Контакты
Подписка 2024

Мобильная электронная подпись и управление аутентификацией в крупной компании

Андрей Игнатов, 12/10/21

Пару лет назад работодатели искренне полагали, что все сотрудники должны постоянно работать в офисе. Исключения предусматривались только для тех, кто находился в командировке или работал из дома по случаю болезни. Поэтому в защищенном офисном периметре считалось надежным использовать пароли для аутентификации и хранить ключи электронной подписи в файловой системе компьютера. Но 2020 год все изменил.

Автор: Андрей Игнатов, эксперт Компании “Актив”

Сегодня удаленная работа уже не является экзотикой. Это реальность, причем не только для малочисленных стартапов, но и для крупного бизнеса. И теперь взаимодействие с ИТ-ресурсами организации или применение электронной подписи требуют дополнительной защиты. Разумеется, работая на рынке аутентификации и электронной подписи, Компания "Актив" не могла остаться в стороне от трендов мобильности и восприняла требования рынка как сигнал к решительным действиям по разработке новых продуктов и решений.

Мобильная подпись в любой ситуации

Еще недавно бренд Рутокен ассоциировался у пользователей исключительно со смарт-картами и токенами, применяемыми для хранения ключей электронной подписи и подписания документов. В нашей стране хорошо известны ключевые носители Рутокен, в частности криптографические ключевые носители линейки Рутокен ЭЦП 2.0.

Но время идет, продуктовая линейка активно развивается, и мы помогаем нашим клиентам – а среди них все больше крупных корпоративных заказчиков – решать новые задачи, связанные с информационной безопасностью и электронной подписью. Мир становится более мобильным, и если вчера большинство документов подписывалось на офисном или домашнем компьютере, то сейчас все чаще для подписания используется мобильное устройство – смартфон или планшет. Курьеры и экспедиторы, врачи, полицейские и спасатели – всем им требуются средства для безопасной работы с документами без каких бы то ни было ограничений места и времени.

Компания "Актив" предлагает целый ряд продуктов, поддерживающих работу на мобильных устройствах, оснащенных ОС iOS, Android и российской мобильной ОС "Аврора":

  • во-первых, это линейка Рутокен ЭЦП 2.0 2100 и 3000 с интерфейсом USB Type-C;
  • во-вторых, обновленный Рутокен Bluetooth с интерфейсом BLE, который не требует предварительного включения и всегда готов к подписанию документов электронной подписью.

Главные новинки Компании "Актив" – дуальные токены и смарт-карты флагманской линейки Рутокен ЭЦП 3.0 NFC. Для взаимодействия с ПК или мобильным устройством эти продукты снабжены двумя интерфейсами: традиционным контактным и бесконтактным с использованием канала NFC. Это позволяет подписывать документы электронной подписью на смартфонах и планшетах, просто прикладывая смарт-карту или токен к считывателю NFC на мобильном устройстве.

Таким образом, электронная подпись становится по-настоящему мобильной: для подписания можно использовать любой смартфон или компьютер, оснащенный NFC, личный либо корпоративный. При этом такая мобильная подпись еще и надежна, ведь ключи электронной подписи хранятся не в облаке, вдали от своего владельца, и не на смартфоне, который не защищен от взлома. Ключи находятся на токене или смарт-карте, а карта – в бумажнике или кармане своего владельца.

Умная ключница Рутокен KeyBox

Еще одной ощутимой тенденцией последних полутора лет на рынке ИБ стало повышение требований по защите доступа к ресурсам сети и рабочим станциям организации, информационным системам, веб и классическим приложениям. С усилением тренда удаленной работы ненадежность парольной аутентификации стала еще очевиднее. В связи с этим Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в своих рекомендациях по обеспечению безопасной удаленной работы рекомендовал выполнять удаленный доступ в сеть организации строго с использованием двухфакторной аутентификации. Рекомендации логичны: злоумышленник может перехватить или подсмотреть пароль, а затем бесконтрольно получать доступ к ИТ-ресурсам предприятия. Причем если во время работы в офисе возможно отследить, кто работает за компьютером, то при удаленной работе подключиться к сети организации может любой злоумышленник.

Наилучшей защитой от кражи пароля является использование двухфакторной аутентификации (2ФА), где первым фактором выступает владение токеном или смарт-картой, а вторым – знание ПИН-кода устройства. Для реализации 2ФА на компьютерах под управлением Microsoft Windows, входящих в домен Active Directory, Компания "Актив" предлагает токены линейки Рутокен ЭЦП 2.0 и информационный продукт Рутокен для Windows, содержащий инструкции по настройке серверной инфраструктуры Windows.

Однако сложность реализации 2ФА в организации заключается в том, что для каждого сотрудника необходимо вести учет выданных токенов, создавать ключи на токене и сертификат в удостоверяющем центре организации. Кроме того, сертификатами нужно управлять, например отзывать в случае утери токена. Для выполнения таких операций высококвалифицированному специалисту ИТ-отдела потребуется ежедневно тратить немалую часть своего рабочего времени.

Эта проблема решается с помощью программного обеспечения Рутокен KeyBox, разработанного для управления ключевыми носителями – токенами и смарткартами Рутокен (предусмотрена поддержка устройств и других производителей), учета СКЗИ, создания ключей и сертификатов электронной подписи, ведения журнала учета действий с ключевыми носителями. Рутокен KeyBox не подменяет собой удостоверяющий центр и службу каталогов, а дополняет их, позволяя упростить выполнение рутинных операций, таких как выдача токена с ключами и сертификатом для нового сотрудника, увольнение сотрудника с возвратом токена на склад и отзывом сертификата, замена токена при утере или временная замена, когда сотрудник забыл ключевой носитель дома.

Рутокен KeyBox будет вести автоматизированный учет СКЗИ в соответствии с нормативными документами. Он позволит управлять политиками присвоения ПИН-кодов устройств, лишая пользователей возможности установить слишком простой ПИН-код (например, короткий или состоящий из одинаковых цифр), который может быть легко подсмотрен злоумышленником. И наконец, Рутокен KeyBox реализует пользовательский интерфейс самообслуживания, который поможет сотрудникам самостоятельно выполнять целый ряд операций, не расходуя время специалистов ИТ-отдела.

Рутокен KeyBox также может быть использован для хранения сертификатов усиленной квалифицированной электронной подписи, выданной сторонним аккредитованным удостоверяющим центром. Например, он будет предупреждать администратора о скором устаревании сертификата и предлагать обратиться в УЦ за новым.

Рутокен Authentication Manager – укрощение аутентификации

Но вернемся к двухфакторной аутентификации. И напомним, что помимо доступа к ПК и сети организации необходимо защищать доступ к корпоративным и SAAS-приложениям, информационным системам и подключение к VPN.

Конечно, теоретически можно попробовать настроить для использования двухфакторной аутентификации каждый компонент ИТ-инфраструктуры по отдельности, но на практике это не всегда возможно реализовать. Разные приложения и системы используют различные способы беспарольной аутентификации. В одном случае в качестве второго фактора может выступать OTP-токен, в другом – Рутокен ЭЦП 2.0. Кроме того, одни системы поддерживают протокол аутентификации OAuth, другие OpenID, третьи – RADIUS. И наконец, устаревшие программы требуют вводить логин и пароль.

Помимо прочего, сложность работы с этим "ИТ-зоопарком" заключается еще и в том, что для каждого сервиса или приложения требуется отдельный пароль.

В масштабе крупного бизнеса, будь то банк или промышленная корпорация, задача представляется сложной и ресурсоемкой. К тому же при использовании различных паролей их необходимо будет записывать, и тут как раз злоумышленник и сможет получить доступ к этим записям. А сделав все пароли одинаковыми, вы упрощаете работу взломщику: достаточно будет один раз перехватить пароль и доступ ко всем сервисам обеспечен.

Гораздо удобнее аутентифицироваться однократно, а дальше автоматически подключаться к необходимым ресурсам, используя различные протоколы и методы аутентификации. К тому же хорошо бы контролировать, кто и когда входил в определенные сервисы. Подобный аудит может помочь при разборе конфликтных ситуаций и расследований в случае инцидентов в сфере информационной безопасности.

Для решения этих проблем предназначен новый продукт для крупных организаций, который Компания "Актив" готова представить рынку, – Рутокен Authentication Manager (Рутокен AM). Принцип его работы прост: пользователь однократно аутентифицируется в Рутокен AM с использованием различных механизмов аутентификации, таких как смарт-карты и криптографические токены Рутокен, OTP-токены, мобильные приложения на смартфонах пользователей, бесконтактные карты для СКУД и биометрия. При этом могут использоваться дополнительные факторы аутентификации, например географическое местоположение пользователя. Далее уже сам Рутокен AM выполняет аутентификацию в тех программах и сервисах, к которым пользователям необходим доступ. Для этого Рутокен AM использует различные протоколы и способы аутентификации, в зависимости от того, с чем умеет работать конкретное приложение: RADIUS, ADFS, SAML, OpenID Connect, OAuth 2.0 и Kerberos. Если же приложение не поддерживает ни один из протоколов, то с помощью агента Enterprise Single Sign-On логин и пароль пользователя могут быть автоматически введены в соответствующие поля формы аутентификации.

Все операции аутентификации пользователей и доступа к приложениям сохраняются в журнале и могут быть использованы впоследствии для расследования инцидентов информационной безопасности.

Таким образом, на базе программных продуктов Рутокен Authentication Manager, Рутокен KeyBox, токенов и смарт-карт Рутокен можно построить систему аутентификации и работы с электронной подписью для организации практически любого масштаба. Рутокен Authentication Manager позволяет использовать самые разнообразные механизмы и средства аутентификации, а новые модели токенов и смарт-карт Рутокен с поддержкой NFC помогают безопасно работать на мобильных рабочих местах.

Темы:СКУДЭЦПЖурнал "Информационная безопасность" №4, 2021

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...