«Я» могут быть разные. Пройдите аутентификацию

5 июня 2014
«Я» могут быть разные. Пройдите аутентификацию

Специалисты, ответственные за информационную безопасность в компании, имеют дело с целым комплексом задач. Рассмотрим, какие механизмы аутентификации, шифрования и электронной подписи помогают их решать.

Перед ИТ-специалистами стоит нетривиальная задача — не просто обеспечить максимальную безопасность операций, но и придать информации юридическую значимость, сохранить удобство использования сервиса, не выйти за рамки бюджета на техническую часть.

Компании используют возможности интернета в разной степени и с различными целями. Например, согласно законодательству, все предприятия обязаны передавать отчетность по НДС в электронном виде с использованием защищенных каналов связи. Требований, обязывающих вести документооборот в электронном виде, нет, однако электронный документооборот внедрен во многих компаниях с целью оптимизации деятельности. Уровень защиты передаваемой информации и класс используемых технических средств в тех или иных сервисах может быть прописан законодательно, ограничен возможностями и требованиями информационных систем, либо определяться по усмотрению компании.

На данный момент существуют следующие средства обеспечения безопасности, аутентификации, шифрования и придания юридической значимости информации в электронных системах:

  • Средства простой аутентификации (логин\пароль, SMS, коды подтверждения и т п.)
  • Средства строгой аутентификации (съемные носители, хранящие секретную информацию, использующие криптографические механизмы — токены, смарт-карты, электронные ключи и т п.)
  • Облачная криптография (хранение закрытого ключа в облаке, шифрование без использования съемного носителя)

Перечисленные средства различаются по цене, обеспечивают разную степень удобства использования (мобильности), юридической значимости, безопасности. Рассмотрим, какие из этих параметров наиболее важны при проведении ключевых операций в интернете.

Что и когда защищать? Расставим приоритеты

Первый блок задач: осуществление безналичных платежей с использованием электронных сервисов банков

Основная часть платежей компаний проходит в электронном виде. Самое важное при работе с деньгами — обеспечить юридическую значимость платежа и защититься от злоумышленников, которые хотят незаконно совершить финансовую операцию.

Платежи часто совершает руководитель, который должен иметь возможность провести операцию вне офиса. Удобство использования, мобильность — следующий по важности фактор после обеспечения безопасности и легитимности платежей.

В то же время банки обязаны соблюдать внушительное количество требований различных регуляторов. Внимательное отношение к рискам и ответственность перед клиентами накладывают определенные ограничения на выбор технических средств при работе с сервисами банков.

Второй блок задач: взаимодействие с контролирующими органами через интернет

Каждая компания, которая ведет деятельность на территории России, должна отчитываться в Пенсионный фонд, Налоговую службу, Фонд социального страхования и т д. Часть отчетности уже сейчас необходимо передавать в электронном виде по защищенным каналам.

В рамках задачи по передаче электронной отчетности через интернет основная цель — обеспечение юридической значимости документов. Во-первых, контролирующий орган должен иметь возможность удостовериться, что данная отчетность легитимна. Во-вторых, компании необходимо иметь механизмы подтверждения того, что отчетность подготовлена правильно и сдана вовремя. 

Размер возможного ущерба при передаче отчетности гораздо меньше, чем при совершении финансовых операций, поэтому и требования по обеспечению безопасности более мягкие. Однако здесь важно пресечь возможность махинаций с отчетностью лицами внутри компании. 

Параметр мобильности наименее важен, но есть ряд компаний, которым эта опция нужна. Например, предпринимателям, не имеющим выделенного офиса, фрилансерам и т д.

Третий блок задач: электронный документооборот внутри компании и с контрагентами.

Данный спектр задач опционален. Компании самостоятельно принимают решение об использовании электронного документооборота и его объеме, а также о механизмах обеспечения безопасности. Законодательно регулируется лишь небольшая часть форматов электронного документооборота. Для придания документам юридической значимости рекомендуется использовать квалифицированную электронную подпись, так как она имеет максимальную юридическую силу в текущем правовом поле РФ.

Электронный документооборот применяется каждый день большим количеством сотрудников. Поэтому на первый план выходит обеспечение удобства использования.

Вторым по значимости фактором является юридическая значимость документов — они должны иметь вес в суде.

На третьем месте — безопасность. Каждая электронная транзакция должна быть легитимна, у сотрудников должны быть права лишь на те операции, которые он имеет право совершать, и т д. Впрочем, приоритет параметра безопасности зависит от величины рисков. Если в системе электронного документооборота вращается конфиденциальная информация, то фактор безопасности может выйти на первый план.

Четвертый блок задач: работа с веб-сервисами

Компании участвуют в электронных торгах, используют публичные государственные информационные системы (например, портал госуслуг), а также коммерческие облачные сервисы.

При работе с государственными ресурсами действуют правила этих информационных систем, и компании должны соблюдать требования площадок, к которым обращаются. Часто это прописано на уровне законодательства. Владельцы негосударственных ресурсов могут жестко регламентировать технические средства защиты либо отдать этот вопрос на выбор пользователям. В последнем случае использование тех или иных технических средств определяется на основе здравого смысла и оценки рисков.

Пароль или ключ? Смотрим на риски

Теперь рассмотрим технические средства с точки зрения значимых для пользователей параметров: удобство использования, стоимость, юридическая значимость, безопасность.

1. Средства простой аутентификации 

Общий признак — отсутствие криптографических механизмов защиты.

Определить, что человек является именно тем, кем он представляется, предлагается по какому-то идентификатору (пароль, номер телефона). Следовательно, уровень защищенности данных средств априори ниже, чем у средств, использующих криптографию.

Особенности:

  • Самый низкий уровень защищенности.
  • Нулевая стоимость. Мы платим за сервис, но не за средства (SMS-код ничего не стоит для клиента).
  • Средний уровень удобства (привязка к устройствам).
  • Минимальный уровень юридической значимости. 

Согласно 63-ФЗ «Об электронной подписи», эти средства позволяют сформировать простую электронную подпись, однако она не идентична собственноручной подписи. В суде потребуются доказательства.

Разумно использоватькогда риски невелики. Например, в системе внутреннего документооборота компании, где нет высоко критичных данных; на портале госуслуг, когда невозможно совершить серьезных действий без личного присутствия, и т д. Если в систему вошел злоумышленник по чужому паролю, но при этом в ней не вращается критически важной информации, использование нестрогих средств оправдано.

Усилить надежность данных средств можно, используя их комбинации (например, логин\пароль + SMS) в контексте двухфакторной аутентификации.

Для передачи электронной отчетности данных тип средств не подходит, так как по закону требуется использование квалифицированной электронной подписи.

2. Строгие средства аутентификации

В основе работы строгих средств аутентификации лежат криптографические механизмы. Для хранения ключевой секретной информации используются внешние носители.

Особенности:

  • Максимальный уровень защищенности. 

Наиболее неуязвимы средства, в которых криптографические механизмы реализованы на самом носителе. Существуют также средства, которые хранят закрытый ключ, при этом программа, которая осуществляет шифрование, установлена на компьютере. В момент, когда ключ покидает устройство, чтобы попасть в оперативную память компьютера, он может быть перехвачен вредоносным ПО. Этот ряд средств более уязвим, однако превосходит по уровню защищенности средства нестрогой аутентификации.

  • Максимально неудобные в использовании средства.

Спектр устройств, на которых возможно применение данных средств, ограничен (необходим внешний разъем для подключения устройства). Требуется установка ПО на компьютер, а также настройка рабочего места. Устройство может выйти из строя, при этом его восстановление или замена потребует времени.

  • Ненулевая стоимость. Из трех видов это самое дорогое средство.

Разумно использовать: при высокой степени риска осуществляемых операций. Например, при проведении крупных финансовых операций, работе с электронными документами, содержащими критическую для компании информацию.

Использование строгих средств аутентификации может быть предписано законом. Например, Федеральная таможенная служба требует использовать сертифицированный носитель и квалифицированную электронную подпись при подаче электронных деклараций.

3. Облачная криптография

Закрытые ключи пользователей хранятся на облачном сервере, который отвечает определенным требованиям безопасности. Специальное ПО умеет использовать закрытые ключи и осуществлять криптографические операции с ними. Подтверждение операций происходит с помощью простой электронной подписи или пары логин\пароль + SMS (то есть средств нестрогой аутентификации).

Суть работы:

Когда пользователю требуется поставить электронную подпись в информационной системе, система обращается к облачному хранилищу ключей. Хранилище высылает пользователю код подтверждения. Пользователь вводит код в информационную систему, система высылает код в хранилище. Если код, отправленный пользователю, совпадает с кодом, пришедшим из информационной системы, документ подписывается электронной подписью пользователя.

Особенности:

Применение механизмов облачной криптографии требует интеграции информационной системы с системой хранения закрытых ключей. Это делает такой способ менее универсальным с точки зрения разнообразия сценариев применения.

Также есть нюанс, связанный с необходимостью доверия к оператору облачной системы хранения закрытых ключей, так как физически закрытый ключ пользователя находится на стороннем сервере оператора.

Использовать облачную криптографию для аутентификации в сторонних сервисах проблематично.

  • Максимальный уровень удобства 
  • Максимальное обеспечение юридической значимости
  • Низкая стоимость

Разумно использовать: в сервисах не самой высокой доли риска.

Подходит для сектора отчетности. Идеально для электронного документооборота (например, в Диадоке скоро будет реализован механизм облачной подписи).

Для банковского сектора подходит при условии, что сервер для хранения закрытых ключей пользователя расположен на стороне банка.

Комментарий Артура Скока, ведущего специалиста по внедрению систем защиты «Контур-Безопасность» («СКБ Контур»)

Назначить сотруднику тот или иной идентификатор и выдать ему, к примеру, аппаратный ключ типа eToken — недостаточно. Необходимо также организовать систему учета и контроля за аутентификационной информацией. Часто случается, что уволенный сотрудник может использовать аутентификационные данные еще некоторое время после увольнения, что может привести к финансовым потерям, таким как кража клиентской базы, проведение расчетных операций. К похожим последствиям приводят случаи бесконтрольного обращения идентификаторов.
С одной стороны, данный вопрос можно решить организационными мерами (журналы учета, политика обращения). Но это удобно, когда в компании порядка нескольких десятков сотрудников. По мере роста их количества встает вопрос контроля за идентификаторами: их выдача, отслеживание, интеграция с сервисами компании, отзыв в случае утери или увольнения сотрудника.
В данном случае целесообразно было бы рассмотреть решения в области создания систем управления учетными данными (IdM — identity management) и систем управления безопасностью (SIЕM — Security information and event management). Данные системы предлагают возможности по автоматизации процессов по контролю доступа по идентификаторам (то есть снижению рисков, связанных с человеческим фактором), расследованию инцидентов по утечке информации.
Также процесс внедрения IDM-, SIEM-систем помогает понять, какая информация циркулирует и является важной.

Михаил Добровольский, эксперт в области применения сертификатов электронных подписей компании «СКБ Контур»

Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
915 просмотров
В избранное
Безопасность
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: ФИС ГИА, АИСТ ГБД, ЕГИСМ, ФИС ФРДО и др.

Узнать больше
Электронная подпись
Электронная подпись

Сертификат для участия в торгах и госзаказе, для работы в госинфосистемах

Узнать больше

Комментарии

Комментарии Написать свой
Спасибо за ваше мнение!
← К списку публикаций

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.