28.10.2004

Между корпоративным ресурсом и пользователем

PC Week, №39/2004, Александр Евангели

Ассоциация защиты информации и компания Aladdin провели конференцию "Обеспечение безопасного доступа к корпоративным ресурсам". Актуальность проблемы безопасного доступа собрала  вместе представителей регулирующих органов, международных ИТ-компаний (Aladdin, Cisco, Hewlett-Packard, Microsoft, Oracle, SAP Consult C.I.S.), ведущих отечественных разработчиков и системных интеграторов. Более 40% выступлений касались аутентификации. Конференцию посетило более 300 представителей государственных и коммерческих структур не только России, но и Украины, Белоруссии и Казахстана. Ассоциация защиты информации обеспечила участие в конференции признанных экспертов в области защиты данных и ИС.

На фоне прошлогодней конференции по безопасности, проведенной конкурирующей с Aladdin компанией Rainbow Technologies, можно отметить тенденцию, о существовании которой нынешний форум дает повод и основание говорить.

Безопасность прошлого года с ее приоритетами — усилением периметра, жестким экранированием, параноидальным предупреждением и обнаружением вторжений (часто ложных) и прочими атрибутами "силовой" стратегии — не то чтобы отошла на второй план, но в значительной степени исчерпала свой инновационный ресурс. Все, что можно реализовать в этом направлении, — уже не предмет дискуссии, а просто вопрос техники, и его решение вполне понятно грамотному специалисту.

Вместе с тем эшелонированная защита периметра не решает, как выяснилось, проблему несанкционированного доступа к корпоративной информации и проблему информационной безопасности (ИБ) в широком смысле. Базы данных крупнейших операторов связи, ГТК, ГИБДД продаются с рук и предлагаются по электронной почте, со счетов банков незаконно списываются средства, стратегическая информация компаний становится достоянием конкурентов.

В связи с этим возникает вопрос: а решаема ли эта проблема в принципе? Имеется очевидный сдвиг парадигмы безопасности. В открытом мире нельзя защитить всё от всех, обязательно найдется тот, кто придумает новый хитрый способ что-нибудь сломать, украсть, подменить. Невозможно защититься от того, что еще неизвестно, как невозможно контролировать мысли в головах собственных сотрудников, с виду вполне лояльных. Однако можно точно контролировать доступ, любые входы и выходы и делать это так, что аутентификация станет удобной для пользователя и не будет вызывать желание ее обойти. Решение проблемы корпоративной ИБ начинается с организации безопасного доступа к ресурсам.

Именно сдвиг с силового обеспечения безопасности на контролируемый доступ и аутентификацию характеризует фокус приоритетов в технических решениях, и этот сдвиг в общей парадигме безопасности характеризует нынешнюю конференцию. (На него обратил внимание Владимир Дегтярев, руководитель компании "Демос", которая занимается продвижением технологий идентификации и аутентификации RSA Security.) Смена акцентов определяет сегодня и государственные приоритеты в безопасности — массовую "точную" паспортизацию, где аутентификация децентрализуется и переносится на среду взаимодействия между владельцем биометрического паспорта или носителем токена и проверяющей   инстанцией.

Сдвиг акцентов в  сторону защиты данных от компрометации собственными  сотрудниками и администраторами подтверждается статистикой: ущерб  от утечки и искажения  информации, связанный  с вирусами и хакерскими атаками, сейчас меньше,   чем от физических сбоев оборудования (они составляют около 22% потерь), в  том числе питания. Наиболее серьезный ущерб (и финансовый, и репутационный) наносят действия непосредственных работников предприятия. Чаще всего подобные действия носят непреднамеренный характер и связаны либо с некомпетентностью персонала, либо с несовершенством ПО.

Снизить риски такого рода убытков помогает правильно построенная система безопасности, позволяющая скрыть конфиденциальные данные от потенциального злоумышленника, организовать подробный аудит действий пользователей и администраторов, зашифровать секретные данные. Но сначала следует однозначно идентифицировать пользователей системы.

Основной фокус обсуждения — решение внутренних проблем, обусловленных человеческим фактором (74% потерь). Неоправданно высоки потери (55%) от лояльных сотрудников, связанные с ошибками или несоблюдением требований ИБ (слабые пароли, один пароль для многих ресурсов, вход под чужим именем и т. п.). Эти потери могут и должны быть ниже.

Кроме того, 19% потерь приносят нечестные или обиженные сотрудники, поэтому необходим аудит действий пользователей, подкрепляемый юридическими доказательствами. Опыт показывает, что основная причина совершения нарушений — ощущение безнаказанности. Просто понимание того, что наказание неизбежно, предотвращает большинство нарушений.

Технологиям, позволяющим решить базовые на сегодня проблемы ИБ, был посвящен доклад гендиректора Aladdin Сергея Груздева, один из центральных на конференции. Технически уменьшить влияние человеческого фактора способны смарт-карт-технологии.

Они в состоянии решить две большие проблемы — упростить жизнь пользователей (сократить ошибки персонала) и ввести персональную ответственность.

Что касается упрощения жизни, то использование единой смарт-карты или токена удобно само по себе и избавляет от необходимости помнить множество паролей, серверных имен, логинов и пр., а администраторы могут не давать пользователям лишнюю информацию.

И, разумеется, строгая аутентификация вводит персональную ответственность пользователей, а также возможность аудита и предоставления доказательной базы.

Как правило, более совершенные методы являются более дорогостоящими для разработки и администрирования, весьма надежным методом аутентификации считается двухфакторная аутентификация с применением цифровых сертификатов Х.509, которые хранятся в защищенной памяти смарт-карт или USB-ключей eToken. Оба эти устройства обеспечивают одинаковую степень надежности аутентификации  (смарт-карты требуют  дополнительного оборудования). В нынешнем году, по словам Сергея Груздева, наблюдается  массовое внедрение     смарт-карт и РКI-технологий на корпоративном рынке, причем USB-токены обгоняют смарт- карты. В 2005-м наибольшая инвестиционная отдача в ИБ будет от аппаратных средств строгой аутентификации — USB-токенов и смарт-карт. На российском рынке наблюдается массовый переход от тестирования и пилотных проектов к внедрению этих технологий в рамках всего предприятия. Рост продаж средств аутентификации составит 600%. Основной тенденцией будет использование единого токена или смарт-карты. В то же время при увеличении доли смарт-карт по-прежнему будут преобладать решения на USB-ключах.

Быстрорастущий рынок ИБ почти сложился не только в общих чертах, но и в главных деталях. Компания Aladdin — основной игрок на российском рынке средств аутентификации — активно разрабатывает решения для многофакторной аутентификации с помощью USB-токенов и пластиковых карт и методично адаптирует свои технологии для различных локальных задач. В ситуации растущего спроса такая стратегия выглядит гораздо более обоснованной, чем высокотехнологичные "продвинутые" ноу-хау, обладающие массой полезных функций, но не доведенные до потребительского уровня. Это принципиально " энд-юзеровские" решения, даже если они рассчитаны на корпоративное применение. Но если они требуют от клиента усилий больших, чем инсталляция домашнего приложения, то их уделом будет рынок разработчиков. Таковы реалии спроса. И Aladdin, похоже, ориентируется именно на них.

Компания последовательно проводит в жизнь концепцию "один eToken — множество решений", позволяющую обеспечить безопасный доступ к корпоративным ресурсам.

Сегодня востребованы такие решения, как вход в сеть и регистрация пользователей в службе каталога, защита БД, безопасный дистанционный доступ к почте и корпоративному порталу, администрирование, удостоверяющие центры (хранение ключей и сертификатов на токенах), встраивание сертифицированной российской криптографии в западные продукты, аутентификация на тонком клиенте и многое другое. Сергей Груздев представил некоторые новинки: систему, в которой интегрированы технологии eToken и RFID, модифицированный eToken PRO/64K, новую CardOC. Было заявлено о возвращении компании на рынок смарт-карт.

Весьма важно для участников рынка взаимодействие с государственными регулирующими органами. Изменения в структуре регуляторов плохо сказываются на самочувствии рынка. Поэтому на подобных мероприятиях неизменно высок интерес к выступлениям госчиновников, способных ответственно и квалифицированно объяснить смысл и задач очередной реформы, а также убедить профессиональное сообщество, что изменения проводятся не для того, чтобы осложнить жизнь бизнесу и облегчить чиновнику, а ради повышения эффективности взаимодействия.

Как известно, нынешней весной Гостехкомиссия при Президенте РФ была преобразована в Федеральную службу по техническому и экспортному контролю, однако задачи, решаемые прежней структурой, остались. Самая главная из них — совершенствование правил взаимодействия государства и участников ИТ-рынка.

Заместитель начальника отдела лицензирования и сертификации Игорь Калайда показал перспективу развития нормативной базы, одним из направлений которого является гармонизация. Этим красивым словом чиновники, называют искоренение положений, изолировавших нашу страну от остального мира.

По словам г-на Калайды, работа продолжается несмотря на реорганизации ведомств. Все, что касается безопасности, разрабатывается в форме регламента. Все, что касается качества, — в форме стандарта. Регламент в отличие от стандарта принимается в виде закона. Исчез ли отраслевые стандарты, остались только федеральные.

При сертификации в России средств соответствующих западным стандарта безопасности, аналогичным нашим, будет действовать "презумпция соответствия". О перспективах ГОСТ 15408 (российские "Общие критерии") Игорь Калайда, сказал, что стандарт подразумевает методики, и сейчас идет процесс их согласования. При этом он добавил, что разработчикам заданий по безопасности придет внимательно в них вчитываться.