Шифрование, смарт-карты и биометрия: как разработчики средств ИБ ответили на вызовы «удаленки».
Самоизоляция фактически создала целый рынок продуктов для организации безопасной удаленной работы. Российские разработчики средств информационной безопасности нарастили свои производственные мощности, чтобы удовлетворить возросшую потребность клиентов в защите удаленного подключения, а также активно включились в разработку новых удобных продуктов для безопасной удаленной работы.
Конечно, элементы подобных решений существовали и ранее - инструменты для удаленного подключения к рабочим местам, VPN-системы для шифрования всех коммуникаций, терминальное оборудование для работы в архитектуре «клиент-сервер», решения для контроля мобильных устройств MDM и многое другое. Многие перечисленные классы продуктов производились и российскими компаниями. Однако когда потребовалось организовать для работников удаленное рабочее место, то оказалось, что готовых комплексных решений, которые можно в течение нескольких дней раздать сотрудникам, просто нет. Поэтому возникли различные временные схемы дистанционного подключения через облачные сервисы с теми или иными мерами защиты. Но уже через несколько месяцев появились решения, которые помогали быстро и с соблюдением максимальных требований по безопасности перевести сотрудников на удаленную работу. Понятно, что такие решения могли быть только российскими, поскольку торговые отношения между странами также притормозились.
Критическая ИТ-инфраструктура
Наиболее подробно требования к защите удаленного рабочего места были сформулированы в письме ФСТЭК за № 240/84/389 от 20 марта этого года. В нем регулятор в области защиты критической информационной инфраструктуры (КИИ) описал требования к удаленной работе и защите удаленного доступа к объектам КИИ. В частности, вторым пунктом перечня предлагаемых мер оказалось требование предоставить всем сотрудникам, которые будут удаленно работать с объектами КИИ корпоративных устройств. Четко было сказано следующее: "Для удаленного доступа не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники". Эти требования подхлестнули развитие самых разнообразных решений для организации удаленного доступа к наиболее "тяжелым" системам - объектам КИИ, ГИС и другим, где есть повышенные требования по защите.
Для организации подобного удаленного доступа, в том числе и к системам с высокими требованиями по защите, были разработаны продукты для доверенной загрузки операционных систем Linux или Android. Например, компания Aladdin RD предлагает доверенную платформу TSM для создания устройств на базе ARM-процессоров, которые сейчас начинают активно продвигаться в том числе и на российском рынке. В этом программном решении реализована аутентификация пользователя, которая выполняется еще до загрузки операционной системы, поддержка российских алгоритмов шифрования и централизованное управление ключами шифрования. В частности, на базе TSM уже выпущен российский промышленный планшет ОНИКС08 - его производителем является компания ЗАО «НПФ «Доломант». Также получено подтверждение совместимости TSM с процессорными модулями компании STARTERKIT и Axiomtek. В целом появление такой программной платформы как TSM, которая объединяет в себе все необходимые элементы для создания защищенных устройств, поможет российским производителям создавать на базе нее защищенные ИТ-решения, которые можно использовать как терминальное оборудование для защищенного удаленного доступа к объектам КИИ, так и как промышленное оборудование, к которому выполняется удаленный доступ сотрудников. Скорее всего, потребность в подобных защищенных решениях по мере осознания неизбежности удаленной работы будет только увеличиваться.
Также над своими продуктами во время пандемии активно работала российская компания "Код безопасности". В частности, она выпустила новую версию своего решения "Континент АП" 4, которая позволяет быстро организовать удаленный доступ сотрудников к корпоративной инфраструктуре по зашифрованному каналу связи. Для этого к корпоративному шлюзу подключается сервер "Континента", доступ к которому организуется с помощью специальных программных клиентов, которые уже разработаны для наиболее популярных операционных систем Windows, Linux, Android, iOS и даже ОС "Аврора".
Такое решение можно использовать как для удаленного доступа к объектам КИИ, так и для организации защищенных мобильных рабочих мест сотрудников на операционных системах Android, iOS и "Аврора". Решение позволяет обеспечить практически такой же уровень защиты для удаленных рабочих мест, как и в корпоративной сети, поскольку все взаимодействие с Интернетом в случае установки соответствующего клиента будет организовано через корпоративный шлюз "Континента". Для надежной аутентификации компания предлагает использовать смарт-карты "Рутокен" российской компании "Актив", совместимость которых недавно была подтверждена специальными испытаниями.
Однако для удаленной работы привилегированных пользователей, таких как системные администраторы или специалисты служб информационной безопасности, необходимо предусмотреть более высокий уровень аутентификации, чем просто по паролю или даже по одноразовым SMS, пересылаемым на телефон. В этом случае стоит рассмотреть возможность использования биометрической идентификации, например, по отпечатку пальца или рисунку вен ладони. Считыватель отпечатков пальца уже встроен в наиболее продвинутые мобильные телефоны, однако их можно использовать и для аутентификации при входе в корпоративную сеть. В частности, российская компания BioSmart производит подобные периферийные устройства в виде USB-периферии. У них есть два устройства для сканирования отпечатков пальцев и одно - для распознавания вен ладони. Последнее, как оказалось, более надежно позволяет аутентифицировать человека, поскольку вены защищены от деформации, они практически не меняются и их рисунки более уникальны. Во время пандемии компания даже разработала решение, совмещенное со сканером температуры человека. Это было сделано для системы СКУД, чтобы не допускать в офис сотрудников с повышенной температурой, как того требует Роспотребнадзор.
Скорее всего, использование биометрических систем аутентификации будет в дальнейшем развиваться, поскольку аутентификация удаленных пользователей по паролям ненадежна, и хакеры постоянно придумывают актуальные способы выманивания паролей у незадачливых сотрудников, что позволяет им вломиться внутрь защищенного периметра предприятия. Двухфакторная и многофакторная аутентификация позволяет сделать бесполезными 99% фишинговых атак - а это наиболее массовая угроза во время пандемии. Тем более, для аутентификации привилегированных пользователей и руководства лучше перестраховаться и использовать дополнительный компонент защиты в виде биометрического датчика. Впрочем, сейчас активно развиваются решения для контроля удаленной работы пользователей с помощью распознавания видео - такие решения, которые позволяют не только идентифицировать сотрудников по лицу, но и контролировать время его присутствия на рабочем месте и даже фиксировать экран компьютера для того, чтобы оценить, чем именно он занимается. Такие решения сейчас разрабатываются, но, возможно, популярными они станут только в будущем, когда выбор между удаленной работой и офисной встанет еще острее.
Заключение
Сейчас еще полностью не сформировался набор компонент для защиты удаленной работы и готовые решения еще полностью не сформированы. Да, есть защита коммуникаций с помощью VPN, есть доверенная загрузка операционных систем с контролем целостности всех компонент, есть терминальные технологии для удаленного подключения к корпоративным компьютерам или виртуальным рабочим столам VDI, есть решения для контроля мобильных устройств MDM, есть системы биометрической и многофакторной аутентификации пользователей, а также много других компонент для защиты удаленной работы.
Однако пока не сформировали готовые решения, где все компоненты проверены на работоспособность друг с другом, управляются из единого центра и позволяют комплексно защитить от максимального числа угроз при удаленной работе, да к тому же используют российские алгоритмы шифрования. Скорее всего, в самое ближайшее время подобные комплексные продукты будут сформированы, и мы увидим создание нового рынка средств защиты - комплексные решения для удаленной работы, где прямо из коробки или после загрузки специального образа будут установлены все необходимые для работы компоненты. Такие решения будут являться своеобразным иммунным ответом на общественные потрясения, наподобие пандемии коронавируса.
Подготовил Валерий Коржов