Как избежать рисков BYOD

Одной из тенденций на сегодняшний день является BYOD (Bring Your Own Device) – использование сотрудниками собственных устройств в рабочих целях. По оценкам Gartner, к 2014 году примерно 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Мобильность сотрудников неизменно растёт за счёт повсеместного использования смартфонов и планшетов, в том числе производства компании Apple. Однако разработчики, пытающиеся адаптировать устройства iPad и iPhone для корпоративного использования и обеспечить легитимность таких бизнес-процессов, сталкиваются со множеством проблем. О том, какие существуют способы их решения, мы беседуем с Сергеем Груздевым, Генеральным директором компании "Аладдин Р.Д.".

- Какие существуют сложности при использовании общепринятых механизмов защиты корпоративной информации на устройствах под управлением iOS?
Сергей Груздев: Во-первых, это закрытость платформы iOS. У Apple есть два типа комплектов разработчика: общий - для создания разнообразных приложений и SDK нижнего, «системного» уровня, позволяющий реализовать функционал на уровне ОС, работать с аппаратной составляющей, обращаться к файлам, SIM-карте и коммуникационным порталам напрямую. Его корпорация Apple предоставляет только ограниченному кругу компаний-партнёров.

Вторая проблема – это отсутствие USB-портов, к ко торым подключаются электронные ключи. Существуют переходники типа "Apple Dock to USB", но полноценно работать с электронным ключом с их помощью нельзя.

Наконец, разработчики сталкиваются с архитектур ными ограничениями iOS (монолитность и изолиро ванность приложений), политикой Apple в отношении публикации в AppStore приложений, реализующих крип тографические алгоритмы, а также законодательными ограничениями РФ на экспорт криптографии.

Нам видится правильным подход, при котором крип тография реализована на смарт-карте, подключаемой к iPad или iPhone с помощью совместимого с ней считы вателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъём Apple Dock. Дополнительно считыватель имеет microUSB-разъём и может быть подключен к рабочему компьютеру (Win/ Mac/Linux) как обычный CCID-совместимый считыва тель, не требующий установки драйверов.

Вторая часть решения – это смарт-карты. Мы предла гаем несколько моделей для различных задач.

Во-первых, это PKI-карты для корпоративных пользо вателей, обеспечивающие вход в домен, работу с УЦ, хранение ключевых контейнеров на карте и т.д. Опцио нально на аппаратном уровне может быть реализова на электронная подпись (ЭП). Карты сертифицированы ФСБ России по классу КС2.

- Существуют ли другие востребованные направления, которые Вы поддерживаете?
Сергей Груздев: Да, конечно. К примеру, электронные удостоверения сотрудников (ID-карты). Следует отметить, что среди крупных компаний в последнее время набирает все большую популярность тенденция к созданию едино го электронного удостоверения сотрудника, сочетающего в себе функционал зарплатной карты, средства для аутен тификации в домене, средства формирования электрон ной подписи для электронных сервисов и создания юри дически значимого электронного документооборота.

- Какова причина развития этой тенденции?
Сергей Груздев: Согласно многочисленным исследова ниям, источником примерно 74% финансовых потерь ком паний является "человеческий фактор". При этом большая часть из них, около 55%, – это результат деятельности со трудников, которые, будучи вполне лояльными к компании, иногда не понимают, не знают или просто пренебрегают элементарными рекомендациями по безопасности.

Примерно в 19% случаев потери вызваны действиями нелояльных или "обиженных" сотрудников. Применение смарт-карт позволяет фиксировать действия пользовате ля в корпоративной ИТ-системе и предлагает инструмен тарий, позволяющий понять и доказать вину конкретного человека в произошедшем инциденте. Таким образом, одно из основных преимуществ, которое дают компаниям единые электронные удостоверения – минимизация воз действия «человеческого фактора». Остальные причины потерь распределены по частотности следующим обра зом: 2% – внешние нападения, 4% – вирусы, 20% – про блемы электропитания и форс-мажорные обстоятельства.

- Каким на сегодня является функционал ID-карты?
Сергей Груздев: Первостепенная функция электронного удостоверения сотрудника – электронный пропуск (доступ в помещения, на парковку и пр.). Для этого на карточке размещается RFID-метка. В некоторых компаниях исполь зуются различные системы СКУД (системы контроля и управления доступом), особенно в условиях расширения и аренды новых зданий под офис. В таком случае в карту имплантируются сразу несколько меток (до двух), что по зволяет создать единый пропуск для различных объектов.

Функциональность современных СКУД позволяет интегрировать в карту правила доступа к информаци онным системам, что необходимо для работы с критиче скими данными. Например, сотрудник может получить доступ к процессингу, только если он легально прошел на территорию предприятия, не находится в это время отпуске и осуществляет доступ в рабочее время.

В числе не менее важных возможностей карты (элек тронного удостоверения сотрудников) при работе со СКУД – контроль перемещения и быстрый поиск сотрудников на территории предприятия, а также визуальная иденти фикация по фотографии на карте. RFID-метка, интегриро ванная в карту, может использоваться для льготного или бесплатного проезда на транспорте (в метро, пригород ных поездах и т.п.) и доступа на социальные объекты.

Вторая сторона функциональности электронного удостоверения сотрудника – надёжная двух- или трёх факторная аутентификация в корпоративной сети для получения безопасного доступа к информационным ре сурсам предприятия (PKI). Карта обеспечивает единый доступ к различным ресурсам и приложениям, в том числе, с разных устройств. Это исключает необходимость использования сотрудником множества различных ло гинов и паролей к устройствам, а также использования различающихся систем доступа к ним.

Новая возможность карт – биометрическая аутентификация пользователей.

- Когда и для чего это нужно?
Сергей Груздев: Во-первых, это наиболее эффективное решение задачи неотчуждаемости карты от владельца. В отсутствие сотрудника злоумышленник, даже владея картой и зная пароль, не сможет ею воспользоваться, т.е. «биометрия» используется как третий фактор аутентифи кации при доступе к критическим данным. Во-вторых, "биометрия" может выступать в качестве пароля к самой карте, обеспечивая еще большее удобство работы.

Набирают популярность проекты по интеграции элек тронного удостоверения с зарплатной картой сотрудни ка. Помимо очевидных преимуществ, это обеспечивает неотчуждаемость карты, поскольку передача банков ской карты с PIN-кодом третьему лицу обычно вызывает у владельца вполне разумные опасения.

Совмещая собственную функциональность с привычными возможностями смарт-карты, единое электронное удостове рение сотрудника может выступать в качестве средства фор мирования усиленной/квалифицированной электронной подписи (ЭП) в системах корпоративного документооборота и безопасного доступа к корпоративным порталам.

Домашний компьютер пользователя является недо веренной средой, в которой для безопасной работы с электронной подписью необходим защищенный терми нал с функцией визуализации, позволяющей пользова телю видеть все значимые поля платёжного документа. Другой способ решения проблемы – это SIM-карта с электронной подписью. В качестве средства визуали зации в данном случае выступает мобильный телефон. Пользователь подписывает платёжный документ, но из соображений безопасности непосредственно на ком пьютере ничего не происходит. Документ отправляется на портал, оттуда оператору связи, и от него через тех нологический канал USSD пользователю на SIM-карту приходит пакет, в котором содержатся все необходимые данные о платеже. Только после этого транзакция может быть подтверждена или отменена.

Благодаря простоте и удобству, а также широкой функ циональности, сочетающей в себе возможности СКУД, платёжной и смарт-карты, единое электронное удосто верение сотрудника имеет все шансы стать новым стан дартом на корпоративном рынке.

- Что представляют собой комбинированные международные платёжные карты?
Сергей Груздев: Благодаря успешной реализации платёжных приложений MasterCard и Visa на нашем чипе, мы создали комбинированную платёжную карту с аппарат ной реализацией российской криптографии, сертифициро ванной ФСБ России. Карту можно использовать для рабо ты с "облачными" сервисами, портальными системами, для аутентификации, цифровой подписи, обеспечения юриди ческой значимости электронного документооборота и пр. Мы уверены, что наше решение будет востребовано, и в первую очередь, корпоративными пользователями iPhone и iPad, т.к. оно позволяет решить множество про блем и минимизировать риски BYOD.

Наши карты также поддерживают технологию строгой взаимной двухфакторной аутен тификации и квалифицированной электронной подписи для Web-порталов и облачных сервисов. Особенности технологии:

• строгая: с доказательством того, что пользователь действительно является тем, кем представляется системе, и может это доказать с использованием ЭП;
• двухфакторная: аутентификация производится по двум факторам – владения токеном и знания пароля;
• взаимная: пользователь и сервер доказывают, что являются именно теми, за кого себя выдают. Аутентификация происходит с использованием электронной подписи. При подключении к серверу пользователь устанавливает SSL-соединение по серверному сертификату и скачивает плагин по защищенному каналу. Карта генерирует случайное число, подписывает его и отправляет серверу. Сервер удостоверяет, что подпись валидна, генерирует свое число, подписывает, передает пользователю. В свою очередь пользователь проверяет и удостоверяется, что подпись сервера корректна (так называемый "принцип рукопожатия" – handshaking: пользователь и сервер удостоверились, что между ними нет третьего лица).