24.12.2012

Единое электронное удостоверение сотрудника

Anti-Malware, декабрь, 2012<br>
Статья Алексея Александрова, руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."

В последнее время среди крупных компаний набирает все большую популярность тенденция к созданию единого электронного удостоверения сотрудника, сочетающего в себе функционал зарплатной карты, средства для аутентификации в домене, средства формирования электронной подписи для электронных сервисов и создания юридически значимого электронного  документооборота.

Какова причина развития этой тенденции? Согласно многочисленным исследованиям, источником примерно 74% финансовых потерь компаний является "человеческий фактор". При этом большая часть из них, около 55%, – это результат деятельности сотрудников, которые, будучи вполне лояльными к компании, иногда не понимают, не знают или просто пренебрегают элементарными рекомендациями по безопасности.

Примерно в 19% случаев потери вызваны действиями нелояльных или "обиженных" сотрудников. Применение смарт-карт позволяет фиксировать действия пользователя в корпоративной ИТ-системе и предлагает инструментарий, позволяющий понять и доказать вину конкретного человека в произошедшем инциденте. Таким образом, одно из основных преимуществ, которое дают компаниям единые электронные удостоверения  – минимизация "человеческого фактора". Остальные причины потерь распределены по частотности следующим образом: 2% – внешние нападения, 4% – вирусы, 20% – проблемы электропитания и форс-мажорные обстоятельства.

Первостепенная функция электронного удостоверения сотрудника – электронный пропуск (доступ в помещения, на парковку и пр.). Для этого на карточке размещается RFID-метка. В некоторых компаниях используются различные системы СКУД (системы контроля и управления доступом), особенно в условиях расширения и аренды новых зданий под офис. В таком случае в карту имплантируются сразу несколько меток (до двух), что позволяет создать единый пропуск для различных объектов.

Функциональность современных СКУД позволяет интегрировать в карту правила доступа к информационным системам, что необходимо для работы с критическими данными. Например, сотрудник может получить доступ к процессингу, только если он легально прошел на территорию предприятия, не находится в это время отпуске и осуществляет доступ в рабочее время.

В числе не менее важных возможностей карты (электронного удостоверения сотрудников) при работе со СКУД – контроль перемещения и быстрый поиск сотрудников на территории предприятия, а также визуальная идентификация по фотографии на карте. RFID-метка, интегрированная в карту, может использоваться для льготного или бесплатного проезда на транспорте (в метро, пригородных поездах и т.п.) и доступа на социальные объекты.

Вторая сторона функциональности электронного удостоверения сотрудника – надёжная двух- или трёхфакторная аутентификация в корпоративной сети для получения безопасного доступа к информационным ресурсам предприятия (PKI). Карта обеспечивает единый доступ к различным ресурсам и приложениям, в том числе и с разных устройств. Это исключает необходимость использования сотрудником множества различных логинов и паролей к устройствам, а также использования различающихся систем доступа к ним.

Новая возможность карт – биометрическая аутентификация пользователей. Когда и для чего это нужно? Во-первых, это наиболее эффективное решение задачи неотчуждаемости карты от владельца. В отсутствие сотрудника злоумышленник, даже владея картой и зная пароль, не сможет ею воспользоваться, т.е. "биометрия" используется как третий фактор аутентификации при доступе к критическим данным. Во-вторых, "биометрия" может выступать в качестве пароля к самой карте, обеспечивая еще большее удобство работы.

Набирают популярность проекты по интеграции электронного удостоверения с зарплатной картой сотрудника. Помимо очевидных преимуществ, это обеспечивает неотчуждаемость карты, поскольку передача банковской карты с PIN-кодом третьему лицу обычно вызывает у владельца вполне разумные опасения.

Совмещая собственную функциональность с привычными возможностями смарт-карты, единое электронное удостоверение сотрудника может выступать в качестве средства формирования усиленной/квалифицированной электронной подписи (ЭП) в системах корпоративного документооборота и безопасного доступа к корпоративным порталам.

Наши карты также поддерживают технологию строгой взаимной двухфакторной аутентификации и квалифицированной электронной подписи для Web-порталов и облачных сервисов. Остановимся подробнее на особенностях технологии:

  • строгая: с доказательством того, что пользователь действительно является тем, кем представляется системе, и может это доказать с использованием ЭП;
  • двухфакторная: аутентификация производится по двум факторам – владения токеном и знания пароля;
  • взаимная: пользователь и сервер доказывают, что являются именно теми, за кого себя выдают. Аутентификация происходит с использованием электронной подписи. При подключении к серверу пользователь устанавливает SSL-соединение по серверному сертификату и скачивает плагин по защищенному каналу. Карта генерирует случайное число, подписывает его и отправляет серверу. Сервер удостоверяет, что подпись валидна, генерирует свое число, подписывает, передает пользователю. В свою очередь пользователь проверяет и удостоверяется, что подпись сервера корректна (так называемый "принцип рукопожатия" – handshaking: пользователь и сервер удостоверились, что между ними нет третьего лица).

Домашний компьютер пользователя является недоверенной средой, в которой для безопасной работы с электронной подписью необходим защищенный терминал с функцией визуализации, позволяющей пользователю видеть все значимые поля платёжного документа. Другой способ решения проблемы – это SIM-карта с электронной подписью. В качестве средства визуализации в данном случае выступает мобильный телефон. Пользователь подписывает платёжный документ, но из соображений безопасности непосредственно на компьютере ничего не происходит. Документ отправляется на портал, оттуда оператору связи, и от него через технологический канал USSD пользователю на SIM-карту приходит пакет, в котором содержатся все необходимые данные о платеже. Только после этого транзакция может быть подтверждена или отменена.

Благодаря простоте и удобству, а также широкой функциональности, сочетающей в себе возможности СКУД, платёжной и смарт-карты, единое электронное удостоверение сотрудника имеет все шансы стать новым стандартом на корпоративном рынке.