетным записям.

CNews: Разве использование технологий электронной подписи упрощает процесс?

Владимир Иванов: Довольно продолжительное время технологии на базе асимметричных криптоалгоритмов (или алгоритмов с открытым ключом) не пользовались широкой популярностью. Проекты были небольшими, и никакая особенная автоматизация процессов обслуживания там не требовалась. Теперь технологии на базе PKI получили широкое распространение, в основном за счет внедрения электронного документооборота с использованием электронной цифровой подписи. Большое количество пользователей смогло убедиться, что технология не так страшна, как казалось, да и болезни роста уже во многом преодолены.

И частные, и государственные организации все чаще внедряют строгую двухфакторную аутентификацию пользователей и системы автоматизации процессов, использующие технологии электронной цифровой подписи. Многие заказчики внедряют строгую аутентификацию «попутно» с электронной подписью, поскольку за относительно небольшие деньги можно решить больше задач. Кроме надежной аутентификации пользователи получают возможность защищать свою электронную переписку, шифровать данные и многие другие полезные функции.

CNews: Как меняется спрос на ваши решения? Какие из них наиболее популярны?

Владимир Иванов: Все больше людей пользуется USB-токенами и смарт-картами. За последние годы рост продаж USB-токенов и смарт-карт в России составлял от 20% до 40% в год в штучном исчислении. На сегодняшний день количество пользователей USB-токенов в нашей стране составляет несколько миллионов. Устройства, часто называемые ключевыми носителями, необходимы для безопасного хранения и использования секретных криптографических ключей. Дело в том, что криптографические ключи должны храниться на защищенном носителе отдельно от программного обеспечения, в котором они используются.

Исторически в нашей стране более популярны USB-токены, но в корпоративных проектах часто используются и смарт-карты. Это объясняется возможностью нанесения на карты графической и текстовой информации, например ФИО, должности, подразделения и фотографии сотрудника. Также удобно использовать так называемые гибридные карты, в которых помимо контактного чипа установлена RFID-метка. Они часто применяются в системах контроля доступа в помещение. Таким образом, сотрудник получает универсальный пропуск, дающий доступ и в офис, и к информационной системе.

CNews: Какую проблему, связанную с безопасностью корпоративных сетей, можете назвать самой распространенной?

Владимир Иванов: Особую актуальность сегодня имеет безопасность доступа в сеть предприятия сотрудников, работающих вне офиса. Часто такие сотрудники вынуждены для доступа в сеть пользоваться недоверенными каналами: WiFi-спотами, точками доступа в отелях, ресторанах и других публичных местах. При доступе по незащищенному каналу злоумышленники могут довольно легко перехватывать логины, пароли и другую важную информацию. Для обеспечения безопасности удаленного подключения, как правило, организуются зашифрованные каналы, для доступа к которым также используют строгую двухфакторную аутентификацию.

Отдельный случай — использование для работы вне офиса мобильных устройств типа смартфонов и планшетов. Использование мобильных устройств вне офиса само по себе несет дополнительные риски не только с точки зрения безопасности подключения к сети предприятия. Сотрудник вне офиса имеет гораздо больше шансов лишиться мобильного устройства, что называется, не по своему желанию. Поэтому очень важно хранить ключи доступа и электронной подписи отдельно от устройства, чтобы злоумышленник не смог ими воспользоваться, даже завладев устройством и преодолев защиту блокировки экрана.

К сожалению, способы аутентификации пользователя мобильного устройства на сегодняшний день оставляет желать лучшего. Даже, казалось бы, такая надежная технология, как биометрическая идентификация на последних моделях смартфонов, имеет свои слабые стороны.

CNews: Какова организационная сторона процесса использования двухфакторной аутентификации?

Владимир Иванов: С применением новых технологий появляются и новые задачи у ИТ-подразделений и служб информационной безопасности. В большом хозяйстве требуется поддерживать порядок, а потому учет и инвентаризация устройств хранения ключевой информации обязательны. Нужно иметь возможность массовой выдачи устройств пользователям, генерации ключевой информации, выпуска электронных сертификатов и управления ими.

При защите электронной переписки или документов нужно иметь возможность получать доступ к информации при утрате ключевого носителя. Нужно вести журналы событий для разбора инцидентов и проведения аудита действий администраторов и пользователей. Кроме того, часто возникает задача одновременного взаимодействия с несколькими центрами сертификации, что кратно увеличивает трудозатраты на выпуск сертификатов. Автоматизировать решение всех этих задач и сделать работу комфортной позволяет система Рутокен Keybox.

CNews: Что система дает пользователям?

Владимир Иванов: Большая проблема средств ИБ — это удобство использования, то есть, как правило, его полное отсутствие вследствие сложности самих технологий. Мы попытались спрятать эти сложности «под капот», чтобы с ними имели дело только специально обученные люди. Пользователю предлагается очень простое в использовании средство, позволяющее решать большинство повседневных задач самостоятельно, без обращения в службу техподдержки.

Большая ценность — время. Система позволяет экономить время пользователей и специалистов на всех этапах работы. Особенно стоит упомянуть возможности для быстрого восстановления доступа, что очень важно для непрерывности бизнес-процессов.

CNews: Расскажите, пожалуйста, подробнее о системе. Каковы ее возможности?

Владимир Иванов: Мы разрабатывали продукт с учетом опыта эксплуатации пользователями зарубежных решений. Это позволило не перегружать продукт функциями, но реализовать действительно необходимые в работе инструменты. Мы не стремились сделать «продукт-убийцу», превосходящий аналоги по количеству «галочек» в сравнительных таблицах. С моей точки зрения, такой подход плохо сказывается на продукте. Он становится чрезмерно сложным в настройке и эксплуатации, а потому не экономит средства заказчика, а наоборот.

До появления системы управления смарт-картами и токенами Рутокен Keybox на российском рынке присутствовали только зарубежные продукты. Как правило, они ориентированы на ключевые носители конкретных зарубежных поставщиков, а реализация поддержки других устройств либо сложна в организационном смысле, либо в принципе невозможна. Это, в свою очередь, накладывало на пользователей определенные ограничения, связанные с необходимостью использовать моновендорные решения, и по сути лишало возможности рассматривать альтернативные решения. При переходе на решения другого вендора инвестиции в инфраструктуру можно было считать потерянными. А поскольку речь идет о дорогостоящих решениях, потери были существенными.

Рутокен Keybox позволяет одновременно использовать устройства разных производителей. Архитектура системы позволяет довольно быстро добавлять поддержку новых типов устройств по мере необходимости. Мы открыты для сотрудничества с производителями ключевых носителей и с заказчиками, которым требуется поддержка разных типов устройств.

Изначально продукт разрабатывался для коммерческих предприятий. Их ИТ-инфраструктура в большинстве случаев построена на базе продуктов Microsoft. Поэтому в первую очередь мы ориентировались на эту платформу и интеграцию с имеющейся инфраструктурой. Серверные операционные системы включают все необходимое для разворачивания PKI и внедрения аутентификации по токенам и смарт-картам. У нас есть набор инструкций по внедрению, позволяющий достаточно быстро получить работающее решение на базе Microsoft Active Directory. Однако решение не привязано непосредственно к Active Directory: по запросам пользователей мы реализовали хранение данных системы в SQL-базе.

Кроме всего прочего, в России существует специфика, связанная с применением национальных стандартов криптографии и требованиями регуляторов в области информационной безопасности. Сделать так, чтобы зарубежная система управления картами работала с отечественной инфраструктурой открытых ключей и удовлетворяла всем требованиям, очень сложно, если вообще возможно. У нас много пользователей, которые применяют российские криптографические алгоритмы в системах документооборота, и обходить вниманием их потребности нельзя.

С появлением Рутокен Keybox ситуация изменилась — теперь есть система, полностью разработанная в России и для России. Нами реализована поддержка работы с отечественными удостоверяющими центрами и крипторовайдерами. В результате оказалось, что получился хороший эффект — возможность сочетать строгую аутентификацию и российскую электронную подпись в документообороте, используя одну систему учета и управления, на одном и том же устройстве.

Продукт продолжает активно развиваться, мы учитываем пожелания пользователей и специфику российского рынка средств информационной безопасности. Тем более что сегодня на первый план выходит задача замещения продуктов зарубежной разработки, в особенности в госсекторе.