Мобильная электронная подпись и управление аутентификацией в крупной компании

Менеджер по продуктам Компании «Актив» Андрей Игнатов рассказал на страницах журнала Information Security (ИД Гротек) о проблематике и инструментах управления аутентификацией в крупных организациях. В статье также анонсировано новое решение Компании «Актив» Рутокен Authentication Manager, созданного для управления двухфакторной аутентификацией в масштабе банка или промышленной корпорации.

Мобильная электронная подпись и управление аутентификацией в крупной компании

Андрей Игнатов: Рутокен Authentication Manager  поможет эффективно управлять аутентификацией в крупных компаниях.

Пару лет назад работодатели искренне полагали, что все сотрудники должны постоянно работать в офисе. Исключения предусматривались только для тех, кто находился в командировке или работал из дома по случаю болезни. Поэтому в защищенном офисном периметре считалось надежным использовать пароли для аутентификации и хранить ключи электронной подписи в файловой системе компьютера. Однако 2020 год всё изменил. Сегодня удаленная работа уже не является экзотикой. Это реальность, причем не только для малочисленных стартапов, но и для крупного бизнеса. И теперь взаимодействие с ИТ-ресурсами организации или применение электронной подписи требует дополнительной защиты. Разумеется, работая на рынке аутентификации и электронной подписи, Компания «Актив» не могла остаться в стороне от трендов мобильности и восприняла требования рынка как сигнал к решительным действиям по разработке новых продуктов и решений.

Мобильная подпись в любой ситуации

Еще недавно бренд Рутокен ассоциировался у пользователей исключительно со смарт-картами и токенами, применяемыми для хранения ключей электронной подписи и подписания документов. В нашей стране хорошо известны ключевые носители Рутокен, в частности криптографические ключевые носители линейки Рутокен ЭЦП 2.0.

Но время идет, продуктовая линейка активно развивается, и мы помогаем нашим клиентам, а среди них все больше крупных корпоративных заказчиков, решать новые задачи, связанные с информационной безопасностью и электронной подписью. Мир становится более мобильным, и если вчера большинство документов подписывалось на офисном или домашнем компьютере, то сейчас всё чаще для подписания используется мобильное устройство – смартфон или планшет. Курьеры и экспедиторы, врачи, полицейские и спасатели – всем им требуются средства для безопасной работы с документами без каких бы то ни было ограничений места и времени.

Компания «Актив» предлагает сегодня целый ряд продуктов, поддерживающих работу на мобильных устройствах, оснащенных ОС iOS, Android и российской мобильной ОС «Аврора». Во-первых, это линейка Рутокен ЭЦП 2.0 2100 и 3000 с интерфейсом USB Type-C. Во-вторых, обновленный Рутокен Bluetooth с интерфейсом BLE, который не требует предварительного включения и всегда готов к подписанию документов электронной подписью.

Главные новинки Компании «Актив» – это дуальные токены и смарт-карты флагманской линейки Рутокен ЭЦП 3.0 NFC. Для взаимодействия с ПК или мобильным устройством эти продукты снабжены двумя интерфейсами — традиционным контактным и бесконтактным с использованием канала NFC. Это позволяет подписывать документы электронной подписью на смартфонах и планшетах, просто прикладывая смарт-карту или токен к считывателю NFC на мобильном устройстве.

Таким образом электронная подпись становится по-настоящему мобильной –ведь для подписания можно использовать любой смартфон или компьютер, оснащенный NFC, личный либо корпоративный. При этом такая мобильная подпись еще и надежна. Ведь ключи электронной подписи хранятся не в облаке, вдали от своего владельца, и не на смартфоне, который не защищен от взлома. Ключи находятся на токене или смарт-карте, а карта – в бумажнике или кармане своего владельца.

Умная ключница Рутокен KeyBox

Еще одной ощутимой тенденцией последних полутора лет на рынке ИБ стало повышение требований по защите доступа к ресурсам сети и рабочим станциям организации, информационным системам, web- и классическим приложениям. С усилением тренда удаленной работы ненадежность парольной аутентификации стала еще очевиднее. В связи с этим Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в своих рекомендациях по обеспечению безопасной удаленной работы рекомендовал выполнять удаленный доступ в сеть организации строго с использованием двухфакторной аутентификации. Рекомендации логичны — злоумышленник может перехватить или подсмотреть пароль, а затем бесконтрольно получать доступ к ИТ-ресурсам предприятия. Причем, если во время работы в офисе возможно отследить, кто работает за компьютером, то при удалённой работе подключиться к сети организации может любой злоумышленник.

Наилучшей защитой от кражи пароля является использование двухфакторной аутентификации (2ФА), где первым фактором выступает владение токеном или смарт-картой, а вторым – знание PIN-кода устройства. Для реализации 2ФА на компьютерах под управлением Microsoft Windows, входящих в домен Active Directory, Компания «Актив» предлагает токены линейки Рутокен ЭЦП 2.0 и информационный продукт Рутокен для Windows, содержащий инструкции по настройке серверной инфраструктуры Windows.

Однако сложность реализации 2ФА в организации заключается в том, что для каждого сотрудника необходимо вести учет выданных токенов, создавать ключи на токене и сертификат в удостоверяющем центре организации. Кроме того, сертификатами нужно управлять, например, отзывать, в случае утери токена. Для выполнения таких операций высококвалифицированному специалисту ИТ-отдела потребуется ежедневно тратить немалую часть своего рабочего времени.

Эта проблема решается с помощью программного обеспечения Рутокен KeyBox, разработанного для управления ключевыми носителями – токенами и смарт-картами Рутокен (предусмотрена поддержка устройств и других производителей), учет СКЗИ, создание ключей и сертификатов электронной подписи, ведение журнала учета действий с ключевыми носителями. Рутокен KeyBox не подменяет собой удостоверяющий центр и службу каталогов, а дополняет их, позволяя упростить выполнение рутинных операций, таких как выдача токена с ключами и сертификатом для нового сотрудника, увольнение сотрудника с возвратом токена на склад и отзывом сертификата, замена токена при утере или временная замена, когда сотрудник забыл ключевой носитель дома.

Рутокен KeyBox будет вести автоматизированный учет СКЗИ в соответствии с нормативными документами. Он позволит управлять политиками присвоения PIN-кодов устройств, лишая пользователей возможности установить слишком простой PIN-код (например, короткий или состоящий из одинаковых цифр), который может быть легко подсмотрен злоумышленником. И наконец, Рутокен KeyBox реализует пользовательский интерфейс самообслуживания, который поможет сотрудникам самостоятельно выполнять целый ряд операций, не расходуя время специалистов ИТ-отдела.

Заметим, что Рутокен KeyBox также может быть использован для хранения сертификатов усиленной квалифицированной электронной подписи, выданной сторонним аккредитованным удостоверяющим центром. Например, он будет предупреждать администратора о скором устаревании сертификата и предлагать обратиться в УЦ за новым.

Рутокен Authentication Manager – укрощение аутентификации

Но вернемся к двухфакторной аутентификации. И напомним, что помимо доступа к ПК и сети организации необходимо защищать доступ к корпоративным и SAAS приложениям, информационным системам и подключение к VPN.

Конечно, теоретически можно попробовать настроить для использования двухфакторной аутентификации каждый компонент ИТ-инфраструктуры по отдельности, но на практике это не всегда возможно реализовать. Разные приложения и системы используют различные способы беспарольной аутентификации. В одном случаем в качестве второго фактора может выступать OTP-токен, в другом — Рутокен ЭЦП 2.0. Кроме того, одни системы поддерживают протокол аутентификации OAuth, другие OpenID, третьи – RADIUS. И наконец, устаревшие программы требуют вводить логин и пароль.

Помимо прочего, сложность работы с этим ИТ-зоопарком заключается еще и в том, что для каждого сервиса или приложения требуется отдельный пароль. В масштабе крупного бизнеса, будь то банк или промышленная корпорация, задача представляется сложной и ресурсоемкой. К тому же, при использовании различных паролей их необходимо будет записывать, и тут как раз злоумышленник и сможет получить доступ к этим записям. А сделав все пароли одинаковыми, вы упрощаете работу взломщику – достаточно будет один раз перехватить пароль, и доступ ко всем сервисам обеспечен.

Гораздо удобнее аутентифицироваться однократно, а дальше автоматически подключаться к необходимым ресурсам, используя различные протоколы и методы аутентификации. К тому же хорошо бы контролировать, кто и когда входил в определенные сервисы. Подобный аудит может помочь при разборе конфликтных ситуаций и расследований в случае инцидентов в сфере информационной безопасности.

Для решения этих проблем предназначен новый продукт для крупных организаций, который Компания «Актив» сегодня готова представить рынку — Рутокен Authentication Manager (Рутокен AM). Принцип его работы прост – пользователь однократно аутентифицируется в Рутокен AM с использованием различных механизмов аутентификации, таких как смарт-карты и криптографические токены Рутокен, OTP-токены, мобильные приложения на смартфонах пользователей, бесконтактные карты для СКУД и биометрия. При этом могут использоваться дополнительные факторы аутентификации, например, географическое местоположение пользователя. Далее уже сам Рутокен AM выполняет аутентификацию в те программы и сервисы, к которым пользователям необходим доступ. Для этого Рутокен AM использует различные протоколы и способы аутентификации, в зависимости от того, с чем умеет работать конкретное приложение: RADIUS, ADFS, SAML, OpenID Connect, OAuth 2.0 и Kerberos. Если же приложение не поддерживает ни один из протоколов, то с помощью агента Enterprise Single Sign-On логин и пароль пользователя могут быть автоматически введены в соответствующие поля формы аутентификации.

Все операции аутентификации пользователей и доступа к приложениям сохраняются в журнале и могут быть использованы впоследствии для расследования инцидентов информационной безопасности.

Таким образом, на базе программных продуктов Рутокен Authentication Manager, Рутокен KeyBox, токенов и смарт-карт Рутокен можно построить систему аутентификации и работы с электронной подписью для организации практически любого масштаба. Рутокен Authentication Manager позволяет использовать самые разнообразные механизмы и средства аутентификации, а новые модели токенов и смарт-карт Рутокен с поддержкой NFC помогают безопасно работать на мобильных рабочих местах.