Обзор CNews «Средства защиты информации и бизнеса 2021»

Аналитики CNews опубликовали ежегодный обзор «Средства защиты информации и бизнеса 2021». Исследование подтвердило — за последние два года рынок ИБ претерпел существенные изменения, которые сказались на его росте, главных векторах развития, а также на политике вендоров. Экспертами обзора по вопросам аутентификации и технологий электронной подписи выступили Владимир Иванов, директор по развитию, и Андрей Степин, заместитель генерального директора Компании «Актив».

Обзор CNews «Средства защиты информации и бизнеса 2021»

Обзор CNews «Средства защиты информации и бизнеса 2021»

CNews: Сегодня, когда так стремительно развиваются системы ЭДО и цифровые сервисы, растет применение мобильных гаджетов, чрезвычайно актуальной становится задача придания юридической значимости документам в электронной форме, транзакциям, совершаемым в цифровой среде. И, в частности, за счет совершенствования технологий электронной подписи. Какие изменения переживает сегодня эта сфера?

Владимир Иванов: Технологии электронной подписи применяются у нас в стране уже около 30 лет, а широкое применение они получили с принятием федерального закона 1-ФЗ «Об электронной цифровой подписи», 20-летний юбилей которого приходится как раз на декабрь этого года. С тех пор произошло множество событий, в том числе принятие нового закона и массы поправок к нему. Сейчас отрасль переживает очередной этап турбулентности, связанный с введением новых поправок. Но так или иначе технологии не стоят на месте, совершенствуется законодательная база, и применение электронной подписи в бизнесе, государственном и муниципальном управлении уже стали обычным делом. Сегодня без электронного документооборота уже никуда.

Технологии развиваются быстро, законодательная база чуть медленнее, а вот люди достаточно инертны, и их отношение к вопросам безопасности меняется довольно сложно. Вы спросите, какое отношение электронная подпись имеет к безопасности? Самое непосредственное. Например, квалифицированная электронная подпись по закону является аналогом собственноручной подписи. Что это означает? А то, что при помощи электронной подписи можно проводить массу юридически значимых действий — заключать контракты, регистрировать юридические лица и многое-многое другое. Таким образом, безопасность при обращении с электронной подписью имеет самое непосредственное влияние на безопасность любого гражданина — будь он физическим лицом, должностным лицом или руководителем.

CNews: За счет чего обеспечивается безопасность электронной подписи?

Владимир Иванов: Безопасность при работе с электронной подписью прежде всего опирается на защиту базового элемента — ключа электронной подписи. С нашей точки зрения, ключ подписи должен существовать в единственном экземпляре и только у его владельца. Таким образом можно обеспечивать, например, определение авторства документа в электронной форме. Когда ключ подписи существует во множестве экземпляров и может неконтролируемым образом копироваться, подтвердить авторство практически невозможно или очень непросто. Мы постепенно уходим от «диких времен», когда копии ключей подписи передавались руководителем организации кому угодно, и невозможно было доказать, кто именно подписал критически важный документ. Такая ситуация рождала массу коллизий и разбирательств.

В наших технических решениях мы как раз опираемся на идею обеспечения существования ключа подписи в единственном экземпляре. При этом нужно дать возможность владельцу ключа полностью контролировать и доступ к нему, и само его существование. То есть, например, владелец ключа должен иметь возможность его гарантированного уничтожения.

Для реализации такого подхода необходимо персональное защищенное аппаратное устройство, средство электронной подписи, которое не только хранит ключи подписи, но и выполняет непосредственно функции подписания документов «на борту» за счет аппаратной реализации криптографических алгоритмов. При таком подходе ключи подписи никогда не покидают память защищенного устройства и не могут быть скопированы и скомпрометированы.

Нужно дать возможность владельцу ключа полностью контролировать и доступ к нему, и само его существование. Владелец ключа должен иметь возможность его гарантированного уничтожения

Учитывая все сказанное, получается, что руководителю, который теперь один может подписывать юридически значимые документы квалифицированной электронной подписью, просто необходимо продвинутое средство электронной подписи с криптографией «на борту», с помощью которого он сможет работать в любой точке земного шара и на любом устройстве — стационарном или мобильном. Для решения этой непростой задачи мы и создали новую линейку устройств, уже третьего поколения — «Рутокен ЭЦП» 3.0. Все устройства этой линейки — и USB-токены, и смарт-карты — оснащены кроме традиционных контактных еще и беспроводными интерфейсами NFC или Bluetooth для работы с мобильными устройствами.

На первый план выходят беспроводные технологии вроде NFC и Bluetooth LE

CNews: На какие технологии сегодня вы делаете ставку? Какие паттерны поведения и запросы пользователей электронной подписи вы ставите сегодня во главу угла в развитии продуктов и решений?

Андрей Степин: Ключевые новые технологии сейчас для нас достаточно очевидны. Все больше актуализируется запрос на работу в мобильном окружении — на Android сейчас работает множество портативной техники: кассы и POS-терминалы, смартфоны и планшеты для мобильных бригад, да и практически любые специализированные бизнес-устройства. И это касается миллионов рабочих мест в масштабе всей России, ведь выездная деятельность с потребностью в ЭДО с электронной подписью сейчас есть у всех: медицинских работников, сотрудников правопорядка, рабочих на промышленных предприятиях, практически любых неофисных работники. Соответственно, на первый план выходят беспроводные технологии вроде NFC и Bluetooth LE.

При этом спектр применения технологий не ограничивается одним только Android: те же категории пользователей задействуют рабочие станции на Windows или Linux, гаджеты от Apple и наши отечественные разработки: ОС «Аврора», устройства на платформах «Эльбрус» и «Байкал». Они работают в различных браузерах, множестве разных сервисов и приложений. Соответственно, в целях по-настоящему широкой популяризации технологий электронной подписи и двухфакторной аутентификации Компания «Актив» предлагает единый пользовательский опыт вне зависимости от применяемой платформы.

Высокоскоростная аппаратная криптография, беспроводные технологии и удобство для пользователей — именно на этом сфокусированы усилия Компании «Актив» в новой линейке «Рутокен ЭЦП» 3.0 NFC.

Парольная аутентификация должна уйти в прошлое

CNews: Современный человек является владельцем десятков учетных записей. Правила цифровой гигиены предписывают для каждой учетной записи иметь уникальный пароль, да еще и держать эти пароли в голове, регулярно меняя. А если речь идет о паролях от «учеток» в корпоративных системах, каких тоже немало? Чем тут помогает аппаратная криптография?

Владимир Иванов: На различных экспертных площадках, где мне доводится выступать, я не устаю повторять, что парольная аутентификация сама по себе, без применения дополнительных факторов аутентификации, должна уйти в прошлое.

Во-первых, эту огромную кипу паролей от все возрастающего числа учетных записей приходится помнить или записывать, что небезопасно. Если говорить о так называемых «парольных политик», которые, в частности, устанавливают требования к длине и сложности паролей, а также предписывают их регулярную смену, то они во многих случаях «отлиты в граните» и не пересматриваются в соответствии с меняющимися условиями. Например, требование регулярной смены всех паролей уже несколько лет назад признано не только устаревшим, но и даже вредным, поскольку вынуждает пользователей применять более простые пароли и записывать их, а запомнить такое количество паролей нормальному человеку не под силу.

Во-вторых, пароли могут быть подобраны либо украдены, о чем пользователь узнает далеко не сразу. А если, как верно было подмечено, речь идет о защите с помощью связки логин-пароль корпоративных информационных ресурсов? Тут компрометация пароля может нанести бизнесу непоправимый урон.

Требование регулярной смены всех паролей уже несколько лет назад признано не только устаревшим, но и даже вредным

Один из современных и самых надежных способов — использование для аутентификации пользователей ассиметричной криптографии «на борту» аппаратных средств защиты, то есть ровно той же математики, которая применяется для формирования электронной подписи. Асимметричная криптография предполагает, что проверяющая сторона (система) не знает секрета (ключа аутентификации). В ее силах лишь определить, знает секрет пользователь или не знает. То есть система проверяет подпись под запросом на аутентификацию, не зная пользовательского секрета. При этом секрет всегда хранится только на устройстве, обеспечивающем аутентификацию: USB-токене или смарт-карте, что делает каждое такое устройство уникальным.

А вот вторым фактором аутентификации, вслед за владением физическим устройством, является фактор знания: владелец ключа аутентификации должен ввести PIN или пароль доступа к устройству аутентификации. От обычного пароля здесь существует большое отличие. Во-первых, пароль или PIN знает не сервер, а устройство аутентификации, и проверка происходит на стороне пользователя. Во-вторых, подбирать такой PIN или пароль не получится из-за ограничения попыток его ввода.

Поэтому аутентификацию, основанную на асимметричной криптографии, можно применять в принципе на каком угодно количестве сервисов и приложений — достаточно одного ключа аутентификации. Кроме того, такой способ аутентификации защищает пользователя и от фишинговых атак, в отличие от других способов вроде одноразовых паролей (OTP).

CNews: Работает ли вы с глобальными стандартами аутентификации?

Андрей Степин: Интересным и перспективным направлением мы считаем персональные устройства для аутентификации пользователей. Стандарт FIDO2, как наиболее успешный и популярный в мире проект для аутентификации конечных пользователей во всевозможных сервисах и платформах, сейчас находится в фокусе нашего внимания.

Токены с FIDO2 позволяют современному человеку принципиально повысить безопасность своих учетных записей с помощью двухфакторной аутентификации. Стандарт уже довольно широко распространен и поддерживается практически во всех браузерах, операционных системах и популярных сервисах. Например, при аутентификации в Windows 10/11, любых сервисах и платформах Google и так далее.

Современный аутентификатор на базе стандарта FIDO2 содержит криптографию «на борту» устройства, встроенный в токен модуль NFC для мобильного применения, защищенный особым образом микроконтроллер с неизвлекаемыми ключами и сенсорную кнопку на устройстве для подтверждения операций. За счет широкой поддержки и открытости стандарта FIDO2 такой аутентификатор будет поддерживаться во всех популярных сервисах и платформах с первого же дня. Такое устройство Компания «Актив» выводит на рынок уже в начале 2022 года.

Наши партнеры — это наши соратники в деле развития и совершенствования рынка

CNews: Сотрудничество с технологическими компаниями — это залог успеха и конкурентоспособности на рынке. Какие ваши совместные решения с партнерами сегодня востребованы у заказчиков?

Владимир Иванов: Действительно, устройства «Рутокен», как средство двухфакторной аутентификации и формирования электронной подписи, всегда востребованы в комплексных проектах. Наши специалисты ведут непрерывную работу по обеспечению совместимости токенов и смарт-карт «Рутокен» с продуктами и решениями наших партнеров. Устройства «Рутокен» включены в экосистемы отечественных операционных систем, СКЗИ, средства защиты от НСД и комплексные системы кибербезопасности.

Наша задача — постоянно увеличивать количество наработанных решений, гарантируя высокий уровень информационной безопасности

Фактически, через партнеров мы реализуем свои взгляды на то, как следует применять инструменты аутентификации и электронной подписи правильно и эффективно. Наши партнеры — это наши соратники в деле развития и совершенствования рынка. Сегодня «Рутокен» — это элемент для целого спектра комплексных решений. Вот для примера несколько свежих кейсов: поддержка работы выездных бригад скорой помощи, защищенный документооборот горнодобывающих предприятий, безопасный доступ к мобильным государственным сервисам. И наша задача — постоянно увеличивать количество наработанных решений, гарантируя высокий уровень информационной безопасности.

CNews: Технологии «Рутокен» используются давно и многими. Означает ли переход к новым продуктам и более современным линейкам устройств отказ от поддержки прежних продуктов и решений?

Андрей Степин: Миллионы реализованных устройств и тысячи интеграций не позволяют Компании «Актив» даже в самых новых разработках нарушать базовый принцип обратной совместимости. Устройства поколения «Рутокен ЭЦП» 3.0 включают в себя все технологии эпохи «Рутокен ЭЦП» 2.0, все интеграции и наработки. Ключевая технология здесь, и она предмет нашей особой гордости, — это специализированная смарт-карточная операционная система ОС «Рутокен», внесенная в Единый реестр отечественного ПО. Именно ОС «Рутокен», с одной стороны, обеспечивает строгую архитектуру и высокоскоростную криптографию, постоянно пополняясь новыми технологиями, а с другой, позволяет сохранять высочайшую степень обратной совместимости. Хороший пример — наше новое устройство с интерфейсом Bluetooth LE. Это «Рутокен» в совершенно ином форм-факторе, с аккумулятором, предполагающим два-три месяца ежедневного использования. И хотя, в первую очередь, устройство создано для работы на iPad, iPhone и устройствах Android в беспроводном режиме, оно основано именно на ОС «Рутокен», включая все возможности поколения «Рутокен ЭЦП» 3.0 и слой обратной совместимости.

Конечно, наши специалисты и инженеры наших партнеров постоянно работают над внедрением новых технологий и выведением из эксплуатации старых. Какие-то решения неизбежно устаревают и заменяются новыми. Стоит отметить, что очень важно вовремя модернизировать свои системы и средства защиты, оставаться на острие борьбы с киберугрозами. И в этом процессе порой приходится жертвовать частью обратной совместимости, без этого качественные скачки в технологиях были бы практически невозможны.

Мир столкнулся с беспрецедентным кризисом в сфере производства полупроводников и глобальной логистики

CNews: Что происходит на зарубежных рынках электронной подписи? И насколько уникален этот рынок в России?

Владимир Иванов: Действительно, нельзя сказать, что Россия — это единственная страна, где успешно и интенсивно развивается электронный документооборот и технологии, связанные с электронной подписью. Но, безусловно, мы в числе лидеров.

Однако в плане требований к средствам подписи есть и более продвинутые страны. Например, в странах Евросоюза для вычисления квалифицированной подписи требуется применение специальных устройств для создания квалифицированной подписи — Qualified Signature Creation Devices (QSCD). Это во многом перекликается с нашим подходом, и мы надеемся, что наши регуляторы со временем придут к такому решению.

CNews: Вам не понаслышке знакомы сегодняшние проблемы российских разработчиков аппаратных средств. Как выстроена сейчас ваша работа с поставщиками, каким образом организованы каналы поставки?

Андрей Степин: Мир столкнулся с беспрецедентным кризисом в сфере производства полупроводников и глобальной логистики. Негативная синергия этих явлений на фоне продолжающейся пандемии спровоцировали практически идеальный шторм в мире электроники. Он коснулся фактически всех без исключения компаний, работающих с электроникой и всех конечных потребителей.

На рынке комплектующих сейчас в известной степени «Дикий Запад». Фарцовщики и спекулянты, безусловно, процветают

Поставки комплектующих происходят с огромными задержками — производитель в одностороннем порядке может внезапно заявить, что законтрактованная партия в полмиллиона стабилизаторов напряжения «немного задержится» и прибудет на 26 недель позже запланированного. А для бизнеса это остановка работы на полгода! На рынке комплектующих сейчас в известной степени «Дикий Запад». Фарцовщики и спекулянты, безусловно, процветают. Богатые компании запасаются максимальным количеством чипов на склады, выкупают все доступные производственные мощности, циклически усугубляя дефицит. Мелкие игроки при этом вынуждены закупать хоть какие-то компоненты у посредников, переплачивая в 5-10 раз.

Умение бизнеса выстроить и удержать логистическую цепочку сейчас становится практически ключевым компонентом успеха, так как спрос на электронику последний год заметно опережает предложение. Выкупают все, и многие производители сейчас торгуют, что называется, «с колес». В российских реалиях, особенно в условии специфических и повышенных требований в сфере ИБ, это порождает особое напряжение и создает повышенное ценовое давление на аппаратные средства защиты и любую другую электронику.

За почти тридцатилетнюю историю компании мы прошли через несколько мировых кризисов, этот опыт и наши действительно большие объемы производства позволяют компании чувствовать себя уверенно и строго выполнять обязательства перед заказчиками и рынком в целом.

CNews: Заглядывая в завтрашний день, каким вы его видите для Компании «Актив»?

Андрей Степин: В 2021 году у нас было открыто новое направление, оно специализируется на создании средств криптографической защиты для кибер-физических систем, инфраструктуры для их внедрения и набора инструментов разработчика. Это направление для нужд криптографической защиты любой встраиваемой техники, межмашинного взаимодействия и безопасности в сфере интернета вещей. Мы, как и все ведущие игроки на рынке кибербезопасности, считаем, что именно здесь потребность в строгой защите будет расти особенно активно. В принципе, эти тенденции уже видны и невооруженным взглядом.

Параллельно развивается потребность в глубоко интегрированных решениях для отдельных направлений бизнеса. Раньше мы создавали инструмент, который наши технологические партнеры интегрировали в свой продукт и далее внедряли. В крупных проектах привлекались компании-интеграторы. Сейчас же потребность в защите от киберугроз существенно выросла, стала взрослее и осознаннее. Просто инструментов здесь уже недостаточно, поэтому мы объединяемся с сильнейшими партнерами и создаем совместные уникальные решения. Сейчас это происходит с нашими беспроводными технологиями, совместно с компаниями-разработчиками операционных систем, планшетов и портативных компьютеров, инфраструктурного программного обеспечения. В результате бизнес-потребитель сразу получает решение своей проблемы.

Создание готовых и удобных решений для всех потребностей в сфере кибербезопасности, просветительская и евангелистская деятельность на рынке ИБ, выстраивание надежных цепочек поставок и максимальная локализация производства в России — вот наши приоритеты на ближайшие годы.