На сегодняшний день токены являются самой распространенной программно-аппаратной реализацией функционала идентификации и аутентификации пользователей и устройств — процедур, с которых начинается информационная безопасность (ИБ) и на которые с распространением облачных сервисов и Интернета вещей приходится особенно ответственная нагрузка в обеспечении ИБ. Применение токенов, как считают эксперты, значительно снижает риски потенциальных ИБ-инцидентов.
Одним из ключевых факторов влияния на развитие массового применения токенов в информационных системах сегодня является государство. Требования регуляторов обязывают госструктуры, а также банки, использовать защищенные ключевые носители для аутентификации пользователей и электронной подписи документов (ЭП). Уже сегодня большинство министерств и ведомств используют ключевые носители для доступа к ИТ-инфраструктуре, прохода в помещения, работы с ведомственными системами документооборота и т.п. Эти устройства также все чаще применяются и в коммерческих структурах.
В зависимости от конкретных решаемых с помощью токенов задач рынок этих устройств можно разделить на несколько сегментов, которым мы и уделим внимание в этом обзоре.
Токены в решениях для поддержки входа в информационные системы
Наиболее широко токены сегодня используются в качестве инструмента двухфакторной аутентификации сотрудников в офисе и при предоставлении им удаленного доступа к информационным ресурсам организации. Как утверждает директор департамента защиты информационных систем компании RedSys Андрей Тархов, и самих устройств, и систем управления их жизненным циклом сегодня на рынке более чем достаточно.
По мнению генерального директора компании «Аладдин Р.Д.» Сергея Груздева, сегмент решений для поддержки входа в информационные системы с использованием токенов к настоящему времени вступил в пору рыночной зрелости, характеризующейся медленным устойчивым ростом при максимальных для рынка объемах продаж — в терминологии предложенного компанией Gartner цикла зрелости технологий этот сегмент фактически вышел на плато продуктивности.
Вместе с тем на этом рынке не исключены определенные подвижки. «В 2017 г. в нашей стране планируется введение нового национального стандарта аутентификации, который в первую очередь ориентирован на применение в госструктурах, — напомнил Сергей Груздев. — Это будет способствовать приведению в соответствие современным требованиями к ИБ прежде всего сложных информационных систем, за развитием которых наше законодательство и система сертификации сегодня не поспевают». Новый стандарт, полагает эксперт, даст мощный толчок развитию данного сегмента рынка.
Токены для УКЭП
С некоторым отставанием по уровню зрелости, по мнению наших экспертов, за вышеупомянутым сегментом следует сегмент средств идентификации и аутентификации с использованием усиленной квалифицированной электронной подписи (УКЭП).
«УКЭП имеет юридическую значимость, что позволяет перевести электронные сервисы на принципиально новый уровень, — напоминает Андрей Тархов. — Эта технология аутентификации и авторизации (и подтверждения транзакций) используется сравнительно давно и хорошо себя зарекомендовала».
По оценкам Андрея Тархова, данный сегмент сформирован и насыщен техническими решениями, позволяющими использовать технологию УКЭП практически через любой канал взаимодействия с сервис-провайдером, включая стационарные компьютеры и мобильные устройства. При применении относительно новых решений, поддерживающих и Bluetooth, и USB-интерфейсы, можно обеспечить, считает он, портабельность ключа ЭП и его использование на устройствах всех типов.
Управляющий партнер компании «Актив» Дмитрий Горелов полагает, что данный сегмент уже близок к насыщению и даже немного «перегрет». Он отмечает, что наиболее часто УКЭП используется сейчас при сдаче отчетности в госорганы и проведении электронных торгов, где применение УКЭП является необходимым условием.
Вместе с тем, по оценкам Сергея Груздева, это направление все еще демонстрирует заметный рост, приближающий его к плато максимальной продуктивности. Этот рост мог бы быть еще значительнее, если бы не кризисные явления в экономике, вынуждающие заказчиков сегодня экономить на ИБ.
В дальнейшем основным драйвером развития рынка средств аутентификации и ЭП, по мнению Дмитрия Горелова, может стать перевод все большего числа государственных и муниципальных систем документооборота в полностью электронный вид: там, где возникают электронные документы, появляется необходимость и в обеспечении безопасности этих документов, которая трудно достижима без аутентификации и ЭП.
Токены OTP
Для веб-аутентификации в системах корпоративной и банковской безопасности уже давно применяются токены генерации одноразовых паролей (OTP). Одно из главных их преимуществ, как отметил Дмитрий Горелов, заключается в независимости от технологической платформы устройств, на которых осуществляется аутентификация: технология удобна и применима на устройствах различного типа.
К достоинствам технологии одноразовых паролей Андрей Тархов относит также дешевизну реализующих ее устройств. Причем в случае использования алгоритма запрос-ответ (challenge-response) такое устройство можно применять не только для аутентификации пользователя, но и для подписи транзакции, что обеспечивает защиту в том числе и от сложных атак типа man-in-the-middle.
В настоящее время традиционные OTР-инструменты вытесняются из банковского сектора решениями, реализующими передачу одноразовых паролей через SMS, что обусловлено в первую очередь удобством последних. Повсеместное использование смартфонов несколько улучшило ситуацию в пользу OTP за счет появления программных генераторов одноразовых паролей, значительно упростивших применение этой технологии. Однако принципиальных изменений в этом сегменте все же не произошло.
Несколько иначе, по наблюдениям Андрея Тархова, дела обстоят с относительно новой технологией, позволяющей реализовать генератор одноразовых паролей в форм-факторе банковской пластиковой карты. Это открывает принципиально новые возможности с точки зрения унификации используемого устройства. Для банковского сектора это означает объединение в одном «куске пластика» привычной чипованной карты и генератора одноразовых паролей (с реализацией в том числе функционала подписи транзакции), а для корпоративного сектора — это расширение возможностей универсального аутентификатора с обеспечением бесконтактной аутентификации, например при удаленном доступе.
Однако с точки зрения обеспечения ИБ технология OTP, считает Дмитрий Горелов, не так сильна, как хотелось бы: существует немало способов ее обойти — социальная инженерия, кража и взлом устройства, вредоносные программы... Он не рекомендует слепо доверять аутентификации с помощью OTP, когда речь идет о безопасности крупных корпоративных информационных систем, содержащих большое количество конфиденциальных данных.
В период
ЭП на борту мобильных устройств
В последние годы все чаще для управления бизнес-процессами стали применяться мобильные устройства. Так, появился целый сегмент систем корпоративного документооборота, адаптированных именно для планшетов и смартфонов. Однако использовать эти гаджеты для подписи электронных документов мы пока не привыкли. Тем не менее некоторый потенциал для реализации технологии ЭП с помощью подобных устройств есть, есть и примеры (пока не массовые) успешного их применения с этой целью.
Вместе с тем, считает Сергей Груздев, былая эйфория по поводу возможностей переноса рабочих мест на мобильные гаджеты постепенно проходит, пользователи все реже отказываются от классических привычных рабочих мест, несмотря на то что на рынке появляются токены, предназначенные именно для мобильных устройств.
Токены для аутентификации на веб-порталах
Сегодня редкий ИКТ-ресурс не поддерживает доступ через веб-браузер. Вместе с тем, это требует надежного контроля доступа, что, в свою очередь, требует надежных средств идентификации и аутентификации. То же самое можно сказать и о доступе к веб-порталам в целом: растет их число с высокими требования к аутентификации пользователей.
ИКТ-пользователи все чаще предпочитают покупать облачные услуги, а не ИКТ-продукты, смещая фокус своих затрат с капитальных на операционные. Дело доходит до переноса в облака даже критически важных бизнес-приложений.
Как пояснил Дмитрий Горелов, миграцию ИТ-решений в варианты с доступом через веб-браузеры стимулирует простота встраивания и отсутствие необходимости установки многих дополнительных компонентов. К тому же технологии сегодня развиваются таким образом, что для доступа к большинству информационных систем не требуется ничего, кроме ПК, минимально настроенной операционной системы и доступа в Интернет. «Я знаю немало компаний, сотрудники которых работают через веб-браузер даже в таких системах, как 1С, — рассказал он. — Соответственно аутентификация и электронная подпись при помощи токенов и плагинов там тоже востребована, поскольку неклонируемый аппаратный носитель секрета в любом случае гораздо безопаснее обычной аутентификации по паролю».
В сегменте токенов для аутентификации на веб-порталах на протяжении последних трех-четырех лет наблюдается, по словам Сергея Груздева, устойчиво высокий рост спроса и предложений — в разы! Стимулирует развитие этого сегмента массовый переход на сервисную модель обслуживания пользователей в самых разных видах бизнеса. Он прогнозирует успешный рост данного сегмента еще, как минимум, на протяжении трех-пяти лет.
Токены с поддержкой стандарта U2F
Созданная крупными компаниями организация Fast Identity Online Alliance (FIDO Alliance) продвигает разработанные ею безопасные протоколы для онлайн-аутентификации. В результате деятельности FIDO Alliance появился класс устройств, поддерживающих стандарт Universal two-factor authentication (U2F), разработанный для таких протоколов. Эти устройства работают в паре с веб-браузерами, также поддерживающими протокол U2F. Данный стандарт ориентирован как на аутентификацию людей, так и устройств (взаимодействующих в рамках M2M и Интернета вещей).
Токен, поддерживающий стандарт U2F, универсален при обращении пользователя к любому ресурсу, также поддерживающему этот стандарт: один токен пригоден практически для любого количества пользовательских аккаунтов. При этом пользователь самостоятельно регистрирует свой токен на тех ресурсах, которые представляют для него интерес, что снижает нагрузку на администратора.
«Стандарт U2F может стать базой для унифицированной идентификации и аутентификации при взаимодействии через веб для самого широкого спектра применений, — уверен Сергей Груздев. — Соответственно потенциал сегмента U2F-токенов огромен, особенно если иметь в виду растущий спрос на функционал аутентификации для M2M-решений и Интернета вещей».
Однако, по мнению Дмитрия Горелова, этот проект пока еще находится на этапе, когда U2F-токенами начинают пользоваться технологические энтузиасты: «Их, к сожалению, катастрофически мало, и устройства с поддержкой U2F еще долго будут оставаться нишевым решением. Прорыв здесь может случиться тогда, когда крупные интернет-игроки начнут вкладывать достаточно средств в маркетинг FIDO-стандартов. Но пока не похоже, что они планируют это делать».