С систем управления доступом (СКУД) начинается построение корпоративной безопасности, в том числе и информационной. Сегодня уже трудно разделить физический и логический компоненты этих систем, поскольку один из них дополняет другой, входит в него как составляющая и инструмент реализации.
Региональный менеджер по продажам HID Global в России и СНГ Сергей Гордеев рассказал научному редактору PC Week/RE Валерию Васильеву о тенденциях развития СКУД в условиях изменений, происходящих в ИТ под воздействием распространения мобильных устройств пользовательского доступа, а также некоторых новых регулятивных требований к информационной безопасности (ИБ) в нашей стране.
PC Week: Как вы определяете место СКУД в обеспечении корпоративной информационной безопасности?
Сергей Гордеев: СКУД представляет собой критически важный, но только первый этап в построении ИБ-системы организации, так сказать, физическую точку входа. Не менее значимой в формировании общей безопасности компании является защита логического доступа к корпоративным ресурсам.
Мы придерживаемся конвергентного подхода к системам физического и логического доступа (которые обычно разделяются), когда с помощью единого носителя ключей можно получить доступ как на территорию объектов и в помещения, так и к различным информационным ресурсам. Для реализации такого подхода мы предлагаем использовать комбинированные контактные смарт-карты Crescendo высокой надёжности, совмещающие две технологии — контактный чип, который используется для доступа к пользовательскому конечному устройству, обеспечивающему вход в корпоративную локальную сеть, и бесконтактный чип для физического доступа на объекты предприятия.
PC Week: Как меняются ваши разработки под воздействием изменений, происходящих сегодня в ИТ? Как данные изменения помогают решать задачи СКУД и какие вызовы они бросают этим системам?
С. Г.: К основным направлениям развития наших продуктов мы относим повышение их защищенности и наращивание возможностей гибкого обновления, что достигается благодаря использованию технологий, которые находят сегодня все более широкое применение в организации физического доступа. Это значительно продлевает срок жизни продуктов и тем самым сохраняет инвестиции заказчиков. Пользователям не нужно менять считыватели и карты в случае компрометации программного интеллекта этих компонентов — достаточно провести апгрейд (сменить прошивку), не снимая считыватель со стены.
С началом массового использования мобильных коммуникационных устройств конвергентные решения тоже стали разворачиваться в эту сторону. Хранить цифровые ключи для предоставления доступа теперь можно не только на электронных картах, но и на мобильных телефонах с технологией NFC (Near Field Communication). Важно лишь, чтобы эти ключи были защищены с требуемой степенью надежности и чтобы управление ими было несложным на всем их жизненном цикле — от момента генерации до процедуры уничтожения.
Используя технологию Near Field Communication NFC, которую стали применять в своих устройствах поставщики мобильных телефонов и смартфонов, мы в решения на базе новой технологии iCLASS SE закладываем возможность удаленно управлять цифровыми ключами, что намного облегчает задачи управления доступом, повышает скорость обслуживания и общую безопасность СКУД. Ключи могут создаваться непосредственно на SIM-картах или на специальных размещаемых в телефонах защищенных элементах. Для реализации этого подхода нужны надежные провайдеры, поддерживающие инфраструктуру таких ключей, — Trusted Service Providers (TSP). Для обеспечения физического доступа таким провайдером пока выступает сама HID Global, которая использует для этого как проводные, так и беспроводные каналы связи.
Можно сказать, что стратегия развития наших решений, формирующаяся под воздействием современных перемен в ИТ, заключается в том, чтобы создавать и обрабатывать данные для предоставления доступа на любых удобных для пользователей носителях. Кстати, это хорошо вписывается в требования популярного ныне подхода BYOD.
PC Week: Есть ли возможность интегрировать новые решения, использующие технологию NFC, в системы управления мобильным доступом? Используют ли TSP облачную архитектуру для предоставления своих сервисов?
С. Г.: Пока говорить об этом рано, поскольку готового коммерческого решения на базе технологии iCLASS SE еще нет. Его прототипы реализованы в отдельных пилотных проектах, например, в Университете штата Аризона, студенты которого используют свои мобильные телефоны, чтобы проходить в помещения университета, получать доступ в университетскую сеть передачи данных и т. п.
Задача тут усложняется тем, что для предоставления этого сервиса требуется многостороннее соглашение между владельцем СКУД, операторами мобильной связи, продавцами мобильных устройств или провайдерами услуг мобильной связи, обслуживающими пользователей этой системы, и TSP, с тем чтобы необходимые данные были размещены либо в телефонах на специальных элементах, либо на SIM-картах. При этом каждый участник решения должен получить возможность заработать на сервисе.
PC Week: Какой путь развития своих продуктов сегодня предпочитают поставщики СКУД — наращивание их самодостаточности в обеспечении корпоративной ИБ или интеграцию в ИБ-комплексы, например в виде упомянутой услуги, вокруг которой формируется целое партнерское сообщество?
С. Г.: Решения СКУД должны легко и гибко интегрироваться с корпоративными ИБ-системами, особенно с теми, которые имеют отношение к управлению жизненным циклом учётных данных пользователей и их аутентификаторов. Для этого СКУД должны комплектоваться средствами разработчика с открытым программным интерфейсом, а ещё лучше иметь готовые коннекторы к системам корпоративной инфраструктуры. Например, такие известные поставщики СКУД, как Lenel и Honeywell, включили в свои продукты коннекторы к системе управления жизненным циклом смарт-карт HID Global ActivID Credential Management System.
Свою стратегию, как я уже сказал, мы видим в том, чтобы один ключ, размещенный на удобном для пользователя устройстве, предоставлял ему доступ к любым ресурсам — корпоративным данным, платежным системам торговых сетей, банкоматам, системам контроля физического доступа в помещение. Смарт-карты и ее аналоги имеют несколько областей памяти, которые можно использовать для самых разных приложений.
PC Week: Бесконтактные технологии удобны и широко используются в СКУД. Вместе с тем все чаще появляются сообщения о перехвате трафика решений, построенных на их основе. Насколько безопасно использование беспроводных технологий в СКУД?
С. Г.: Многое зависит от алгоритмов, которые используются при идентификации. Так, в технологии Prox 125-КГц канал радиообмена между картой и считывателем не имеет защиты, а потому ключи, использующие эту технологию, легко поддаются копированию и клонированию.
Технология iCLASS 13,56 МГц более защищена благодаря сложным алгоритмам шифрования данных и взаимной идентификации смарт-карты и считывателя.
Однако с течением времени любая технология может стать уязвимой. Чтобы опережать злоумышленников, в технологии iCLASS SE мы предлагаем новый подход к решению этой проблемы, предусматривающий апгрейд в процессе эксплуатации.
PC Week: О перспективах использования биометрии в организации доступа говорят давно. Расскажите, пожалуйста, о новациях в теории и практике использования биометрии в СКУД.
С. Г.: Действительно, биометрические данные человека уникальны и всегда находятся при нем. Однако использование технологий их распознавания имеет ряд недостатков: они дороги, непригодны там, где требуется высокая пропускная способность, подвержены изменению с возрастом или под воздействием внешних условий, ну и, наконец, поскольку в СКУД используются математические модели, а не реальные биометрические отпечатки, то построенные на биометрии решения имеют все-таки ошибки первого и второго рода.
Оптимальным мы считаем использование биометрии как дополнения к другим технологиям там, где требуется повышенный уровень защищенности доступа. Биометрические данные для идентификации можно хранить на одном носителе с другими идентификационными данными, причём без опасения нарушить закон “О персональных данных”, поскольку носителем распоряжается владелец этих данных.
PC Week: В СКУД активно используется шифрование. С какими проблемами, связанными с шифрованием, зарубежные поставщики СКУД сталкиваются в России? Каковы способы их решения?
С. Г.: Все продукция HID Global прошла сертификацию на соответствие ГОСТ Р. В то же время использование наших продуктов в инфраструктуре открытых ключей шифрования в России осложнено различиями в подходах к построению этой инфраструктуры в нашей стране и за рубежом. Вместе с дистрибьюторами мы работаем над тем, чтобы привести ИТ-компоненты наших решений в соответствие с требованиями российского ГОСТа. По оптимистичному прогнозу эта процедура завершится к концу нынешнего года.
PC Week: В последнее время российское госрегулирование обратило внимание на ИБ критически важных объектов (КВО). Насколько это обоснованно, на ваш взгляд? Продуктивно ли вмешательство государства в данную область?
С. Г.: Насколько мне известно, за рубежом похожего всплеска внимания к защищенности КВО не наблюдается. Да и вмешательство государства в область защиты КВО там не столь заметно, поскольку сами владельцы таких объектов вдумчиво относятся к их защите и буквально душу вынимают из поставщиков продуктов и услуг, чтобы те обеспечили им надежное функционирование активов. Если же российский КВО является государственной собственностью, то нашим партнерам работать с ним становится сложнее. Дело в том, что деятельность гособъектов регулируется большим количеством регламентирующих документов и требований. И порой непросто бывает убедить госзаказчика в том, что решения HID Global полностью удовлетворяют российским регулятивным требованиям.
PC Week: А сертификаты разве не помогают в этом? Ведь госзаказчики подходят (и обязаны походить) к выбору решений формально: есть сертификат — рассматриваем предложение, нет сертификата — не рассматриваем.
С. Г.: Сертификация на самом деле не самый сложный этап в работе с госзаказчиком. У его представителей зачастую сформировано подозрение о вероятности дистанционного вмешательства в работу зарубежных ИТ-решений, которое в реальности, как я полагаю, исключено.
Надо отметить, что существенным отличием построения СКУД в России от стран с развитой экономикой является слабое присутствие в этой области института страхования рисков. Около 60% российских заказчиков развертывают СКУДы, используя устаревшие технологии. Это относится даже к недавно построенным, казалось бы, современным бизнес-центрам. Причина тут простая: используется то, что дешевле (впрочем, вся корпоративная безопасность бюджетируется в нашей стране по минимуму). Ну а страховые компании начинают заключение договоров со страхователями с аудита защищенности его активов…
PC Week: Благодарю за беседу.