Единое электронное удостоверение сотрудника
Статья Алексея Александрова, руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."
В последнее время среди крупных компаний набирает все большую популярность тенденция к созданию единого электронного удостоверения сотрудника, сочетающего в себе функционал зарплатной карты, средства для аутентификации в домене, средства формирования электронной подписи для электронных сервисов и создания юридически значимого электронного документооборота.
Какова причина развития этой тенденции? Согласно многочисленным исследованиям, источником примерно 74% финансовых потерь компаний является "человеческий фактор". При этом большая часть из них, около 55%, – это результат деятельности сотрудников, которые, будучи вполне лояльными к компании, иногда не понимают, не знают или просто пренебрегают элементарными рекомендациями по безопасности.
Примерно в 19% случаев потери вызваны действиями нелояльных или "обиженных" сотрудников. Применение смарт-карт позволяет фиксировать действия пользователя в корпоративной ИТ-системе и предлагает инструментарий, позволяющий понять и доказать вину конкретного человека в произошедшем инциденте. Таким образом, одно из основных преимуществ, которое дают компаниям единые электронные удостоверения – минимизация "человеческого фактора". Остальные причины потерь распределены по частотности следующим образом: 2% – внешние нападения, 4% – вирусы, 20% – проблемы электропитания и форс-мажорные обстоятельства.
Первостепенная функция электронного удостоверения сотрудника – электронный пропуск (доступ в помещения, на парковку и пр.). Для этого на карточке размещается RFID-метка. В некоторых компаниях используются различные системы СКУД (системы контроля и управления доступом), особенно в условиях расширения и аренды новых зданий под офис. В таком случае в карту имплантируются сразу несколько меток (до двух), что позволяет создать единый пропуск для различных объектов.
Функциональность современных СКУД позволяет интегрировать в карту правила доступа к информационным системам, что необходимо для работы с критическими данными. Например, сотрудник может получить доступ к процессингу, только если он легально прошел на территорию предприятия, не находится в это время отпуске и осуществляет доступ в рабочее время.
В числе не менее важных возможностей карты (электронного удостоверения сотрудников) при работе со СКУД – контроль перемещения и быстрый поиск сотрудников на территории предприятия, а также визуальная идентификация по фотографии на карте. RFID-метка, интегрированная в карту, может использоваться для льготного или бесплатного проезда на транспорте (в метро, пригородных поездах и т.п.) и доступа на социальные объекты.
Вторая сторона функциональности электронного удостоверения сотрудника – надёжная двух- или трёхфакторная аутентификация в корпоративной сети для получения безопасного доступа к информационным ресурсам предприятия (PKI). Карта обеспечивает единый доступ к различным ресурсам и приложениям, в том числе и с разных устройств. Это исключает необходимость использования сотрудником множества различных логинов и паролей к устройствам, а также использования различающихся систем доступа к ним.
Новая возможность карт – биометрическая аутентификация пользователей. Когда и для чего это нужно? Во-первых, это наиболее эффективное решение задачи неотчуждаемости карты от владельца. В отсутствие сотрудника злоумышленник, даже владея картой и зная пароль, не сможет ею воспользоваться, т.е. "биометрия" используется как третий фактор аутентификации при доступе к критическим данным. Во-вторых, "биометрия" может выступать в качестве пароля к самой карте, обеспечивая еще большее удобство работы.
Набирают популярность проекты по интеграции электронного удостоверения с зарплатной картой сотрудника. Помимо очевидных преимуществ, это обеспечивает неотчуждаемость карты, поскольку передача банковской карты с PIN-кодом третьему лицу обычно вызывает у владельца вполне разумные опасения.
Совмещая собственную функциональность с привычными возможностями смарт-карты, единое электронное удостоверение сотрудника может выступать в качестве средства формирования усиленной/квалифицированной электронной подписи (ЭП) в системах корпоративного документооборота и безопасного доступа к корпоративным порталам.
Наши карты также поддерживают технологию строгой взаимной двухфакторной аутентификации и квалифицированной электронной подписи для Web-порталов и облачных сервисов. Остановимся подробнее на особенностях технологии:
- строгая: с доказательством того, что пользователь действительно является тем, кем представляется системе, и может это доказать с использованием ЭП;
- двухфакторная: аутентификация производится по двум факторам – владения токеном и знания пароля;
- взаимная: пользователь и сервер доказывают, что являются именно теми, за кого себя выдают. Аутентификация происходит с использованием электронной подписи. При подключении к серверу пользователь устанавливает SSL-соединение по серверному сертификату и скачивает плагин по защищенному каналу. Карта генерирует случайное число, подписывает его и отправляет серверу. Сервер удостоверяет, что подпись валидна, генерирует свое число, подписывает, передает пользователю. В свою очередь пользователь проверяет и удостоверяется, что подпись сервера корректна (так называемый "принцип рукопожатия" – handshaking: пользователь и сервер удостоверились, что между ними нет третьего лица).
Домашний компьютер пользователя является недоверенной средой, в которой для безопасной работы с электронной подписью необходим защищенный терминал с функцией визуализации, позволяющей пользователю видеть все значимые поля платёжного документа. Другой способ решения проблемы – это SIM-карта с электронной подписью. В качестве средства визуализации в данном случае выступает мобильный телефон. Пользователь подписывает платёжный документ, но из соображений безопасности непосредственно на компьютере ничего не происходит. Документ отправляется на портал, оттуда оператору связи, и от него через технологический канал USSD пользователю на SIM-карту приходит пакет, в котором содержатся все необходимые данные о платеже. Только после этого транзакция может быть подтверждена или отменена.
Благодаря простоте и удобству, а также широкой функциональности, сочетающей в себе возможности СКУД, платёжной и смарт-карты, единое электронное удостоверение сотрудника имеет все шансы стать новым стандартом на корпоративном рынке.