Как избежать рисков BYOD
<br>Интервью с Сергеем Груздевым, генеральным директором компании "Аладдин Р.Д."
Одной из тенденций на сегодняшний день является BYOD (Bring Your Own Device) – использование сотрудниками собственных устройств в рабочих целях. По оценкам Gartner, к 2014 году примерно 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Мобильность сотрудников неизменно растёт за счёт повсеместного использования смартфонов и планшетов, в том числе производства компании Apple. Однако разработчики, пытающиеся адаптировать устройства iPad и iPhone для корпоративного использования и обеспечить легитимность таких бизнес-процессов, сталкиваются со множеством проблем. О том, какие существуют способы их решения, мы беседуем с Сергеем Груздевым, Генеральным директором компании "Аладдин Р.Д.".
- Какие существуют сложности при использовании общепринятых механизмов защиты корпоративной информации на устройствах под управлением iOS?
Сергей Груздев: Во-первых, это закрытость платформы iOS. У Apple есть два типа комплектов разработчика: общий - для создания разнообразных приложений и SDK нижнего, «системного» уровня, позволяющий реализовать функционал на уровне ОС, работать с аппаратной составляющей, обращаться к файлам, SIM-карте и коммуникационным порталам напрямую. Его корпорация Apple предоставляет только ограниченному кругу компаний-партнёров.
Вторая проблема – это отсутствие USB-портов, к ко торым подключаются электронные ключи. Существуют переходники типа "Apple Dock to USB", но полноценно работать с электронным ключом с их помощью нельзя.
Наконец, разработчики сталкиваются с архитектур ными ограничениями iOS (монолитность и изолиро ванность приложений), политикой Apple в отношении публикации в AppStore приложений, реализующих крип тографические алгоритмы, а также законодательными ограничениями РФ на экспорт криптографии.
Нам видится правильным подход, при котором крип тография реализована на смарт-карте, подключаемой к iPad или iPhone с помощью совместимого с ней считы вателя. "Аладдин Р.Д." предлагает такое устройство: оно подключается к iPad/iPhone через разъём Apple Dock. Дополнительно считыватель имеет microUSB-разъём и может быть подключен к рабочему компьютеру (Win/ Mac/Linux) как обычный CCID-совместимый считыва тель, не требующий установки драйверов.
Вторая часть решения – это смарт-карты. Мы предла гаем несколько моделей для различных задач.
Во-первых, это PKI-карты для корпоративных пользо вателей, обеспечивающие вход в домен, работу с УЦ, хранение ключевых контейнеров на карте и т.д. Опцио нально на аппаратном уровне может быть реализова на электронная подпись (ЭП). Карты сертифицированы ФСБ России по классу КС2.
- Существуют ли другие востребованные
направления, которые Вы поддерживаете?
Сергей Груздев: Да, конечно. К примеру, электронные
удостоверения сотрудников (ID-карты). Следует отметить,
что среди крупных компаний в последнее время набирает
все большую популярность тенденция к созданию едино
го электронного удостоверения сотрудника, сочетающего
в себе функционал зарплатной карты, средства для аутен
тификации в домене, средства формирования электрон
ной подписи для электронных сервисов и создания юри
дически значимого электронного документооборота.
- Какова причина развития этой тенденции?
Сергей Груздев: Согласно многочисленным исследова
ниям, источником примерно 74% финансовых потерь ком
паний является "человеческий фактор". При этом большая
часть из них, около 55%, – это результат деятельности со
трудников, которые, будучи вполне лояльными к компании,
иногда не понимают, не знают или просто пренебрегают
элементарными рекомендациями по безопасности.
Примерно в 19% случаев потери вызваны действиями нелояльных или "обиженных" сотрудников. Применение смарт-карт позволяет фиксировать действия пользовате ля в корпоративной ИТ-системе и предлагает инструмен тарий, позволяющий понять и доказать вину конкретного человека в произошедшем инциденте. Таким образом, одно из основных преимуществ, которое дают компаниям единые электронные удостоверения – минимизация воз действия «человеческого фактора». Остальные причины потерь распределены по частотности следующим обра зом: 2% – внешние нападения, 4% – вирусы, 20% – про блемы электропитания и форс-мажорные обстоятельства.
- Каким на сегодня является функционал ID-карты?
Сергей Груздев: Первостепенная функция электронного
удостоверения сотрудника – электронный пропуск (доступ
в помещения, на парковку и пр.). Для этого на карточке
размещается RFID-метка. В некоторых компаниях исполь
зуются различные системы СКУД (системы контроля и
управления доступом), особенно в условиях расширения
и аренды новых зданий под офис. В таком случае в карту
имплантируются сразу несколько меток (до двух), что по
зволяет создать единый пропуск для различных объектов.
Функциональность современных СКУД позволяет интегрировать в карту правила доступа к информаци онным системам, что необходимо для работы с критиче скими данными. Например, сотрудник может получить доступ к процессингу, только если он легально прошел на территорию предприятия, не находится в это время отпуске и осуществляет доступ в рабочее время.
В числе не менее важных возможностей карты (элек тронного удостоверения сотрудников) при работе со СКУД – контроль перемещения и быстрый поиск сотрудников на территории предприятия, а также визуальная иденти фикация по фотографии на карте. RFID-метка, интегриро ванная в карту, может использоваться для льготного или бесплатного проезда на транспорте (в метро, пригород ных поездах и т.п.) и доступа на социальные объекты.
Вторая сторона функциональности электронного удостоверения сотрудника – надёжная двух- или трёх факторная аутентификация в корпоративной сети для получения безопасного доступа к информационным ре сурсам предприятия (PKI). Карта обеспечивает единый доступ к различным ресурсам и приложениям, в том числе, с разных устройств. Это исключает необходимость использования сотрудником множества различных ло гинов и паролей к устройствам, а также использования различающихся систем доступа к ним.
Новая возможность карт – биометрическая аутентификация пользователей.
- Когда и для чего это нужно?
Сергей Груздев: Во-первых, это наиболее эффективное
решение задачи неотчуждаемости карты от владельца.
В отсутствие сотрудника злоумышленник, даже владея картой и зная пароль, не сможет ею воспользоваться, т.е.
«биометрия» используется как третий фактор аутентифи
кации при доступе к критическим данным. Во-вторых,
"биометрия" может выступать в качестве пароля к самой
карте, обеспечивая еще большее удобство работы.
Набирают популярность проекты по интеграции элек тронного удостоверения с зарплатной картой сотрудни ка. Помимо очевидных преимуществ, это обеспечивает неотчуждаемость карты, поскольку передача банков ской карты с PIN-кодом третьему лицу обычно вызывает у владельца вполне разумные опасения.
Совмещая собственную функциональность с привычными возможностями смарт-карты, единое электронное удостове рение сотрудника может выступать в качестве средства фор мирования усиленной/квалифицированной электронной подписи (ЭП) в системах корпоративного документооборота и безопасного доступа к корпоративным порталам.
Домашний компьютер пользователя является недо веренной средой, в которой для безопасной работы с электронной подписью необходим защищенный терми нал с функцией визуализации, позволяющей пользова телю видеть все значимые поля платёжного документа. Другой способ решения проблемы – это SIM-карта с электронной подписью. В качестве средства визуали зации в данном случае выступает мобильный телефон. Пользователь подписывает платёжный документ, но из соображений безопасности непосредственно на ком пьютере ничего не происходит. Документ отправляется на портал, оттуда оператору связи, и от него через тех нологический канал USSD пользователю на SIM-карту приходит пакет, в котором содержатся все необходимые данные о платеже. Только после этого транзакция может быть подтверждена или отменена.
Благодаря простоте и удобству, а также широкой функ циональности, сочетающей в себе возможности СКУД, платёжной и смарт-карты, единое электронное удосто верение сотрудника имеет все шансы стать новым стан дартом на корпоративном рынке.
- Что представляют собой комбинированные
международные платёжные карты?
Сергей Груздев: Благодаря успешной реализации
платёжных приложений MasterCard и Visa на нашем чипе,
мы создали комбинированную платёжную карту с аппарат
ной реализацией российской криптографии, сертифициро
ванной ФСБ России. Карту можно использовать для рабо
ты с "облачными" сервисами, портальными системами, для
аутентификации, цифровой подписи, обеспечения юриди
ческой значимости электронного документооборота и пр.
Мы уверены, что наше решение будет востребовано,
и в первую очередь, корпоративными пользователями
iPhone и iPad, т.к. оно позволяет решить множество про
блем и минимизировать риски BYOD.
Наши карты также поддерживают технологию строгой взаимной двухфакторной аутен тификации и квалифицированной электронной подписи для Web-порталов и облачных сервисов. Особенности технологии:
- строгая: с доказательством того, что пользователь действительно является тем, кем представляется системе, и может это доказать с использованием ЭП;
- двухфакторная: аутентификация производится по двум факторам – владения токеном и знания пароля;
- взаимная: пользователь и сервер доказывают, что являются именно теми, за кого себя выдают. Аутентификация происходит с использованием электронной подписи. При подключении к серверу пользователь устанавливает SSL-соединение по серверному сертификату и скачивает плагин по защищенному каналу. Карта генерирует случайное число, подписывает его и отправляет серверу. Сервер удостоверяет, что подпись валидна, генерирует свое число, подписывает, передает пользователю. В свою очередь пользователь проверяет и удостоверяется, что подпись сервера корректна (так называемый "принцип рукопожатия" – handshaking: пользователь и сервер удостоверились, что между ними нет третьего лица).