Андрей Игнатов, 12/10/21
Пару лет назад работодатели искренне полагали, что все сотрудники должны постоянно работать в офисе. Исключения предусматривались только для тех, кто находился в командировке или работал из дома по случаю болезни. Поэтому в защищенном офисном периметре считалось надежным использовать пароли для аутентификации и хранить ключи электронной подписи в файловой системе компьютера. Но 2020 год все изменил.
Автор: Андрей Игнатов, эксперт Компании “Актив”
Сегодня удаленная работа уже не является экзотикой. Это реальность, причем не только для малочисленных стартапов, но и для крупного бизнеса. И теперь взаимодействие с ИТ-ресурсами организации или применение электронной подписи требуют дополнительной защиты. Разумеется, работая на рынке аутентификации и электронной подписи, Компания "Актив" не могла остаться в стороне от трендов мобильности и восприняла требования рынка как сигнал к решительным действиям по разработке новых продуктов и решений.
Мобильная подпись в любой ситуации
Еще недавно бренд Рутокен ассоциировался у пользователей исключительно со смарт-картами и токенами, применяемыми для хранения ключей электронной подписи и подписания документов. В нашей стране хорошо известны ключевые носители Рутокен, в частности криптографические ключевые носители линейки Рутокен ЭЦП 2.0.
Но время идет, продуктовая линейка активно развивается, и мы помогаем нашим клиентам – а среди них все больше крупных корпоративных заказчиков – решать новые задачи, связанные с информационной безопасностью и электронной подписью. Мир становится более мобильным, и если вчера большинство документов подписывалось на офисном или домашнем компьютере, то сейчас все чаще для подписания используется мобильное устройство – смартфон или планшет. Курьеры и экспедиторы, врачи, полицейские и спасатели – всем им требуются средства для безопасной работы с документами без каких бы то ни было ограничений места и времени.
Компания "Актив" предлагает целый ряд продуктов, поддерживающих работу на мобильных устройствах, оснащенных ОС iOS, Android и российской мобильной ОС "Аврора":
- во-первых, это линейка Рутокен ЭЦП 2.0 2100 и 3000 с интерфейсом USB Type-C;
- во-вторых, обновленный Рутокен Bluetooth с интерфейсом BLE, который не требует предварительного включения и всегда готов к подписанию документов электронной подписью.
Главные новинки Компании "Актив" – дуальные токены и смарт-карты флагманской линейки Рутокен ЭЦП 3.0 NFC. Для взаимодействия с ПК или мобильным устройством эти продукты снабжены двумя интерфейсами: традиционным контактным и бесконтактным с использованием канала NFC. Это позволяет подписывать документы электронной подписью на смартфонах и планшетах, просто прикладывая смарт-карту или токен к считывателю NFC на мобильном устройстве.
Таким образом, электронная подпись становится по-настоящему мобильной: для подписания можно использовать любой смартфон или компьютер, оснащенный NFC, личный либо корпоративный. При этом такая мобильная подпись еще и надежна, ведь ключи электронной подписи хранятся не в облаке, вдали от своего владельца, и не на смартфоне, который не защищен от взлома. Ключи находятся на токене или смарт-карте, а карта – в бумажнике или кармане своего владельца.
Умная ключница Рутокен KeyBox
Еще одной ощутимой тенденцией последних полутора лет на рынке ИБ стало повышение требований по защите доступа к ресурсам сети и рабочим станциям организации, информационным системам, веб и классическим приложениям. С усилением тренда удаленной работы ненадежность парольной аутентификации стала еще очевиднее. В связи с этим Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в своих рекомендациях по обеспечению безопасной удаленной работы рекомендовал выполнять удаленный доступ в сеть организации строго с использованием двухфакторной аутентификации. Рекомендации логичны: злоумышленник может перехватить или подсмотреть пароль, а затем бесконтрольно получать доступ к ИТ-ресурсам предприятия. Причем если во время работы в офисе возможно отследить, кто работает за компьютером, то при удаленной работе подключиться к сети организации может любой злоумышленник.
Наилучшей защитой от кражи пароля является использование двухфакторной аутентификации (2ФА), где первым фактором выступает владение токеном или смарт-картой, а вторым – знание ПИН-кода устройства. Для реализации 2ФА на компьютерах под управлением Microsoft Windows, входящих в домен Active Directory, Компания "Актив" предлагает токены линейки Рутокен ЭЦП 2.0 и информационный продукт Рутокен для Windows, содержащий инструкции по настройке серверной инфраструктуры Windows.
Однако сложность реализации 2ФА в организации заключается в том, что для каждого сотрудника необходимо вести учет выданных токенов, создавать ключи на токене и сертификат в удостоверяющем центре организации. Кроме того, сертификатами нужно управлять, например отзывать в случае утери токена. Для выполнения таких операций высококвалифицированному специалисту ИТ-отдела потребуется ежедневно тратить немалую часть своего рабочего времени.
Эта проблема решается с помощью программного обеспечения Рутокен KeyBox, разработанного для управления ключевыми носителями – токенами и смарткартами Рутокен (предусмотрена поддержка устройств и других производителей), учета СКЗИ, создания ключей и сертификатов электронной подписи, ведения журнала учета действий с ключевыми носителями. Рутокен KeyBox не подменяет собой удостоверяющий центр и службу каталогов, а дополняет их, позволяя упростить выполнение рутинных операций, таких как выдача токена с ключами и сертификатом для нового сотрудника, увольнение сотрудника с возвратом токена на склад и отзывом сертификата, замена токена при утере или временная замена, когда сотрудник забыл ключевой носитель дома.
Рутокен KeyBox будет вести автоматизированный учет СКЗИ в соответствии с нормативными документами. Он позволит управлять политиками присвоения ПИН-кодов устройств, лишая пользователей возможности установить слишком простой ПИН-код (например, короткий или состоящий из одинаковых цифр), который может быть легко подсмотрен злоумышленником. И наконец, Рутокен KeyBox реализует пользовательский интерфейс самообслуживания, который поможет сотрудникам самостоятельно выполнять целый ряд операций, не расходуя время специалистов ИТ-отдела.
Рутокен KeyBox также может быть использован для хранения сертификатов усиленной квалифицированной электронной подписи, выданной сторонним аккредитованным удостоверяющим центром. Например, он будет предупреждать администратора о скором устаревании сертификата и предлагать обратиться в УЦ за новым.
Рутокен Authentication Manager – укрощение аутентификации
Но вернемся к двухфакторной аутентификации. И напомним, что помимо доступа к ПК и сети организации необходимо защищать доступ к корпоративным и SAAS-приложениям, информационным системам и подключение к VPN.
Конечно, теоретически можно попробовать настроить для использования двухфакторной аутентификации каждый компонент ИТ-инфраструктуры по отдельности, но на практике это не всегда возможно реализовать. Разные приложения и системы используют различные способы беспарольной аутентификации. В одном случае в качестве второго фактора может выступать OTP-токен, в другом – Рутокен ЭЦП 2.0. Кроме того, одни системы поддерживают протокол аутентификации OAuth, другие OpenID, третьи – RADIUS. И наконец, устаревшие программы требуют вводить логин и пароль.
Помимо прочего, сложность работы с этим "ИТ-зоопарком" заключается еще и в том, что для каждого сервиса или приложения требуется отдельный пароль.
В масштабе крупного бизнеса, будь то банк или промышленная корпорация, задача представляется сложной и ресурсоемкой. К тому же при использовании различных паролей их необходимо будет записывать, и тут как раз злоумышленник и сможет получить доступ к этим записям. А сделав все пароли одинаковыми, вы упрощаете работу взломщику: достаточно будет один раз перехватить пароль и доступ ко всем сервисам обеспечен.
Гораздо удобнее аутентифицироваться однократно, а дальше автоматически подключаться к необходимым ресурсам, используя различные протоколы и методы аутентификации. К тому же хорошо бы контролировать, кто и когда входил в определенные сервисы. Подобный аудит может помочь при разборе конфликтных ситуаций и расследований в случае инцидентов в сфере информационной безопасности.
Для решения этих проблем предназначен новый продукт для крупных организаций, который Компания "Актив" готова представить рынку, – Рутокен Authentication Manager (Рутокен AM). Принцип его работы прост: пользователь однократно аутентифицируется в Рутокен AM с использованием различных механизмов аутентификации, таких как смарт-карты и криптографические токены Рутокен, OTP-токены, мобильные приложения на смартфонах пользователей, бесконтактные карты для СКУД и биометрия. При этом могут использоваться дополнительные факторы аутентификации, например географическое местоположение пользователя. Далее уже сам Рутокен AM выполняет аутентификацию в тех программах и сервисах, к которым пользователям необходим доступ. Для этого Рутокен AM использует различные протоколы и способы аутентификации, в зависимости от того, с чем умеет работать конкретное приложение: RADIUS, ADFS, SAML, OpenID Connect, OAuth 2.0 и Kerberos. Если же приложение не поддерживает ни один из протоколов, то с помощью агента Enterprise Single Sign-On логин и пароль пользователя могут быть автоматически введены в соответствующие поля формы аутентификации.
Все операции аутентификации пользователей и доступа к приложениям сохраняются в журнале и могут быть использованы впоследствии для расследования инцидентов информационной безопасности.
Таким образом, на базе программных продуктов Рутокен Authentication Manager, Рутокен KeyBox, токенов и смарт-карт Рутокен можно построить систему аутентификации и работы с электронной подписью для организации практически любого масштаба. Рутокен Authentication Manager позволяет использовать самые разнообразные механизмы и средства аутентификации, а новые модели токенов и смарт-карт Рутокен с поддержкой NFC помогают безопасно работать на мобильных рабочих местах.
